Theo báo cáo của CoinDesk, nhà phát hành stablecoin EUR/USD là StablR đã khẩn cấp đóng băng hai token USDR và EURR trong thời gian gần đây, do kẻ tấn công đã sử dụng một khóa đa chữ ký bị xâm phạm để đúc ra lượng token không có dự trữ trị giá khoảng 13,5 triệu USD, và đã rút tiền mặt thực tế khoảng 2,8 triệu USD trước khi bị phát hiện. Báo cáo dẫn nguồn cho biết cấu trúc đa chữ ký bị xâm phạm là loại 1-of-3 — chỉ cần kiểm soát bất kỳ một khóa riêng nào cũng có thể hoàn tất việc đúc token — chi tiết kiến trúc này hiện chưa thấy tài liệu chính thức nào của StablR xác nhận trực tiếp, nên tạm căn cứ theo góc độ báo cáo thứ cấp. USDR và EURR là một trong những stablecoin châu Âu tương đối sớm nộp đơn và tuyên bố công khai tuân thủ khung MiCAR EMT, do đó sự việc lần này tác động đến cấu trúc niềm tin của toàn bộ mảng stablecoin tuân thủ tại khu vực đồng Euro.
Đối với người dùng thẻ ảo USDT: về cơ bản không bị ảnh hưởng trực tiếp, nhưng cần xem theo từng loại thẻ
Trước tiên là kết luận: phần lớn người dùng thẻ ảo USDT không cần thực hiện bất kỳ thao tác nào. Sự việc lần này liên quan đến USDR/EURR do StablR phát hành, không có bất kỳ liên kết kỹ thuật nào với quy trình dự trữ và đúc token của USDT (Tether) hay USDC (Circle).
Phân loại theo từng thẻ:
- MPCard: Các dòng chủ đạo MPCard Asia Elite, Global Business và Asia Business sắp ra mắt đều xoay quanh việc nạp tiền bằng USDT-TRC20/ERC20, không hề kết nối với tài sản của StablR. Chủ thẻ không cần thao tác gì.
- Bybit Card / OKX Card / Bitget Wallet Card: Tài sản thanh toán chủ yếu là USDT, USDC, BTC, trang sản phẩm công khai không liệt kê USDR/EURR là tài sản nạp tiền khả dụng.
- Wirex: Vì hỗ trợ thanh toán bằng stablecoin EUR và có lượng người dùng đáng kể tại EU, đây là một trong những thẻ đáng chú ý nhất trong sự việc lần này. Nếu trong tương lai Wirex bổ sung hoặc từng hợp tác với sản phẩm StablR trên kênh EUR, có thể gián tiếp xảy ra tình trạng thắt chặt thanh khoản. Khuyến nghị người dùng có nhu cầu tiết kiệm EUR tạm thời ưu tiên sử dụng kênh EUR pháp định thay vì kênh stablecoin EUR.
- Crypto.com Visa / Coinbase Card: Chủ yếu dùng USDC, không liên quan trực tiếp đến StablR.
Dự kiến mốc thời gian:
- Trong vòng 7 ngày: StablR nên công bố báo cáo kiểm toán sau sự việc và phương án bồi thường; giá trị lưu thông còn lại của USDR/EURR chưa bị đóng băng trên thị trường thứ cấp có thể tách giá khỏi mức giá chính thức.
- Trong vòng 30 ngày: Các đối thủ stablecoin EUR (EURC, EURCV, v.v.) có thể nhân cơ hội này chiếm thị phần; cơ quan quản lý MiCAR có thể đưa ra yêu cầu mới về kiến trúc đa chữ ký đối với nhà phát hành EMT.
- Trong vòng 90 ngày: Theo dõi xem StablR có hoàn tất việc duy trì giấy phép và phát hành lại hay không; các kênh thanh toán EU có yêu cầu nhà phát hành EMT công khai kiến trúc chữ ký hay không.
Đối chiếu lịch sử: giống và khác gì so với Wormhole 2022, Multichain 2023
Sự việc này khiến người ta liên tưởng theo trực giác đến ba trường hợp lịch sử:
- Cầu nối chuỗi chéo Wormhole bị đánh cắp 3,2 tỷ USD năm 2022 — cũng là lỗ hổng ở tầng khóa/chữ ký, nhưng quy mô lớn hơn một bậc. Điểm khác là Wormhole được Jump Crypto đứng ra bù đắp toàn bộ, còn StablR chọn cách “đóng băng + chỉ thiệt hại thực tế 2,8 triệu USD”.
- Sự cố nút MPC của Multichain mất kiểm soát năm 2023 — cũng đều chỉ ra lỗi quản lý khóa riêng ở tầng đa chữ ký/chữ ký ngưỡng. Điểm giống là người dùng phải đối mặt không phải lỗi hợp đồng thông minh mà là thất bại về quản trị khóa; điểm khác là Multichain cuối cùng không thể khôi phục hoạt động, trong khi StablR vẫn còn tư cách tuân thủ MiCAR làm quân bài để khởi động lại.
- USDC tạm thời mất neo xuống 0,87 do SVB sụp đổ năm 2023 — đây là vấn đề ở phía tài sản dự trữ, còn lần này StablR là vấn đề ở phía đúc token. Trường hợp trước là “tiền đi đâu”, trường hợp này là “token từ đâu ra”.
