StablR, un emisor europeo de stablecoin respaldado por Tether, sufrió un ataque el sábado que agotó los fondos de su contrato de acuñación y provocó que sus tokens vinculados al euro y al dólar cayeran significativamente por debajo de sus paridades.
La empresa de seguridad Blockaid, que primero detectó el ataque en la cadena, dijo que aproximadamente $2.8 millones habían sido extraídos. Marcin Kazmierczak, cofundador de RedStone Oracles, y la cuenta de monitoreo en la cadena PharosWatch situaron la cifra cerca de $10 millones. La discrepancia no pudo ser reconciliada inmediatamente; la situación aún estaba en desarrollo al momento de escribir este informe. Tanto EURR, vinculado al euro, como USDR, vinculado al dólar estadounidense, se desvincularon en más del 20%, según múltiples observadores.
StablR se había posicionado como emisor de una stablecoin completamente cumplidora y 100% respaldada, uno de una creciente clase de proyectos regulados de stablecoin en euros dirigidos a los mercados europeos antes de que el marco de la UE sobre Mercados de Activos Criptográficos (MiCA) entre en pleno vigor.
StablR confirmó la explotación en una publicación en X el sábado, diciendo que había "identificado una explotación" y que estaba "trabajando activamente para contenerla y minimizar el impacto". La empresa dijo que compartiría "detalles verificados y próximos pasos tan pronto como sea posible", pero no había proporcionado más detalles en la cadena al momento de la publicación.
Clave comprometida
El sistema de detección automatizado de Blockaid identificó el ataque y emitió una alerta que nombraba las dos direcciones de contrato de tokens en Ethereum. Los analistas on-chain atribuyeron la brecha a una clave comprometida en el multisig de acuñación de StablR, un conjunto de seguridad que requería solo una de las tres firmas autorizadas para aprobar las transacciones de acuñación. Kazmierczak lo describió como "otro ataque de compromiso de clave, esta vez un multisig de acuñación 1-de-3".
PharosWatch señaló que los fondos fueron retirados mediante CCTP —el Protocolo de Transferencia Entre Cadenas de Circle— en Noble, una cadena basada en Cosmos, y afirmó que el investigador on-chain ZachXBT había confirmado el ataque.
Tether, el emisor de la stablecoin más grande del mundo, USDT, realizó una inversión estratégica en StablR en 2024.
El exploit de StablR es el más reciente en una serie de incidentes de seguridad durante el fin de semana que han afectado a protocolos cripto. Kazmierczak dijo: "Parece que no hay fin de semana este año sin un hack."
Se aconsejó a los usuarios que poseen EURR o USDR que procedan con precaución. StablR aún no ha anunciado un plan de recuperación ni proporcionado una evaluación actualizada de las pérdidas totales.