StablR sufre un ataque de firmas múltiples; EURR y USDR se desanclan, y se acuñan 13,5 millones de tokens

El emisor europeo de stablecoins, StablR, fue objeto de un ataque de firmas múltiples entre la noche del 24 de mayo y la madrugada del 25 de mayo. Los atacantes, mediante el robo de una clave privada de firmas múltiples 1/3 del contrato de acuñación, acuñaron en unas 3 horas 8,35 millones de USDR y 4,5 millones de EURR y los vendieron en un exchange descentralizado, lo que hizo que EURR cayera a unos 0,85 dólares y USDR a unos 0,64 dólares.

El mecanismo técnico del ataque: cómo se vulneró el umbral de firmas múltiples 1/3

Blockaid confirmó que la causa técnica de este ataque fue la filtración de la clave privada de uno de los firmantes en el mecanismo de firmas múltiples de acuñación de StablR. La función de acuñación de StablR utiliza un esquema de firmas múltiples 1/3 (umbral de una tercera parte): basta con que uno de los tres firmantes autorizados apruebe para ejecutar la acuñación. El atacante, a través de la clave privada filtrada, añadió la suya propia como administrador; reemplazó al propietario legítimo original; y completó en 3 horas una acuñación no autorizada de 8,35 millones de USDR y 4,5 millones de EURR.

El atacante también aprovechó el control administrativo obtenido para incluir en una lista negra y destruir al menos un token perteneciente a un contraparte legítima; los registros on-chain confirman al menos una destrucción de aproximadamente 2,7 millones de EURR (unos 2,4 millones de dólares), provenientes de una billetera que había realizado durante meses operaciones de reembolso regulares con StablR. La billetera del atacante cargó fondos iniciales mediante el protocolo de transferencia entre cadenas de Circle (CCTP) en Noble.

Datos confirmados de pérdidas reales e impacto en el mercado

El análisis de Blockaid confirmó que, por un valor nominal de aproximadamente 10,4 millones de dólares, los tokens se convirtieron en ETH a través de exchanges descentralizados, pero debido al gran deslizamiento causado por falta de liquidez, la ganancia neta real del ataque se estima en unos 2,8 millones de dólares. Al domingo por la mañana, la billetera concentrada del atacante, marcada en Etherscan como «StablR Exploiter 2», tenía 1.488 ETH (aprox. 3,15 millones de dólares). ZachXBT ya ha ayudado a congelar fondos robados de seis cifras.

En cuanto a precios, según datos de CoinGecko: el precio de EURR cayó a unos 0,85 dólares (el punto de anclaje euro a dólar era de aproximadamente 1,15 dólares, con una caída de alrededor del 26%); USDR cayó a unos 0,64 dólares (caída de alrededor del 36%). La oferta total de stablecoins denominadas en euro en Ethereum representa actualmente aproximadamente el 0,24% de la oferta total de stablecoins con soporte fiduciario en Ethereum.

Preguntas frecuentes

¿Cómo se evalúa la seguridad del umbral de firmas múltiples 1/3 en la industria y por qué se considera un defecto de diseño?

Los principios de diseño de seguridad de las multisig (Multisig) buscan aumentar la cantidad de llaves que un atacante debe comprometer; cuanto menor sea el umbral, más fácil es de vulnerar. Un umbral 1/3 (una tercera parte) significa que el atacante solo necesita controlar a uno de los tres firmantes autorizados para ejecutar por completo operaciones de alto privilegio como la acuñación. Comparación en la industria: en 2022, el puente Harmony Horizon, antes de ser explotado por 100 millones de dólares, utilizaba un umbral 2/5; en ese momento, analistas de seguridad ya señalaron que era un diseño de seguridad insuficiente. Soluciones multisig populares como Gnosis Safe suelen recomendar umbrales de 3/5 o más para operaciones de alto privilegio a nivel de protocolo. Blockaid indicó de forma explícita que el umbral 1/3 es un problema de gobernanza y de gestión de llaves de StablR, no una vulnerabilidad del propio código del smart contract.

¿Qué impacto tiene el trasfondo de cumplimiento MiCA de StablR y la inversión de Tether/Kraken en este incidente de ataque?

MiCA (Regulación de Mercados de Activos Cripto) regula principalmente requisitos de reservas para stablecoins, calificaciones de emisión y divulgación de riesgos, y no establece requisitos técnicos directos para la arquitectura de seguridad de contratos inteligentes. StablR cuenta con una licencia de dinero electrónico de la MFSA y credenciales de cumplimiento MiCA, pero estos reconocimientos regulatorios no cubren las decisiones de diseño de seguridad al desplegar el contrato. Tether y Kraken, como inversores estratégicos, tampoco sufrieron pérdidas financieras directas en este evento, pero el incidente afectó la reputación de sus inversiones en el mercado europeo de stablecoins conforme a regulación.

¿Cómo refleja este ataque un cambio general en el patrón de amenazas de ciberseguridad cripto de 2026?

El análisis de Blockaid y varios casos principales de ataques en 2026 apuntan a una misma tendencia: los eventos con mayores pérdidas ya no provienen de vulnerabilidades de código de contratos inteligentes de nueva generación, sino de errores de diseño en accesos privilegiados, gobernanza y gestión de llaves. El incidente de Drift Protocol del 1 de abril (pérdidas de más de 280 millones de dólares) también se realizó mediante la transferencia de fondos con Circle CCTP e implicó un patrón de ataque de acceso privilegiado; los datos de DeFiLlama confirmaron que abril de 2026 fue el mes con más incidentes de hackeo de la historia cripto en un solo mes. El diseño de firmas múltiples 1/3 de StablR y el de firmas múltiples 2/5 de Harmony ambos sugieren que, al ampliar el alcance de un protocolo, a menudo se prioriza la facilidad operativa antes que redundancia de seguridad de llaves.