StablR ha congelado sus stablecoins USDR y EURR después de que un atacante explotara una debilidad en la cartera multisig 1-de-3 del proyecto para acuñar $13.5 millones en tokens no respaldados. El atacante comprometió una sola clave y creó los tokens, aunque la ganancia neta real fue de $2.8 millones, lo que sugiere que la congelación de StablR pudo haber limitado el daño pero no evitó por completo las pérdidas.
Cómo funcionó el ataque
El exploit atacó la cartera multisig que controla la acuñación de tokens. A diferencia de una configuración estándar que requiere múltiples firmas, la configuración de StablR permitía que una sola clave comprometida autorizara la creación de nuevos tokens. Eso le dio al atacante la capacidad de acuñar $13.5 millones en USDR y EURR sin respaldo de reservas.
Los datos de la cadena de bloques muestran que el atacante usó la clave robada para generar los tokens en una sola transacción. Los tokens acuñados fueron luego movidos y parcialmente cobrados antes de que StablR pudiera reaccionar. La extracción neta de $2.8 millones indica que el atacante convirtió algunos de los tokens no respaldados en otros activos o los retiró.
Respuesta de StablR
Tras descubrir la brecha, StablR congeló ambos stablecoins, impidiendo que los tokens acuñados restantes se movieran. La congelación aplica a los $13.5 millones en tokens no respaldados, pero los $2.8 millones ya retirados probablemente no se puedan recuperar. La empresa no ha revelado si intentará recuperar esos fondos o reembolsar a los usuarios afectados.
El incidente resalta un riesgo conocido de las carteras multisig con requisitos de umbral bajos. Los expertos en seguridad han advertido durante mucho tiempo que una configuración 1-de-3 ofrece poca protección si una sola clave queda expuesta. StablR no ha comentado si mejorará su arquitectura de seguridad.
¿Qué sigue para los stablecoins?
USDR y EURR siguen congelados. StablR no ha fijado una fecha para descongelarlos ni ha anunciado un plan para canjear los tokens legítimos. Los usuarios que poseen los stablecoins están atrapados hasta que la empresa resuelva la situación. El regulador o los investigadores también podrían intervenir, aunque no se ha reportado ninguna acción oficial.
La pregunta pendiente es cómo abordará StablR el déficit de $2.8 millones. Si las reservas son insuficientes, los stablecoins podrían perder su paridad de forma permanente, lo que dañaría la confianza en el proyecto. Por ahora, la congelación gana tiempo, pero no resuelve el déficit subyacente.
