Skip to content
Blockchain Posts

exploit

StablR : EURR et USDR décrochent après un hack de la multisig de mint

Une clé compromise sur la multisig 1-sur-3 de StablR a permis l'émission de 8,35 M USDR et 4,5 M EURR non collatéralisés. L'EURR plonge sous 0,90 $, l'USDR sous 0,65 $.

par 4 min de lecture
exploitethereumstablrstablecoinmica

L'émetteur maltais StablR a vu ses deux stablecoins, EURR (euro) et USDR (dollar), perdre leur ancrage dimanche 24 mai après qu'un attaquant a compromis une clé de signature et utilisé la multisig de mint, configurée en 1-sur-3, pour émettre des jetons non collatéralisés. Environ 8,35 millions d'USDR et 4,5 millions d'EURR ont été frappés sans contrepartie, pour une valeur nominale de l'ordre de 13,5 millions de dollars, puis écoulés sur des DEX pour un profit réalisé estimé à environ 1 115 ETH, soit près de 2,8 millions de dollars.

Ce qui s'est passé

L'enquêteur on-chain ZachXBT a signalé l'incident dimanche. La cible n'était pas un contrat intelligent défaillant mais l'infrastructure administrative de StablR : la multisig qui contrôle l'émission des deux tokens. Configurée en 1-sur-3, elle ne demandait qu'une signature parmi trois pour autoriser un mint — ce qui transforme dans la pratique le schéma multisig en clé unique avec deux signataires de courtoisie.

L'attaquant a utilisé la clé compromise pour s'ajouter comme administrateur, puis a remplacé les anciens propriétaires avant de déclencher les mints. Aucune réserve fiat correspondante n'a été déposée chez StablR : les EURR et USDR créés sortent du protocole sans contrepartie en euro ou en dollar.

Effets sur l'ancrage

L'EURR, censé suivre l'euro, s'est échangé autour de 0,85 $ dans les heures suivant l'incident, soit un décrochage d'environ 26 % par rapport à sa parité. L'USDR a chuté plus brutalement, sous les 0,65 $ — conséquence directe du dump sur des pools secondaires dont la liquidité est trop fine pour absorber plusieurs millions de tokens d'un coup. Le profit réalisé par l'attaquant — environ 2,8 M $ en ETH — reste très inférieur à la valeur faciale émise, justement parce que le glissement de prix sur les pools a mangé la majeure partie du produit.

L'application de paiements Oobit a indiqué avoir bloqué et gelé une partie des fonds liés à l'attaquant via sa rampe off-chain.

L'angle MiCA

StablR n'est pas un projet anonyme. L'émetteur est basé à Malte, dispose d'une licence EMI, opère sous MiCA et était cité comme exemple de stablecoin européen conforme. MiCA impose des obligations sur la couverture des réserves, la séparation des fonds clients et la publication de contrôles d'audit — mais ne fixe pas, en l'état, d'exigence opérationnelle sur le seuil multisig ou la gestion des clés du mint. Une multisig 1-sur-3 reste conforme tant que les réserves sont attestées.

C'est précisément l'écart que l'incident expose : la conformité réglementaire n'a pas empêché l'effondrement, parce que la défaillance ne portait pas sur les réserves mais sur la gouvernance des clés côté émetteur.

Que surveiller

  1. Le post-mortem de StablR. L'émetteur n'a pas encore détaillé publiquement la nature exacte de la fuite de clé ni si une clé chaude était impliquée. Le post-mortem complet déterminera si les fonds gelés par Oobit sont restitués aux porteurs et si une recapitalisation est annoncée pour absorber l'émission non couverte.
  2. La liquidité sur DEX. Les pools EURR et USDR sur Ethereum n'ont pas absorbé l'émission sans dégâts. À surveiller : si les market makers retirent leur liquidité, le décrochage se creuse et la sortie des porteurs devient impossible à parité.
  3. La réaction des régulateurs. La MFSA maltaise, l'AMF et l'ACPR peuvent ouvrir un examen sur la conformité opérationnelle, au regard des exigences de gouvernance interne prévues par MiCA. Ce sera le premier test public d'enforcement sur un stablecoin présenté comme régulé.

Contexte

L'incident StablR rejoint une série de compromissions de multisig depuis le début 2026 où la faille n'était pas le code mais la gestion des clés des signataires. Pour MiCA, c'est le premier cas d'un stablecoin européen présenté comme conforme drainé non par un bug Solidity mais par une faille de gouvernance — un scénario que le règlement, dans sa version actuelle, ne couvre pas opérationnellement.

Sources :

  • Cryptoast — Depeg des stablecoins EURR et USDR de StablR — Que s'est-il passé ?
  • Journal du Coin — 2 stablecoins européens victimes d'un hack : MiCA n'a rien empêché

Articles liés