Les stablecoins EURR et USDR de la plateforme StablR ont perdu leur ancrage ce 24 mai après la compromission d’une clé privée au sein du compte multisig chargé du minting. Selon Cointelegraph, l’exploit aurait permis de frapper des millions de tokens non adossés. Les pertes estimées divergent selon les sources : 2,8 M$ d’après Cointelegraph, autour de 10 M$ selon plusieurs signaux circulant en parallèle. L’enquête est en cours.

Qu’est-ce qui a permis cet exploit ?

Le vecteur identifié est la compromission d’une clé privée appartenant à l’un des signataires du multisig de minting, selon Blockaid cité par Cointelegraph. Un multisig est un mécanisme de sécurité qui exige plusieurs signatures pour valider une opération sensible, comme la création de nouveaux tokens. Lorsqu’une seule clé est compromise, l’attaquant peut, sous certaines conditions de configuration du seuil de signature, obtenir l’autorisation nécessaire pour frapper des tokens arbitraires.

C’est précisément ce scénario qui s’est produit ici : des EURR et USDR ont été émis sans contrepartie réelle, ce qui a instantanément dilué la valeur des tokens existants. L’EURR aurait décroché de plus de 20 % et l’USDR de plus de 30 % par rapport à leurs parités cibles, d’après les informations disponibles à ce stade.

Pourquoi les chiffres de pertes varient-ils autant ?

La fourchette entre 2,8 M$ (Cointelegraph) et 10 M$ (autres signaux) reflète une incertitude encore présente sur l’ampleur exacte des tokens frappés illégitimement et sur leur valorisation au moment de l’exploit. Ce type de divergence est fréquent dans les premières heures d’un incident : les données on-chain nécessitent un temps de dépouillement, et les plateformes concernées ne communiquent pas toujours en temps réel.

Ce n’est pas la première fois qu’un hack via compromission de multisig sème la panique sur un protocole. Le hack Ronin avait ainsi fait disparaître 620 M$ de la sidechain d’Axie Infinity en mars 2022, via une attaque ciblant directement les validateurs du bridge. Plus récemment, l’incident sur le bridge Nomad avait mobilisé une horde d’imitateurs dès que la faille initiale avait été rendue publique.

Quel est l’impact sur les détenteurs d’EURR et d’USDR ?

Un dépeg de 20 à 30 % sur un stablecoin représente une perte immédiate pour tout détenteur qui ne peut ou ne souhaite pas attendre un éventuel retour à la parité. Pour les utilisateurs ayant intégré ces tokens dans des protocoles DeFi, les conséquences peuvent être amplifiées par des mécanismes de liquidation automatique ou des positions collatéralisées exposées à la volatilité du prix sous-jacent.

StablR cible principalement les marchés européens et institutionnels avec ses stablecoins libellés en euros et en dollars. Un dépeg prolongé fragilise la confiance dans ce segment encore en développement, notamment dans un contexte où plusieurs acteurs cherchent à se conformer au cadre MiCA pour les émetteurs de tokens référencés à des actifs. La compromission de clés privées chez Ledger et Trezor avait déjà illustré à quel point la sécurité des dispositifs de signature reste le maillon critique de tout l’écosystème.

La situation reste évolutive. Aucun montant définitif n’a été confirmé par StablR au moment de la publication. Les détenteurs d’EURR et d’USDR sont invités à surveiller les canaux officiels du projet avant d’effectuer toute opération. Ce type d’incident rappelle également les risques systémiques que les bridges et protocoles cross-chain peuvent concentrer : plus de 2,5 Md$ avaient été dérobés sur ces infrastructures en 2022 seul.

Lecture CryptoActu La compromission d’un signataire dans un multisig de minting illustre un paradoxe de sécurité récurrent : le multisig est présenté comme une couche de protection, mais son niveau de sécurité réel dépend entièrement du nombre de signataires requis et de la robustesse opérationnelle de chacun. Un seuil 1-sur-N équivaut en pratique à une clé unique. StablR devra préciser la configuration exacte de son multisig pour que la communauté puisse évaluer l’ampleur de la défaillance structurelle.

Et pour la France ?

StablR propose un stablecoin libellé en euros, ce qui le place dans le champ de la réglementation MiCA pour les émetteurs de tokens référencés à des actifs (ART). L’AMF et l’ACPR surveillent ce segment avec attention depuis l’entrée en vigueur du volet stablecoins de MiCA au 30 juin 2024. Un incident de cette nature sur un token euro pourrait alimenter les discussions réglementaires sur les exigences de sécurité imposées aux multisigs d’émission.

À retenir

L’exploit StablR a provoqué le dépeg de l’EURR et de l’USDR via la compromission d’une clé du multisig de minting. Les pertes restent à confirmer, entre 2,8 M$ et 10 M$ selon les estimations. À surveiller : la communication officielle de StablR et l’analyse on-chain complète des tokens frappés illégitimement.

Sources

Signal Baissier
Impact Majeur
Nous ajouter à vos sources préférées sur Google