Depegging di EURR e USDR di StablR dopo un exploit da $13,5M

Un exploit di un wallet multisig contro l'emittente di stablecoin algoritmiche StablR ha innescato un significativo evento di depegging per i suoi token EURR e USDR il 24 maggio 2026. L'attaccante ha coniato $13,5 milioni in token non garantiti, successivamente scaricando circa $10,4 milioni di valore nominale su exchange decentralizzati. Questa pressione di vendita ha fatto crollare USDR a un minimo di $0,40 e EURR a $0,85 prima di una parziale ripresa, come riportato da The Block il 24 maggio 2026.

Contesto — perché è importante ora

L'exploit evidenzia le persistenti vulnerabilità nei contratti intelligenti e nella governance all'interno del settore delle stablecoin algoritmiche. Questa categoria ha una storia volatile di fallimenti, in particolare il crollo dell'UST di Terra nel maggio 2022, che ha cancellato $40 miliardi di valore di mercato e ha innescato un mercato orso delle criptovalute. Più recentemente, il depeg di USDC a $0,87 nel marzo 2023 a seguito del crollo della Silicon Valley Bank ha dimostrato i rischi di contagio anche per i token garantiti da asset.

L'evento si verifica in un contesto di fiducia fragile ma in ripresa nelle finanze decentralizzate (DeFi) dopo un mercato orso di diversi anni. Il controllo normativo sulle stablecoin sta intensificandosi a livello globale, con il quadro MiCA dell'UE che impone regole severe per i token ancorati all'euro. Il modello di StablR, che si basava su una funzione di coniazione controllata da multisig per i suoi asset algoritmici, presentava un punto di fallimento unico che è stato sfruttato.

Il catalizzatore immediato è stata una compromissione del wallet multisig del protocollo, che ha conferito all'attaccante l'autorità di coniazione non autorizzata. Questo ha eluso i controlli algoritmici previsti, consentendo la creazione diretta di token non garantiti dalle riserve del protocollo o dai meccanismi di stabilizzazione. Il successivo rapido scarico su pool DEX poco liquidi ha causato dislocazioni di prezzo immediate e severe.

Dati — cosa mostrano i numeri

Le magnitudini del depeg sono state severe ma asimmetriche tra le due stablecoin. USDR, ancorato al dollaro USA, è sceso del 60% a un minimo di $0,40. EURR, ancorato all'euro, è sceso del 15% a un minimo di $0,85. Al momento dell'attacco, l'offerta circolante combinata di EURR e USDR era di circa $45 milioni.

L'attaccante ha coniato $13,5 milioni in token non garantiti su entrambi gli asset. I dati on-chain indicano che circa $10,4 milioni di valore nominale di questi token sono stati venduti su exchange decentralizzati come Uniswap e Curve Finance. I restanti $3,1 milioni in token coniati sono stati trattenuti nel wallet dell'attaccante, potenzialmente per future manipolazioni.

Metri	USDR	EURR
Obiettivo di peg	$1,00	€1,00 (~$1,08)
Minimo post-attacco	$0,40	$0,85
Magnitudo del depeg	-60%	-15%

Il sell-off ha causato un'impennata dei volumi di trading per i pool colpiti, superiori del 5.000% rispetto alla loro media di 24 ore. Al contrario, le principali stablecoin centralizzate come USDT e USDC hanno mantenuto i loro peg, con USDT che ha scambiato tra $0,998 e $1,002 durante l'evento. Il mercato crypto più ampio, misurato dall'indice della capitalizzazione di mercato totale su Fazen Markets, ha mostrato una reazione contenuta, scendendo solo dello 0,8% nel giorno.

Analisi — cosa significa per i mercati / settori / ticker

L'effetto diretto di secondo ordine è una perdita di fiducia nei modelli di stablecoin algoritmiche e più recenti, probabilmente a vantaggio degli incumbents. I ticker per entità con grandi partecipazioni in stablecoin centralizzate, come le aziende minerarie pubbliche come Marathon Digital (MARA) e Riot Platforms (RIOT), potrebbero vedere un premio di sicurezza relativo. I token di exchange decentralizzati come UNI di Uniswap e CRV di Curve potrebbero affrontare impatti misti da volumi più elevati ma anche rischi reputazionali per aver ospitato pool sfruttati.