Điểm khác biệt then chốt: việc đóng băng USDR/EURR là hành động chủ động thực thi quyền lực tập trung của nhà phát hành để bịt lỗ hổng thiệt hại — điều này lại chính là minh chứng cho việc “stablecoin phi tập trung hoàn toàn” trong tình huống như thế này lại ở thế bị động hơn. Đây là điều có lợi gián tiếp cho người nắm giữ USDT: Tether cũng giữ quyền đóng băng tương tự, và trong quá khứ đã nhiều lần sử dụng quyền này trong các tình huống bị đánh cắp, chế tài, rửa tiền, lần này lại một lần nữa chứng minh giá trị thực tiễn của cơ chế này.
Pháp lý và tuân thủ: “bài kiểm tra áp lực” của MiCAR mới chỉ bắt đầu
StablR là một trong những nhà phát hành EMT (token tiền điện tử) tương đối sớm theo khung MiCAR của EU. Kể từ khi MiCAR có hiệu lực theo từng giai đoạn từ cuối năm 2024, khung này đã quy định chi tiết về dự trữ, thu hồi, công bố thông tin, nhưng tiêu chuẩn kỹ thuật cụ thể về quản trị khóa riêng, kiến trúc đa chữ ký, an ninh vận hành của nhà phát hành vẫn thuộc vùng xám. Sự việc lần này nhiều khả năng sẽ trở thành chất xúc tác trực tiếp cho các tiêu chuẩn kỹ thuật (RTS) tiếp theo của Cơ quan Ngân hàng Châu Âu (EBA) và các cơ quan quản lý quốc gia (như DNB của Hà Lan, ACPR của Pháp).
Đối với thẻ USDT mà người dùng EU đang nắm giữ, trong ngắn hạn sẽ không có tác động ở tầng lập pháp — USDT theo khung MiCAR đi theo con đường phi-EMT, sự việc lần này sẽ không thay đổi ranh giới tuân thủ của nó. Điều cần cảnh giác là mảng stablecoin EUR: nếu bạn đang dùng một thẻ hỗ trợ thanh toán bằng stablecoin EUR, khuyến nghị tạm thời chuyển kênh thanh toán EUR về kênh pháp định, chờ các điều khoản pháp lý chi tiết được công bố rồi quan sát thêm.
Những mốc then chốt đáng chú ý tiếp theo
- Thời điểm StablR công bố báo cáo sau sự việc: Thông thường sau sự cố lớn sẽ có tài liệu PoR + kiểm toán chi tiết trong vòng 7–14 ngày; nếu quá 30 ngày vẫn chưa có kiểm toán bên thứ ba, cần cảnh giác.
- EBA có ban hành dự thảo tiêu chuẩn kỹ thuật về quản trị khóa riêng cho nhà phát hành EMT hay không: Là động thái chính sách trong quý này.
- Giá trị lưu thông còn lại của USDR/EURR trên thị trường thứ cấp: Nếu phần chưa bị đóng băng mất neo giá lâu dài, đồng nghĩa kênh thu hồi chính thức trên thực tế đã đóng.
- Tether và Circle có chủ động tăng tần suất PoR hay không: Sự việc của đối thủ cạnh tranh thường thúc đẩy các nhà phát hành chủ đạo tăng cường công bố thông tin.
Khuyến nghị của ban biên tập
- Người dùng đang nắm giữ thẻ ảo do USDT/USDC chủ đạo như MPCard, Bybit Card, OKX Card: Không cần thao tác gì. Sự việc lần này không có liên hệ kỹ thuật với thẻ bạn đang dùng.
- Người dùng đang dùng stablecoin EUR (bao gồm nhưng không giới hạn ở USDR/EURR/EURC) cho chi tiêu EUR hàng ngày: Trước khi StablR hoàn tất công bố kiểm toán, khuyến nghị ưu tiên dùng kênh EUR pháp định; nếu dự định mở thẻ EUR mới, có thể tham khảo danh sách thẻ đề xuất cho cư dân EU, và tạm thời tránh lựa chọn thanh toán bằng stablecoin EUR trong 30 ngày.
- Người dùng đang nắm giữ USDR/EURR giao ngay: Nếu số dư ví của bạn không nằm trong danh sách bị đóng băng, khuyến nghị không nên vội bán ra — phương án thu hồi được công bố bởi nhà phát hành thường tốt hơn mức giảm giá khi thoát ra qua thanh khoản thứ cấp trên thị trường.
- Người dùng nâng cao quan tâm đến tuân thủ: Khuyến nghị lưu lại sự việc lần này như một ca thực chiến đầu tiên của khung MiCAR EMT, sẽ rất hữu ích khi theo dõi dự thảo tiêu chuẩn kỹ thuật của EBA trong tương lai. Có thể tiện thể đối chiếu với khẩu vị hiện tại của trang tuân thủ EU và trang tuân thủ Anh.
Cuối cùng xin nhấn mạnh: các số liệu trong bài về kiến trúc đa chữ ký (1-of-3), số tiền bị đánh cắp (13,5 triệu đúc / 2,8 triệu rút tiền mặt) đều đến từ một nguồn báo cáo thứ cấp duy nhất của CoinDesk, StablR chính thức tính đến thời điểm bài viết được đăng vẫn chưa công bố báo cáo đầy đủ sau sự việc. Mọi số liệu và chi tiết kỹ thuật cụ thể, xin căn cứ theo thông báo chính thức tiếp theo của StablR và kiểm toán bên thứ ba.