#StablRStablecoinDepegsAfterExploit

Sự sụp đổ của niềm tin xung quanh StablR có thể trở thành một trong những lời nhắc nhở rõ ràng nhất rằng sự ổn định của stablecoin phụ thuộc nhiều hơn vào kiến trúc quản trị hơn là thương hiệu, quy định hoặc các câu chuyện thị trường đơn thuần.

Điều ban đầu có vẻ là một vụ khai thác quy mô nhỏ đã nhanh chóng phát triển thành một cuộc thảo luận rộng hơn về những điểm yếu về an ninh cấu trúc trong các hệ sinh thái stablecoin mới nổi, đặc biệt là những hệ cố gắng định vị mình như các lựa chọn thay thế có quy định trong thị trường tài sản kỹ thuật số ngày càng phát triển của châu Âu.

StablR, một nhà phát hành stablecoin có trụ sở tại Malta hoạt động theo khung quy định MiCA của Liên minh Châu Âu, đã xây dựng danh tiếng dựa trên sự tuân thủ, phù hợp với các tổ chức và hạ tầng tài sản kỹ thuật số có quy định. Giao thức cung cấp hai stablecoin chính:
EURR, được thiết kế như một stablecoin gắn với đồng euro, và USDR, nhằm duy trì tỷ lệ chính xác với đô la Mỹ.

Dự án đã đạt được độ tin cậy đáng kể sau khi nhận được sự hỗ trợ đầu tư từ Tether vào cuối năm 2024, một diễn biến mà nhiều người hiểu là sự xác nhận gián tiếp từ nhà phát hành stablecoin lớn nhất thế giới. Ở đỉnh cao, tổng vốn hóa thị trường của EURR và USDR gần đạt khoảng 25 triệu đô la, khiến StablR ngày càng nổi bật trong các hệ sinh thái DeFi châu Âu và trong số người dùng tìm kiếm các lựa chọn stablecoin phù hợp với quy định của MiCA.

Nhưng vào ngày 24 tháng 5 năm 2026, niềm tin đó đã sụp đổ cực kỳ nhanh chóng.

Công ty an ninh blockchain Blockaid đã xác định một vụ khai thác đang hoạt động nhắm vào hạ tầng đúc của StablR. Điều làm cho sự kiện này đặc biệt quan trọng là thất bại không bắt nguồn từ một lỗi hợp đồng thông minh phức tạp hoặc cuộc tấn công mã hóa nâng cao. Thay vào đó, toàn bộ sự sụp đổ xuất phát từ một vấn đề cơ bản hơn nhiều:
thất bại trong thiết kế quản trị.

Trung tâm của vụ việc là một kiến trúc đa chữ ký 1 trong 3 cực kỳ nguy hiểm kiểm soát quyền đúc.

Về mặt thực tế, điều này có nghĩa là bất kỳ người ký nào giữ một chìa khóa riêng có thể tự do ủy quyền các hành động quản trị quan trọng mà không cần sự chấp thuận của các người ký còn lại. Một khi kẻ tấn công thành công trong việc xâm phạm một chìa khóa, hệ thống về cơ bản mất tất cả các biện pháp bảo vệ an ninh có ý nghĩa.

Sự leo thang xảy ra rất nhanh.

Kẻ tấn công đã thêm ví của chính mình làm chủ sở hữu đa chữ ký, loại bỏ hai người ký hợp pháp, và giành quyền kiểm soát hoàn toàn hệ thống đúc của giao thức. Trong vòng vài phút, thứ vốn dĩ hoạt động như một hệ thống quản trị đa bên đã trở thành một môi trường kiểm soát đơn lẻ hoàn toàn bị xâm phạm.

Sau khi có quyền truy cập, kẻ tấn công đã đúc ra số lượng lớn stablecoin không có tài sản thế chấp hợp lệ.

Khoảng 8,35 triệu USDR và 4,5 triệu EURR đã được tạo ra mà không có sự đảm bảo thế chấp hợp pháp, ngay lập tức đưa vào hệ sinh thái nguồn cung tổng hợp. Tổng cộng, vụ khai thác đã đưa vào thị trường khoảng 13,5 triệu đô la giá trị tài sản không có tài sản thế chấp.