I protocolli direttamente integrati con le stablecoin di StablR per prestiti o liquidità affronteranno rischi di impairment. Le piattaforme di prestito DeFi come Aave e Compound, che hanno politiche di listing rigorose, sono meno esposte, ma i mercati monetari più piccoli e permissionless potrebbero vedere un accumulo di debito cattivo. L'exploit convalida la tesi degli scettici istituzionali, rallentando potenzialmente i flussi di capitale di rischio verso nuovi meccanismi di stabilizzazione DeFi.

Un controargomento è che tali exploit, sebbene dannosi, sono contenuti e accelerano i miglioramenti nelle pratiche di sicurezza e nell'audit dei contratti intelligenti. Il valore totale a rischio era una frazione del crollo di Terra. Tuttavia, la natura ripetuta degli exploit multisig e di governance suggerisce una debolezza sistemica nel modo in cui vengono gestiti i contratti aggiornabili. Il flusso di trading si è immediatamente spostato verso stablecoin centralizzate e criptovalute blue-chip come Bitcoin (BTC) ed Ethereum (ETH) come fuga verso la sicurezza.

Prospettive — cosa osservare prossimamente

Il catalizzatore principale è il completamento dell'analisi post-mortem e di un potenziale piano di recupero da parte del team di StablR, previsto entro una settimana. I partecipanti al mercato dovrebbero monitorare i movimenti on-chain dei restanti $3,1 milioni in token coniati dell'attaccante, poiché ulteriori vendite potrebbero rinnovare la pressione al ribasso. Il token di governance del protocollo, STBLR, che è sceso dell'82%, sarà un indicatore del danno permanente al protocollo.

I livelli tecnici chiave da osservare sono se EURR può riprendere il suo peg a $1,00 e se USDR può stabilizzarsi sopra $0,50, un livello psicologico critico. Il fallimento nel recuperare oltre $0,70 per USDR indicherebbe una totale perdita di fiducia. Dichiarazioni normative da parte di enti come l'Autorità bancaria europea riguardo all'applicazione di MiCA per tali incidenti sono probabili entro il prossimo mese.

Se l'attaccante viene identificato e i fondi vengono congelati attraverso azioni legali coordinate, è possibile un recupero parziale per i detentori di token. L'evento testerà anche l'efficacia di nuovi strumenti di monitoraggio in tempo reale e di circuit breaker in fase di sviluppo da parte di importanti aziende di analisi blockchain. Le performance di altre stablecoin algoritmiche come FRAX di Frax Finance nelle prossime settimane segnaleranno il rischio di contagio.

Domande Frequenti

Cosa significa l'exploit di StablR per i detentori di altre stablecoin algoritmiche?

L'exploit aumenta direttamente il controllo su tutte le stablecoin algoritmiche che si basano su funzioni di coniazione controllate da multisig o governance simili. I detentori dovrebbero rivedere la documentazione tecnica di qualsiasi stablecoin algoritmica utilizzata, esaminando specificamente la decentralizzazione dell'autorità di coniazione e la robustezza del collaterale sottostante o del meccanismo algoritmico. Il precedente storico mostra che eventi di depeg possono causare deflussi a livello settoriale, spingendo a una rivalutazione dei premi di rischio in tutta la categoria.

Come si confronta questo depeg con il depeg di USDC nel 2023?

Il depeg di USDC nel marzo 2023 è stato guidato da preoccupazioni sulla solvibilità dei suoi partner bancari tradizionali, in particolare la Silicon Valley Bank, dove erano detenuti $3,3 miliardi delle sue riserve. È stata una crisi di fiducia nel sistema bancario off-chain, non un exploit tecnico. USDC si è rapidamente ripreso dopo la conferma che le sue riserve erano sicure. L'evento di StablR è un fallimento diretto del protocollo on-chain, implicando un deficit di fiducia a lungo termine diverso e potenzialmente più grave per il protocollo specifico coinvolto.

I token coniati possono essere annullati o congelati dal team di StablR?

Non è chiaro se i token coniati possano essere annullati o congelati. Tuttavia, il team di StablR potrebbe intraprendere azioni legali per cercare di recuperare i fondi.