StablR, emisor de stablecoins con sede en Malta, sufrió un incidente de seguridad el domingo, después de que un atacante aprovechara una configuración defectuosa de la firma múltiple para acuñar millones de tokens EURR y USDR sin respaldo y lanzarlos al mercado en plataformas de intercambio descentralizadas (DEX).
Una stablecoin en euros conforme a la MiCA se desvincula hasta situarse en 0,85 dólares tras un ataque a una de las tres firmas múltiples que ha provocado la pérdida de millones
ESCRITO POR
COMPARTIR
Puntos clave
- El EURR de StablR cayó a 0,85 $, y el USDR bajó hasta situarse entre 0,40 $ y 0,64 $ el 24 de mayo después de que los atacantes acuñaran tokens sin respaldo.
- Según se informa, un umbral de multisig de 1 de 3 permitió a los atacantes secuestrar los controles de acuñación, drenando aproximadamente 2,8 millones de dólares en ETH.
- Los observadores de la cadena de bloques señalaron la supuesta configuración débil de la multisig de StablR como un riesgo de gobernanza que la normativa MiCA no previno.
El EURR cae un 24 % y el USDR un 37 % al desvincularse las dos stablecoins de StablR tras un exploit clave
Los informes indican que la brecha no se debió a un fallo en el contrato inteligente. Al parecer, los atacantes obtuvieron acceso a una única clave privada que controlaba una cartera multisig de 1 de 3 que gestionaba la función de acuñación de StablR. Con una sola clave, el atacante eliminó a los firmantes legítimos, añadió una dirección controlada y emitió tokens sin respaldo de garantía.
A las 8:10 a. m. ET del domingo, StablR abordó el problema en X, afirmando:
«Actualización de seguridad: hemos identificado un exploit que afecta a StablR y estamos trabajando activamente para contenerlo y minimizar su impacto. Proteger a nuestros usuarios y sus fondos es nuestra máxima prioridad. Compartiremos los detalles verificados y los próximos pasos tan pronto como sea posible».
Los analistas de Onchain estimaron que el atacante acuñó aproximadamente 8,35 millones de USDR y 4,5 millones de EURR antes de venderlos en pares de intercambio DEX con escasa liquidez. El valor extraído se situó en unos 1115 ETH, lo que equivale a aproximadamente 2,8 millones de dólares, aunque la emisión total de tokens sin respaldo podría haber alcanzado los 10,4 millones de dólares.
La presión vendedora rompió rápidamente ambas paridades. El EURR cayó a 0,85 dólares, un descenso de casi el 24 %. El USDR cayó aún más, cotizando a 0,64 dólares, lo que supone una caída de casi el 36 % en lo que va de año. El USDR tocó un mínimo intradiario de 0,40 dólares. Ambos tokens también cayeron bruscamente frente al dólar estadounidense, el bitcoin y el ethereum.
StablR comercializa el EURR como una stablecoin vinculada al euro y el USDR como un token vinculado al dólar, ambos posicionados como instrumentos regulados bajo el marco de la Directiva sobre Mercados de Criptoactivos (MiCA) de la Unión Europea, con divulgación de pruebas de reservas. La empresa tiende un puente entre las finanzas tradicionales y los mercados de finanzas descentralizadas.
La empresa de seguridad Blockaid denunció públicamente el incidente, describiendo el umbral de «1 de 3» como un «fallo clave de gestión y gobernanza». Muchos observadores comentaron que una sola clave comprometida no debería tener el poder de emitir moneda, pero, al parecer, la configuración de StablR permitía precisamente eso.
«La emisión de EURR estaba controlada por una implementación multisig de 1/3 (no segura) cuyos firmantes fueron sustituidos por el presunto atacante», escribió una cuenta de X el domingo. «A continuación, continuaron transfiriendo y acuñando nuevos EURR para venderlos en los mercados secundarios, lo que provocó una desvinculación del mercado secundario. Cabe señalar que StablR había declarado anteriormente que utilizaba la plataforma de tokenización Hadron de Tether para impulsar la emisión de EURR».
La persona añadió:
«Si se trata de un exploit, es el primero de este tipo para una stablecoin que cumple con la MiCA».
Aunque StablR reconoció el exploit a través de sus cuentas oficiales de X, en el momento de redactar este artículo no se disponía de un análisis técnico detallado ni de un calendario de recuperación. Los analistas de la comunidad en X debatieron a lo largo del día sobre estimaciones de pérdidas que oscilaban entre los 2,8 y los 10,4 millones de dólares. Esta amplia variación refleja la diferencia entre el ethereum (ETH) extraído y el valor nominal total de los tokens sin respaldo introducidos en el mercado.
El incidente encaja en un patrón observado entre los emisores de stablecoins, en el que el punto de fallo es el control administrativo y no el código del contrato. Umbrales de multifirma más altos, bloqueos temporales en las funciones de acuñación, límites de velocidad y sistemas de detección de anomalías son medidas de mitigación estándar para las redes de stablecoins.
El marco regulatorio MiCA, diseñado para exigir responsabilidad a los emisores de stablecoins que operan en Europa, no parece haber exigido los controles operativos que habrían evitado este ataque. Es posible que los reguladores y auditores se vean presionados para abordar las normas clave de gestión de forma más directa tras este suceso. Los titulares de EURR y USDR deben estar atentos a los canales oficiales de StablR para obtener información actualizada sobre cualquier quema prevista del suministro sin respaldo, la reposición de reservas o la compensación. Las principales stablecoins en dólares estadounidenses, incluidas USDT y USDC, no se vieron afectadas. El mercado de stablecoins en general absorbió el incidente sin un contagio significativo, pero el caso de StablR se suma a una lista cada vez mayor de emisores más pequeños y de ámbito regional que pierden el control de la paridad debido a fallos de gobernanza, más que a vulnerabilidades en el código.
