Les stablecoins Euro (EURR) et StablR USD (USDR) de StablR ont perdu leurs ancrages sur Ethereum le 24 mai après un hack du smart contract de minting du projet, permettant à un attaquant d’extraire environ 2,8 millions de dollars.
La société de sécurité blockchain Blockaid a signalé l’attaque en cours et attribué la faille à un compromis de clé privée, et non à une vulnérabilité des smart contracts de StablR.
Comment l’attaquant a pris le contrôle de StablR
Le multisig de minting supervisant l’émission des jetons StablR ne nécessitait qu’une seule des trois signatures autorisées pour agir. Ce seuil de 1 sur 3 impliquait qu’une seule clé compromise suffisait pour prendre le contrôle total du smart contract.
L’attaquant a ajouté sa propre adresse comme propriétaire et supprimé les deux signataires légitimes. Il a ensuite minté 8,35 millions d’USDR et 4,5 millions d’EURR, soit une valeur nominale totale d’environ 10,4 millions de dollars selon les ancrages.
Blockaid a détaillé la séquence dans un post de suivi sur X :
« Ce n’est pas un bug de smart contract – il s’agit d’un échec de gestion des clés et de gouvernance. »
La faible liquidité sur les exchanges décentralisés (DEX) a considérablement limité le rendement de l’attaquant.
Le swap de 10,4 millions de dollars en tokens fraîchement mintés dans des pools peu profonds n’a permis de récupérer qu’environ 1 115 ETH, soit l’équivalent de 2,8 millions de dollars.
EURR a chuté d’environ 20 % sur la liquidité Ethereum suivie, et USDR a également perdu son ancrage au dollar, la pression à la vente ayant submergé les pools disponibles.
Une faille de gouvernance récurrente
L’épisode rappelle d’autres attaques contre les stablecoins dans lesquelles un minting non autorisé a entraîné une perte rapide des ancrages.
Plus largement, il s’inscrit dans une vague persistante de hacks DeFi par compromission de clés privées, qui ont contribué à des records de vols dans la crypto ces dernières années.
Une faille similaire sur le stablecoin Resolv début 2026 a utilisé une mécanique presque identique, où une seule clé insuffisamment sécurisée a permis un minting massif.
StablR détient une licence d’Electronic Money Institution (EMI) auprès du régulateur financier de Malte. La société opère sous le cadre du règlement européen sur les marchés des crypto-actifs (MiCA).
Elle a reçu un investissement stratégique de la part de Tether fin 2024. La manière dont ces liens réglementaires et financiers pèseront sur la réponse au hack n’a pas encore été précisée.