Điều này ngay lập tức gây ra sự sụp đổ trong sự ổn định của tỷ lệ gắn kết.

EURR nhanh chóng giảm từ vùng mục tiêu 1,15 đô la xuống còn khoảng 0,88 đô la trước khi ổn định quanh mức 0,85–0,88 đô la. Trong khi đó, USDR còn gặp phải sự sụp đổ nghiêm trọng hơn do điều kiện thanh khoản mỏng hơn và độ sâu thị trường yếu hơn.

USDR ban đầu sụp đổ từ 1,00 đô la xuống còn khoảng 0,70 đô la, với một số pool trao đổi phi tập trung tạm thời in ra giá gần 0,38 đô la trong các giai đoạn mất cân bằng cực đoan và thanh khoản thấp.

Ở một số thời điểm, các pool tạo lập thị trường tự động bị quá tải bởi áp lực bán, USDR chiếm ưu thế trong thành phần thanh khoản vượt quá mức bền vững. Khi các pool mất cân bằng trong các điều kiện này, cơ chế định giá nhanh chóng suy yếu, thúc đẩy hoảng loạn và tạo ra các vòng xoáy giảm giá tự củng cố.

Mặc dù kẻ tấn công đã đúc hơn 13 triệu đô la trong nguồn cung tổng hợp, nhưng lượng rút ra thực tế có vẻ thấp hơn nhiều vì điều kiện thanh khoản không thể hấp thụ các khoản thoát ra lớn một cách sạch sẽ. Các báo cáo cho biết kẻ tấn công đã chuyển đổi các tài sản bị đánh cắp thành khoảng 1.115 ETH, trị giá khoảng 2,8 triệu đô la vào thời điểm đó.

Tuy nhiên, thiệt hại rộng lớn hơn nhiều so với lượng rút ra thực tế.

Nhà phân tích on-chain ZachXBT ước tính thiệt hại hệ thống thực tế gần 10 triệu đô la khi xem xét tác động thị trường, tổn thất của người nắm giữ và các tác động làm mất ổn định tỷ lệ gắn kết.

Sự phân biệt này quan trọng vì thất bại của stablecoin thường gây ra thiệt hại tâm lý vượt quá quy mô khai thác trực tiếp.

Trong các hệ thống stablecoin, niềm tin chính là sản phẩm.

Khi người dùng bắt đầu nghi ngờ về các đảm bảo rút tiền, tính toàn vẹn của dự trữ hoặc kiểm soát quản trị, sự ổn định của tỷ lệ gắn kết có thể sụp đổ rất nhanh bất kể điều kiện dự trữ thực tế như thế nào.

Một trong những khía cạnh đáng báo động nhất của vụ việc là cách mà thất bại trong quản trị có vẻ như có thể phòng ngừa được xét về mặt lý thuyết.

Cấu trúc đa chữ ký 1 trong 3 cung cấp mức độ bảo vệ cực kỳ yếu cho các hệ thống kiểm soát quyền đúc. Trong điều kiện đối đầu, nó chỉ hoạt động tốt hơn một chút so với hệ thống một chìa khóa vì việc xâm phạm bất kỳ người ký nào cũng đồng nghĩa với việc xâm phạm toàn bộ giao thức.

Các giao thức DeFi trưởng thành hơn như MakerDAO, Aave, và Compound thường sử dụng các biện pháp bảo vệ quản trị mạnh hơn nhiều, bao gồm:
ngưỡng đa chữ ký cao hơn,
trì hoãn thực thi qua khóa thời gian,
hệ thống phủ quyết khẩn cấp,
và xác thực quản trị nhiều lớp.

StablR được cho là đã không thực hiện hiệu quả bất kỳ biện pháp bảo vệ nào trong số này.

Không có cửa sổ xem xét bắt buộc trước khi các thay đổi quyền sở hữu có thể thực thi. Không có quy định về đa số để thực hiện các hành động đúc quan trọng. Không có lớp xác minh thứ cấp ngăn chặn việc leo thang đơn phương. Một khi kẻ tấn công có quyền truy cập ban đầu, việc kiểm soát quản trị gần như trở nên dễ dàng.

