La «fiable» cripto vuelve a tocar fondo: un hacker simplemente tomó la clave y se acuñó $10.000.000.
Toda la seguridad del proyecto descansaba en un esquema en el que una sola firma decidía demasiado.
Las monedas estables EURR y USDR de la empresa StablR perdieron la paridad con el euro y el dólar tras un ataque al contrato de emisión de tokens en la red Ethereum. El incidente ocurrió el 24 de mayo de 2026 y recordó cuán vulnerables siguen siendo los proyectos criptográficos incluso con el cumplimiento formal de los requisitos regulatorios.
Sobre el problema informaron especialistas de la empresa Blockaid. Según sus datos, el atacante obtuvo acceso a la clave privada para gestionar la emisión de las monedas estables. El equipo no detectó errores en los contratos inteligentes. Como causa del hack señalaron la protección de acceso débil y un esquema de gobernanza inadecuado.
El contrato de StablR operaba con un esquema de multifirma; sin embargo, para confirmar operaciones se requería solo una firma de las tres posibles. Tras la compromisión de una clave, el atacante añadió su propia dirección a la lista de propietarios y eliminó a dos participantes activos. Luego el atacante emitió 8,35 millones de USDR y 4,5 millones de EURR. El valor nominal total de los tokens superó los 10 millones de dólares.
No fue posible intercambiar completamente los tokens emitidos debido a la baja liquidez en los intercambios descentralizados. Al intentar intercambiarlos, el atacante obtuvo alrededor de 1115 ETH, aproximadamente 2,8 millones de dólares. La venta masiva hundió rápidamente el precio de EURR casi un 20% y USDR también perdió su paridad con el dólar.
En Blockaid señalaron que la situación recuerda a ataques recientes a proyectos DeFi, donde el problema principal no eran las vulnerabilidades del código, sino errores en la protección de claves y en la gestión de accesos. Un caso similar afectó previamente a la moneda estable Resolv, donde atacantes utilizaron un esquema análogo para la emisión no autorizada de tokens.
La empresa StablR opera con una licencia EMI otorgada por el regulador financiero de Malta y está sujeta al reglamento europeo MiCA. A finales de 2024, la compañía Tether se convirtió en inversora estratégica del proyecto. StablR aún no ha revelado cómo planea compensar las pérdidas tras el ataque ni cómo devolver la estabilidad a los tokens.