L’émetteur européen de stablecoins StablR, enregistré à Malte sous le statut d’établissement de monnaie électronique (EMI) au titre du règlement européen MiCA, a été la cible d’une cyberattaque majeure ayant conduit à l’émission non autorisée de ses tokens EURR et USDR. Selon Cryptoast, l’incident a permis à des pirates d’émettre plus de 4,5 millions d’EURR et 8,35 millions d’USDR, soit un préjudice financier estimé à 13,5 millions de dollars.

Ce qu'il faut retenir

  • Plus de 13,5 millions de dollars émis frauduleusement via une faille dans le contrat de mint des stablecoins EURR et USDR de StablR
  • Une attaque liée à une gestion défaillante des clés de gouvernance, selon l’analyse de Blockaid
  • Les deux stablecoins ont perdu jusqu’à 50 % de leur valeur en quelques heures, avec l’USDR à 0,96 dollar et l’EURR sous 0,70 euro
  • Une partie des fonds volés (plus de six chiffres) a été gelée grâce à l’intervention du chercheur ZachXBT
  • StablR, soutenu par des acteurs majeurs comme Tether et Kraken, fait désormais l’objet d’une enquête interne

Une faille de gouvernance exploitée par des pirates

D’après les informations communiquées par StablR sur son compte X, l’attaque a été rendue possible par l’exploitation d’une vulnérabilité dans la gestion des clés de signature des contrats intelligents. L’entreprise a confirmé avoir identifié un « exploit » affectant son système, sans préciser la nature exacte de la faille. Dans un communiqué publié hier, StablR a indiqué travailler activement à contenir l’attaque et à en limiter l’impact, tout en assurant que « la protection de nos utilisateurs et de vos fonds est notre priorité absolue ».

L’analyse menée par la société de cybersécurité Blockaid, spécialisée dans la blockchain, apporte un éclairage technique sur l’incident. Dans une publication sur X, Blockaid a déclaré que « cette attaque n’est pas un bug de smart contract, mais un échec de gestion des clés et de gouvernance ». Selon ses experts, « une seule clé compromise suffisait pour avoir un contrôle total du multisig de mint », c’est-à-dire du mécanisme permettant d’émettre de nouveaux tokens.

Un effondrement des ancrages en quelques heures

La conséquence immédiate de cette émission frauduleuse a été la perte quasi instantanée des ancrages des deux stablecoins. Dès les premières heures, le cours de l’USDR s’est effondré de plus de 50 %, tombant à environ 0,96 dollar, tandis que l’EURR chutait de près de 30 %, se stabilisant sous les 0,70 euro. Cette volatilité brutale a mis en lumière la faible liquidité disponible sur ces actifs, aggravant l’impact de l’attaque.

D’après les estimations, environ 10 millions de dollars issus des tokens frauduleux ont été immédiatement transférés vers des plateformes décentralisées. Cependant, la majorité des fonds n’ont pas pu être convertis en raison d’une liquidité insuffisante, limitant ainsi le butin final des pirates à quelque 2,8 millions de dollars, soit 1 115 ETH. Cette somme, bien que significative, reste inférieure au volume total émis, soulignant les limites opérationnelles des marchés à ce stade.

Un chercheur en cybersécurité contribue à limiter les dégâts

Parmi les acteurs ayant joué un rôle clé dans la gestion de cette crise figure le chercheur ZachXBT, connu pour ses enquêtes sur les fraudes dans l’écosystème crypto. Selon ses déclarations rapportées par Cryptoast, ZachXBT aurait aidé StablR à « geler une somme à six chiffres » issue des fonds volés. Il a également critiqué la réactivité des responsables du projet, estimant qu’ils semblaient « totalement endormis » durant l’attaque, qui s’est prolongée sur plus de trois heures.

Cette intervention rapide a permis de récupérer une partie des fonds, mais le préjudice reste conséquent pour les détenteurs des deux stablecoins, dont la valeur a été durablement affectée. Les utilisateurs sont désormais confrontés à une incertitude quant à la stabilité future de ces actifs, d’autant que StablR n’a pas encore communiqué de plan de remboursement ou de restauration des ancrages.

Un contexte réglementaire déjà tendu en Europe

L’incident survient dans un contexte où les autorités européennes, et notamment la Banque centrale européenne (BCE), multiplient les mises en garde contre les stablecoins. Selon Cryptoast, la BCE pourrait tirer parti de cet exemple pour renforcer son argumentaire sur les risques liés à la dollarisation numérique et justifier un durcissement de la réglementation MiCA.

StablR, soutenu par des acteurs majeurs comme Tether et Kraken, représentait jusqu’ici un cas d’école pour l’adoption des stablecoins en euros. Son positionnement, en tant qu’établissement de monnaie électronique basé à Malte, en faisait un symbole de la légitimité des cryptomonnaies stables en Europe. L’attaque pourrait donc servir d’argument aux régulateurs pour freiner l’essor de ces actifs, perçus comme une menace pour la souveraineté monétaire.

Et maintenant ?

StablR a indiqué qu’elle publierait prochainement les détails techniques de l’attaque ainsi que les mesures correctives mises en place. Une enquête interne est en cours pour identifier les responsabilités et prévenir de futures intrusions. Par ailleurs, les utilisateurs des stablecoins EURR et USDR sont invités à consulter les annonces officielles de l’entreprise pour connaître les prochaines étapes, notamment en matière de remboursement ou de rachat des actifs dévalués. La date butoir pour les clarifications n’a pas encore été précisée, mais la pression des régulateurs et des investisseurs devrait accélérer le processus.

Côté régulation, l’affaire pourrait relancer le débat sur les exigences de sécurité imposées aux émetteurs de stablecoins en Europe. Si MiCA impose déjà des règles strictes en matière de transparence et de gestion des risques, cet incident pourrait conduire à un renforcement des contrôles, notamment sur la gouvernance des clés de signature et la résilience des infrastructures.

Enfin, la communauté crypto et les détenteurs de ces stablecoins devront faire preuve de patience. Les prochaines semaines seront déterminantes pour évaluer l’impact à long terme de cette attaque sur la crédibilité de StablR et, plus largement, sur la confiance dans les stablecoins en euros. Pour l’heure, aucun calendrier précis n’a été communiqué, et les incertitudes persistent quant à la restauration des ancrages ou à la possibilité d’un remboursement partiel.

Les deux stablecoins ont perdu leur ancrage en raison de l’émission frauduleuse de plus de 13,5 millions de dollars de tokens non autorisés. Cette masse supplémentaire a saturé l’offre sur le marché, provoquant une chute brutale de leur valeur. L’EURR est tombé sous 0,70 euro (-30 %) et l’USDR à 0,96 dollar (-50 %), selon les données disponibles.

ZachXBT est un chercheur indépendant spécialisé dans la détection des fraudes dans l’écosystème crypto. Il a aidé StablR à geler une partie des fonds volés (plus de six chiffres) et a critiqué la lenteur de réaction des responsables du projet, qualifiant leur gestion de « totalement endormie » durant l’attaque.