Violation de la sécurité StablR : 2,8 millions de dollars perdus après la compromission de la clé Multisig

Table des matières StablR, un émetteur de stablecoin réglementé, a été victime d'une faille de sécurité majeure dimanche, les pirates informatiques ayant drainé environ 2,8 millions de dollars de la plateforme. L'exploit a été identifié pour la première fois par la société de sécurité blockchain Blockaid à l'aide de son système de détection des menaces en temps réel. 🚨Community Alert Blockaid a identifié un exploit en cours sur @StablREuro. ~2,8 millions de dollars extraits jusqu'à présent. Les deux jetons sont désindexés : 0x50753cfaf86c094925bf976f218d043f8791e408 (StablR Euro) et 0x7b43e3875440b44613dc3bc08e7763e6da63c8f8 (StablR USD) le… — Blockaid (@blockaid_) mai 24, 2026 La cause première semble être une clé privée compromise dans le portefeuille multisignature de StablR. La configuration du portefeuille présentait une configuration de seuil inadéquate de 1 sur 3, ne nécessitant qu'une seule clé pour autoriser les transactions. Tirant parti de cette vulnérabilité, le pirate informatique a ajouté sa propre adresse en tant que propriétaire autorisé tout en supprimant simultanément les propriétaires légitimes. Cet accès leur a permis de frapper illégalement 8,35 millions de jetons USDR et 4,5 millions EURR. Blockaid n’a pas mâché ses mots pour décrire l’incident. "Il ne s'agit pas d'un bug de contrat intelligent, mais d'un échec de gestion et de gouvernance clé", a déclaré la société de sécurité. La création non autorisée de jetons a déclenché une grave dégradation des deux offres de stablecoin de StablR. EURR, le stablecoin de la plateforme libellé en euros avec une capitalisation boursière de 14 millions de dollars, a connu une baisse spectaculaire de 23 %, passant de son taux de référence de 1,15 $ à 0,88 $. #PeckShieldAlert $USDR et $EURR se sont désindexés (-20 %) @StablREuro pic.twitter.com/uITOL4nHH1 — PeckShieldAlert (@PeckShieldAlert) 24 mai 2026 Pendant ce temps, l'USDR, le jeton indexé sur le dollar de StablR doté d'une capitalisation boursière de 11 millions de dollars, s'est effondré de 30 % à 0,70 $. Au moment de mettre sous presse, aucun des deux stablecoins n’avait retrouvé son ancrage prévu. L'attaquant a procédé à la liquidation des jetons fraîchement créés via des plateformes d'échange décentralisées. Cependant, les pools de liquidités peu profonds ont eu un impact significatif sur la valeur réelle extraite : les jetons, d'une valeur nominale d'environ 10,4 millions de dollars, ont été convertis en seulement 1 115 ETH, soit l'équivalent d'environ 2,8 millions de dollars. L'enquêteur Blockchain ZachXBT a estimé le montant total de l'exploitation à environ 10 millions de dollars. L’attaque restait active lorsque les premiers rapports ont fait surface dimanche matin. Au moment d'écrire ces lignes, StablR n'a publié aucune déclaration officielle ni mise à jour via son compte X. Le mois de mai s’est révélé particulièrement problématique pour la sécurité des cryptomonnaies. Les données de DeFiLlama montrent que plus d'une douzaine d'exploits importants ont eu lieu tout au long du mois. Les plates-formes supplémentaires compromises en mai incluent THORChain, Verus Bridge, Echo Protocol et Polymarket. Un fil conducteur parmi de nombreux incidents concerne des clés privées ou administratives compromises plutôt que des vulnérabilités dans le code des contrats intelligents. Volo Vault, Wasabi Perps, Echo Bridge et Polymarket ont tous connu des failles de sécurité comparables basées sur des clés au cours des soixante derniers jours. Le 21 mai, Map Protocol, une solution de pont inter-chaînes Bitcoin, a subi son propre exploit en raison d'une véritable vulnérabilité de contrat intelligent. Dans ce cas, l’attaquant a réussi à frapper un quadrillion de jetons MAPO, déclenchant un effondrement catastrophique des prix de 96 %. StablR se spécialise dans l'émission de pièces stables réglementées avec des réserves conservées dans des comptes séparés auprès d'institutions financières établies. Notamment, Tether, le principal fournisseur mondial de pièces stables, a investi dans StablR en décembre 2024. Au moment de la publication, StablR n'a pas encore publié de réponse officielle concernant la faille de sécurité.