Un stablecoin européen conforme à la MiCA perd son ancrage et tombe à 0,85 $ après qu'une faille dans un système multisignature (1 sur 3) a entraîné le détournement de millions de dollars

L'EURR chute de 24 % et l'USDR de 37 % alors que les deux stablecoins de StablR se dépegent après une faille majeure

Selon les rapports, la faille ne provenait pas d'un défaut du contrat intelligent. Les attaquants auraient eu accès à une seule clé privée contrôlant un portefeuille multisignature à 1 sur 3 qui régissait la fonction de frappe de StablR. À l'aide d'une seule clé, l'attaquant a supprimé les signataires légitimes, ajouté une adresse contrôlée et émis des jetons sans garantie.

Dimanche à 8 h 10 (heure de l'Est), StablR a abordé le problème sur X, déclarant :

« Mise à jour de sécurité : nous avons identifié une faille affectant StablR et travaillons activement à la contenir et à minimiser son impact. La protection de nos utilisateurs et de vos fonds est notre priorité absolue. Nous partagerons les détails vérifiés et les prochaines étapes dès que possible. »

Les analystes d'Onchain ont estimé que l'attaquant avait frappé environ 8,35 millions d'USDR et 4,5 millions d'EURR avant de les vendre sur des paires de trading DEX à faible liquidité. La valeur extraite a été estimée à environ 1 115 ETH, soit environ 2,8 millions de dollars, bien que l'émission totale de jetons non garantis ait pu atteindre 10,4 millions de dollars.

La pression à la vente a rapidement fait céder les deux ancrages. L’EURR est tombé à 0,85 $, soit une baisse de près de 24 %. L’USDR a encore chuté, s’échangeant à 0,64 $, soit une baisse de près de 36 % depuis le début de l’année. L’USDR a atteint un plus bas intrajournalier de 0,40 $. Les deux tokens ont également fortement chuté face au dollar américain, au bitcoin et à l’ethereum.

StablR commercialise l'EURR comme un stablecoin indexé sur l'euro et l'USDR comme un token indexé sur le dollar, tous deux positionnés comme des instruments réglementés dans le cadre de la directive « Markets in Crypto-Assets » (MiCA) de l'Union européenne, avec la publication de preuves de réserves. La société fait le pont entre la finance traditionnelle et les marchés de la finance décentralisée.

La société de sécurité Blockaid a signalé publiquement l'incident, qualifiant le seuil « 1 sur 3 » de « défaillance majeure en matière de gestion des clés et de gouvernance ». De nombreux observateurs ont fait remarquer qu'une seule clé compromise ne devrait pas avoir le pouvoir d'émettre de la monnaie, mais la configuration de StablR aurait précisément permis cela.

« L'émission d'EURR était contrôlée par une implémentation multisignature 1/3 (non sécurisée) dont les signataires ont été remplacés par le présumé attaquant », a écrit dimanche un compte X. « Ils ont ensuite continué à transférer et à frapper de nouveaux EURR pour les vendre sur les marchés secondaires, ce qui a entraîné un découplage sur le marché secondaire. Il convient de noter que StablR a précédemment déclaré utiliser la plateforme de tokenisation Hadron de Tether pour alimenter l'émission d'EURR. »

La personne a ajouté :

« S'il s'agit d'une faille, c'est la première du genre pour un stablecoin conforme à la MiCA. »

Bien que StablR ait reconnu l’exploitation via ses comptes X officiels, aucun rapport technique détaillé ni calendrier de rétablissement n’était disponible au moment de la rédaction de cet article. Tout au long de la journée, les analystes de la communauté sur X ont débattu d’estimations de pertes allant de 2,8 millions à 10,4 millions de dollars. Cette grande variance reflète la différence entre l’ethereum (ETH) extrait et la valeur nominale totale des jetons non adossés introduits sur le marché.

Cet incident s’inscrit dans une tendance observée chez les émetteurs de stablecoins, où le point de défaillance réside dans le contrôle administratif plutôt que dans le code contractuel. Des seuils multisignatures plus élevés, des verrous temporels sur les fonctions de frappe, des limites de débit et des systèmes de détection d’anomalies constituent des mesures d’atténuation standard pour les réseaux de stablecoins.

Le cadre réglementaire MiCA, conçu pour responsabiliser les émetteurs de stablecoins opérant en Europe, ne semble pas avoir imposé les contrôles opérationnels qui auraient permis d'empêcher cette attaque. Les régulateurs et les auditeurs pourraient subir des pressions pour aborder plus directement les normes de gestion clés à la suite de cet événement. Les détenteurs d'EURR et d'USDR devraient suivre les canaux officiels de StablR pour obtenir des mises à jour sur toute destruction prévue de l'offre non garantie, le réapprovisionnement des réserves ou l'indemnisation. Les principaux stablecoins en dollars américains, notamment l'USDT et l'USDC, n'ont pas été affectés. Le marché des stablecoins dans son ensemble a absorbé cet événement sans contagion significative, mais l'incident de StablR s'ajoute à une liste croissante d'émetteurs de plus petite taille et à vocation régionale qui perdent le contrôle de leur ancrage en raison de défaillances de gouvernance plutôt que de vulnérabilités du code.