Điều gây tổn hại không kém là phản ứng truyền thông sau vụ khai thác.

Tính đến ngày 25 tháng 5, chưa có báo cáo sự cố công khai toàn diện nào được phát hành rõ ràng về tình trạng dự trữ, kế hoạch phục hồi, tái cấu trúc quản trị hoặc cơ chế bồi thường cho các người nắm giữ bị ảnh hưởng.

Trong thị trường stablecoin, tốc độ truyền thông không phải là tùy chọn —
nó là một phần của cơ chế ổn định chính.

Khi người dùng thiếu thông tin trong các sự kiện khủng hoảng, thị trường tự nhiên bắt đầu giả định các kịch bản tồi tệ nhất. Sự không chắc chắn đó thúc đẩy các hoạt động rút tiền, thoát thanh khoản và lệch giá thêm nữa.

Vẫn còn nhiều câu hỏi quan trọng chưa được trả lời:
Dự trữ vẫn còn nguyên vẹn chứ?
Tài sản không có tài sản thế chấp sẽ bị đốt cháy chứ?
Việc rút tiền có thể tiếp tục bình thường chứ?
Kiến trúc quản trị có được nâng cấp ngay lập tức không?
Và quan trọng nhất:
Liệu niềm tin có thể thực sự được khôi phục sau một thất bại quản trị nghiêm trọng như vậy không?

Các tác động rộng lớn hơn giờ đây vượt ra ngoài chính StablR.

Dù hệ sinh thái vẫn còn nhỏ so với các gã khổng lồ như USDT hay USD Coin, vụ việc này củng cố những mối lo ngày càng tăng về các tích hợp stablecoin nhỏ trong các hệ thống tài chính phi tập trung.

Stablecoins liên kết chặt chẽ với các giao thức cho vay, các pool thanh khoản, hệ thống đòn bẩy và thị trường thế chấp. Khi một stablecoin thất bại đột ngột, các tác động có thể lan rộng qua nhiều lớp DeFi thông qua thanh lý bắt buộc, tổn thất thế chấp, và phân mảnh thanh khoản.

Đây là lý do tại sao sự kiện này mang tính cấu trúc quan trọng.

Sự sụp đổ của StablR cho thấy rằng chỉ phù hợp quy định thôi chưa đủ để đảm bảo an toàn. Tuân thủ MiCA có thể cải thiện khung pháp lý và giám sát, nhưng thiết kế quản trị ở cấp độ giao thức vẫn giữ vai trò quan trọng không kém.

Thị trường hiện đang phân chia thành ba nhóm hành vi.

Một số nhà giao dịch cố gắng tích trữ các vị trí EURR và USDR giảm giá, đặt cược rằng dự trữ vẫn còn nguyên vẹn và khả năng phục hồi một phần là có thể xảy ra.

Những người khác ưu tiên bảo toàn vốn, rút khỏi các vị trí bất chấp tổn thất đã thực hiện do lo ngại về sự suy giảm thêm.

Trong khi đó, các thành viên DeFi rộng hơn đang xem xét lại mức độ tiếp xúc với các hệ sinh thái stablecoin nhỏ hơn, ngày càng quay trở lại các tài sản có thanh khoản sâu hơn như USDT và USD Coin.

Con đường tương lai cho EURR và USDR giờ đây gần như phụ thuộc vào khả năng StablR có thể khôi phục đồng thời ba trụ cột:
minh bạch dự trữ,
uy tín quản trị,
và niềm tin thanh khoản.

Không có đủ cả ba, thị trường khó có thể khôi phục hoàn toàn niềm tin vào tỷ lệ gắn kết.

Về cốt lõi, đây không chỉ đơn thuần là một vụ khai thác kỹ thuật.

Đây là một thất bại về cấu trúc quản trị đã phơi bày cách mà niềm tin, thanh khoản và sự ổn định giá có thể biến mất nhanh chóng khi hạ tầng tài chính quan trọng thiếu các biện pháp bảo vệ quản trị cứng cáp.

Và trong thị trường stablecoin, một khi niềm tin bị phá vỡ, việc phục hồi còn khó khăn hơn nhiều so với chính vụ khai thác.