IRCNF
Cryptocurrency

StablR perd 2,8 millions de dollars après qu'un attaquant a exploité une seule clé multisignature pour frapper 13,5 millions de dollars en stablecoins non adossés

Partager:
StablR perd 2,8 millions de dollars après qu'un attaquant a exploité une seule clé multisignature pour frapper 13,5 millions de dollars en stablecoins non adossés

L'émetteur européen de stablecoins StablR a divulgué un incident de cybersécurité ce week-end qui a entraîné la frappe non autorisée d'environ 13,5 millions de dollars en tokens non adossés et un dépeg brutal de ses deux stablecoins, l'un en euros et l'autre en dollars américains. La société a gelé les opérations de minting et de rachat et se coordonne avec les forces de l'ordre et des cabinets externes de cybersécurité alors que l'enquête se poursuit.

L'attaque a été signalée publiquement dimanche par l'enquêteur onchain ZachXBT, qui a repéré une activité anormale dans les contrats liés aux tokens USDR et EURR de StablR sur Ethereum. Les sociétés de sécurité Blockchain Blockaid et GoPlus Security ont ensuite analysé le vecteur d'attaque.

Comment l'attaque a fonctionné

La vulnérabilité remontait à une configuration extrêmement faible dans le portefeuille de minting Ethereum de StablR : un dispositif multisignature 1-sur-3, où n'importe lequel des trois détenteurs de clés autorisés pouvait approuver unilatéralement une transaction de minting. Les portefeuilles multisignature sont conçus pour exiger un seuil d'approbations avant d'exécuter des opérations sensibles — la recommandation standard pour les contrats de minting de stablecoins est d'au moins 2-sur-3 ou plus.

Avec un seuil 1-sur-3, compromettre une seule clé privée suffisait. La société de sécurité Blockchain GoPlus Security a déclaré que l'attaquant avait compromis une clé, puis l'avait utilisée pour s'ajouter comme administrateur, supprimer les trois signataires légitimes, et frapper des tokens librement. L'attaquant a frappé environ 8,35 millions d'USDR et 4,5 millions d'EURR — soit environ 13,5 millions de dollars aux valeurs de peg prévues des tokens.

Pour encaisser, l'attaquant a écoulé l'offre fraîchement frappée via des exchanges décentralisés. La faible liquidité sur les marchés DeFi — USDR avait une capitalisation boursière de 20 millions de dollars et EURR environ 14 millions — a fait que l'ordre de vente massif a fait chuter les prix brusquement. L'attaquant a obtenu environ 1 115 ETH, soit environ 2,8 millions de dollars, une fraction de la valeur faciale qu'il avait frappée.

Impact sur le marché

Les deux stablecoins ont perdu leur peg de manière significative. L'EURR, nominalement arrimé à l'euro à environ 1,15 $, a chuté de 23 % jusqu'à environ 0,88 $ au pire moment du week-end. L'USDR, arrimé au dollar américain, a chuté à 0,70 $. Selon les informations de CoinDesk mardi, l'USDR s'était partiellement rétabli à 0,994 $, tandis que l'EURR restait gravement dépegged à 0,548 $ — encore moins de la moitié de la valeur en dollars de l'euro (1,16 $).

StablR a reconnu que l'offre en circulation des deux tokens "n'est actuellement pas entièrement adossée au ratio 1:1" requis par la réglementation européenne. La société a demandé aux exchanges de suspendre les échanges, les dépôts et les retraits pour les deux tokens pendant que l'enquête se poursuit.

Implications réglementaires sous MiCA

Les stablecoins de StablR fonctionnent sous le règlement européen Markets in Crypto-Assets (MiCA) — le cadre réglementaire complet pour les crypto-actifs qui a pris effet dans toute l'UE fin 2024. MiCA exige que les émetteurs de stablecoins maintiennent un adossement complet des réserves au ratio 1:1, se conforment à des normes strictes de sécurité opérationnelle, et notifient rapidement les régulateurs après des incidents.

StablR a déclaré qu'il notifiera la Malta Financial Services Authority (MFSA) en vertu à la fois des exigences de MiCA pour les émetteurs de stablecoins et du Digital Operational Resilience Act (DORA) de l'UE, qui impose le signalement des incidents pour les entités financières. La société est basée à Malte, ce qui fait de la MFSA son principal régulateur européen.

Cet incident est notable comme l'un des premiers échecs de sécurité majeurs pour un émetteur de stablecoins régulé par MiCA. La manière dont les régulateurs réagiront — que ce soit par une exigence de remédiation, une amende ou une suspension de licence — sera surveillée de près par l'ensemble de l'industrie crypto européenne, comme un signal de la façon dont l'application de MiCA traite les défaillances opérationnelles par rapport aux fautes délibérées.

Les attaques par clé privée se multiplient

Cette attaque s'ajoute à une liste croissante d'incidents DeFi ce mois-ci impliquant des clés privées compromises. CoinTelegraph note que l'exploit de StablR est l'un des plus d'une douzaine d'attaques crypto majeures rien qu'en mai 2026, rejoignant THORChain, Verus Bridge, Echo Protocol et Polymarket sur la liste des victimes récentes.

Le schéma est cohérent : les protocoles qui concentrent les opérations critiques — minting, mises à jour, retraits de fonds — derrière des configurations multisignature faibles ou des clés privées mal sécurisées continuent d'être des cibles de grande valeur. L'existence des exigences de conformité MiCA n'a pas empêché cette attaque ; la vulnérabilité était architecturale, pas procédurale. La question de savoir si les futures normes techniques de MiCA pour les émetteurs de stablecoins exigeront des seuils multisignature plus solides est une question à laquelle les régulateurs et l'industrie devront répondre.

Tether a investi dans StablR en décembre 2024, ce qui en fait un soutien financier de l'un des rares émetteurs de stablecoins en euros sous licence MiCA opérant en Europe. Ni Tether ni le marché plus large des stablecoins n'ont connu de contagion significative suite à l'incident.

ethereumdefistablecoinhackMiCAStablRmultisig
Partager: