IRCNF
Cryptocurrency

StablR pierde 2,8 millones de dólares tras explotar una única clave multisig para acuñar 13,5 millones en stablecoins sin respaldo

Compartir:
StablR pierde 2,8 millones de dólares tras explotar una única clave multisig para acuñar 13,5 millones en stablecoins sin respaldo

El emisor europeo de stablecoins StablR reveló durante el fin de semana un incidente de ciberseguridad que resultó en la acuñación no autorizada de aproximadamente 13,5 millones de dólares en tokens sin respaldo y una fuerte desvinculación tanto de su stablecoin en euros como en dólares. La compañía congeló las operaciones de acuñación y rescate y está coordinando con las autoridades y firmas externas de ciberseguridad mientras la investigación continúa.

El ataque fue señalado públicamente el domingo por el investigador onchain ZachXBT, quien detectó actividad anómala en contratos vinculados a los tokens USDR y EURR de StablR en Ethereum. Las empresas de seguridad blockchain Blockaid y GoPlus Security analizaron posteriormente el vector del ataque.

Cómo funcionó el ataque

La vulnerabilidad se remonta a una configuración críticamente débil en la cartera de acuñación de Ethereum de StablR: una configuración multisig 1-de-3, donde cualquiera de los tres titulares de claves autorizados podía aprobar unilateralmente una transacción de acuñación. Las carteras multisig están diseñadas para requerir un umbral de aprobaciones antes de ejecutar operaciones sensibles; la recomendación estándar para contratos de acuñación de stablecoins es al menos 2-de-3 o superior.

Con un umbral 1-de-3, comprometer una única clave privada era suficiente. La firma de seguridad blockchain GoPlus Security dijo que el atacante comprometió una clave, luego la usó para añadirse como administrador, eliminar a los tres firmantes legítimos y acuñar tokens libremente. El atacante acuñó aproximadamente 8,35 millones de USDR y 4,5 millones de EURR, unos 13,5 millones de dólares según los valores de paridad previstos de los tokens.

Para retirar fondos, el atacante liquidó la oferta recién acuñada a través de exchanges descentralizados. La escasa liquidez en los mercados DeFi — USDR tenía una capitalización de mercado de 20 millones de dólares y EURR alrededor de 14 millones — significó que la enorme orden de venta desplomó los precios. El atacante obtuvo aproximadamente 1.115 ETH, o unos 2,8 millones de dólares, una fracción del valor nominal que acuñó.

Impacto en el mercado

Ambas stablecoins perdieron significativamente su paridad. EURR, nominalmente vinculado al euro en aproximadamente 1,15 dólares, cayó un 23% hasta alrededor de 0,88 dólares en el peor momento del fin de semana. USDR, vinculado al dólar estadounidense, bajó a 0,70 dólares. Según el informe de CoinDesk del martes, USDR se había recuperado parcialmente a 0,994 dólares, mientras que EURR seguía gravemente desvinculado a 0,548 dólares, menos de la mitad del valor en dólares del euro de 1,16 dólares.

StablR reconoció que la oferta circulante de ambos tokens "actualmente no está completamente respaldada en la proporción 1:1" requerida por las regulaciones de la UE. La compañía pidió a los exchanges que detuvieran las operaciones de trading, depósitos y retiros de ambos tokens mientras la investigación continúa.

Implicaciones regulatorias bajo MiCA

Las stablecoins de StablR operan bajo el reglamento de Mercados de Criptoactivos (MiCA) de la UE, el marco regulatorio integral de cripto que entró en vigor en toda la UE a finales de 2024. MiCA exige que los emisores de stablecoins mantengan una reserva de respaldo completa 1:1, cumplan con estrictos estándares de seguridad operativa y notifiquen a los reguladores rápidamente tras incidentes.

StablR dijo que notificará a la Autoridad de Servicios Financieros de Malta (MFSA) tanto según los requisitos de emisor de stablecoins de MiCA como según la Ley de Resiliencia Operativa Digital (DORA) de la UE, que exige informes de incidentes para entidades financieras. La compañía tiene sede en Malta, lo que convierte a MFSA en su principal regulador de la UE.

El incidente es notable como uno de los primeros fallos de seguridad significativos para un emisor de stablecoins regulado por MiCA. Cómo respondan los reguladores — ya sea con un requisito de remediación, una multa o una suspensión de licencia — será observado de cerca por la industria cripto de la UE como una señal de cómo la aplicación de MiCA maneja fallos operativos frente a mala conducta deliberada.

Las explotaciones de claves privadas siguen acumulándose

El ataque se suma a una creciente lista de incidentes DeFi este mes que involucran claves privadas comprometidas. CoinTelegraph señala que la explotación de StablR es uno de más de una docena de ataques cripto significativos solo en mayo de 2026, uniéndose a THORChain, Verus Bridge, Echo Protocol y Polymarket en la lista de víctimas recientes.

El patrón es consistente: los protocolos que concentran operaciones críticas — acuñación, actualizaciones, retiros de fondos — detrás de configuraciones multisig débiles o claves privadas mal aseguradas siguen siendo objetivos de alto valor. La existencia de requisitos de cumplimiento MiCA no evitó este ataque; la vulnerabilidad era arquitectónica, no procedimental. Si las próximas normas técnicas de MiCA para emisores de stablecoins exigirán umbrales multisig más fuertes es una pregunta que los reguladores y la industria deberán responder.

Tether invirtió en StablR en diciembre de 2024, convirtiéndose en un patrocinador financiero de uno de los pocos emisores de stablecoins en euros con licencia MiCA que operan en Europa. Ni Tether ni el mercado más amplio de stablecoins sufrieron contagio significativo por el incidente.

ethereumdefistablecoinhackMiCAStablRmultisig
Compartir: