El 24 de mayo de 2026, la firma de seguridad en blockchain Blockaid detectó un exploit activo dirigido al sistema de emisión de StablR, rastreando la brecha hasta un compromiso de clave privada en un multisig de acuñación que operaba con un peligrosamente débil umbral de firma de 1 de 3.
📊 El daño en números:
El atacante agregó su propia dirección como propietario, expulsó a los dos firmantes legítimos y procedió a acuñar 8.35 millones de USDR y 4.5 millones de EURR, un valor facial combinado de aproximadamente $10.4 millones al peg.
El atacante intercambió esos tokens recién acuñados en intercambios descentralizados por solo 1,115 ETH, aproximadamente $2.8 millones, ya que la liquidez delgada absorbió la mayor parte del slippage, lo que significa que el atacante acuñó $10.4M en valor teórico pero extrajo solo $2.8M en pérdidas reales para el protocolo. (BeInCrypto) EURR colapsó a aproximadamente $0.88 y USDR cayó a alrededor de $0.70 firmemente en territorio de depeg en minutos después de la acuñación no autorizada.
📌 El patrón que esto encaja:
Las claves privadas comprometidas se han convertido en el vector de ataque definitorio de la ola de exploits DeFi de 2026. Volo Vault, Wasabi Perps, Echo Bridge y Polymarket fueron todos afectados por exploits de claves de administrador en los últimos dos meses.
Lo que hace a StablR distintivo es su posición regulatoria: la compañía posee una licencia de Institución de Dinero Electrónico (EMI) del regulador financiero de Malta y opera bajo el marco MiCA de la UE, creando un precedente incómodo donde un emisor de stablecoin completamente regulado se desacopla debido a un fallo de seguridad operativa, no a una brecha regulatoria.
💡 Rincón del principiante: ¿Por qué hace que un multisig 1-de-3 sea catastróficamente vulnerable para una stablecoin?
Un umbral de multisig 1-de-3 significa que una sola clave privada comprometida otorga control total y unilateral sobre la emisión, requiriendo ningún consenso de los otros dos firmantes autorizados para emitir tokens ilimitados sin colateral.
Blockaid fue explícito:
Esto no es un fallo en el contrato inteligente, es una falla en la gestión de claves y gobernanza." Esa distinción importa porque los bugs de código se pueden corregir en horas, mientras que la cultura de gobernanza y las prácticas de gestión de claves tardan mucho más en reformarse genuinamente en toda una organización.
💬 Si una stablecoin con licencia MiCA puede desacoplarse debido a un fallo de multisig 1-de-3, ¿deberían los reguladores de la UE exigir umbrales mínimos de multisig, módulos de seguridad de hardware y horarios de rotación de claves obligatorios como requisitos técnicos de licencia, o es mejor dejar la seguridad operativa a la discreción del emisor?
#StablRDepegsAfterAttack #StablecoinSecurity #Ethereum #MiCA #CryptoSecurity
DYOR | Contenido educativo solamente | No es asesoramiento financiero