Le 24 mai 2026, la société de sécurité blockchain Blockaid a détecté une exploitation active ciblant le système d'émission de StablR, retraçant la faille à un compromis de clé privée sur un multisig de minting qui fonctionnait avec un seuil de signature dangereusement faible de 1 sur 3.
📊 Les dégâts en chiffres :
L'attaquant a ajouté sa propre adresse en tant que propriétaire, expulsé les deux signataires légitimes, et a procédé à mint 8,35 millions de USDR et 4,5 millions de EURR, une valeur faciale combinée d'environ 10,4 millions de dollars au peg.
L'attaquant a swapé ces tokens fraîchement mintés sur des échanges décentralisés pour seulement 1 115 ETH, soit environ 2,8 millions de dollars, car la liquidité mince a absorbé la majorité du slippage, ce qui signifie que l'attaquant a minté 10,4 millions de dollars en valeur théorique mais n'a extrait que 2,8 millions de dollars en pertes réelles pour le protocole. (BeInCrypto) EURR s'est effondré à environ 0,88 $ et USDR est tombé à environ 0,70 $, fermement en territoire de dépegging en quelques minutes après le minting non autorisé.
📌 Le schéma correspondant :
Les clés privées compromises sont devenues le vecteur d'attaque définissant la vague d'exploit DeFi de 2026. Volo Vault, Wasabi Perps, Echo Bridge et Polymarket ont tous été touchés par des exploits de clés admin au cours des deux derniers mois.
Ce qui rend StablR distinctif, c'est sa position réglementaire : l'entreprise détient une licence d'Institution de Monnaie Électronique (EMI) de l'autorité financière maltaise et opère sous le cadre MiCA de l'UE, créant un précédent inconfortable où un émetteur de stablecoin entièrement régulé se dépeg en raison d'un échec de sécurité opérationnelle, et non d'un vide réglementaire.
💡 Coin des Débutants Pourquoi un seuil de multisig 1-sur-3 rend-il un stablecoin catastrophiquement vulnérable ?
Un seuil de multisig 1-sur-3 signifie qu'une seule clé privée compromise accorde un contrôle total et unilatéral sur la création de jetons, nécessitant aucun consensus des deux autres signataires autorisés pour émettre des jetons illimités sans aucune garantie.
Blockaid était explicite :
Ce n'est pas un bug de contrat intelligent, c'est un échec de gestion des clés et de gouvernance." Cette distinction compte car les bugs de code peuvent être corrigés en quelques heures, tandis que la culture de gouvernance et les pratiques de gestion des clés prennent beaucoup plus de temps à réformer véritablement dans une organisation.
💬 Si un stablecoin licencié MiCA peut se dépeg en raison d'un échec de multisig 1-sur-3, les régulateurs de l'UE devraient-ils exiger des seuils minimaux de multisig, des modules de sécurité matériels et des calendriers de rotation de clés obligatoires comme exigences techniques de licence, ou la sécurité opérationnelle doit-elle être laissée à la discrétion de l'émetteur ?
#StablRDepegsAfterAttack #StablecoinSecurity #Ethereum #MiCA #CryptoSecurity
DYOR | Contenu éducatif uniquement | Pas de conseils financiers