La faille de gouvernance de StablR entraîne la création de jetons non adossés d'une valeur de 12,85 millions de dollars

Ouverture

Le fournisseur européen d’infrastructure pour stablecoins StablR a subi une grave violation de sécurité après que des acteurs non autorisés ont compromis les couches de gouvernance administrative gérant les principaux contrats intelligents de la plateforme sur le réseau Ethereum, selon la société d’analyse blockchain Blockaid. Les attaquants ont exploité une configuration multi-signature faible en un sur trois pour prendre le contrôle des fonctions de frappe (minting) de la plateforme, générant 8,35 million USDR et 4,5 million EURR entièrement sans contrepartie (sans garantie) en collatéral. La faille a déclenché un fort décrochage du marché (depeg), avec l’effondrement de l’USDR à 70 cents et l’EURR qui a chuté de 12 % à environ 88 cents, en gelant les mécanismes de rachat standard sur les échanges décentralisés.

Mécanisme de la faille : clés privées compromises et configuration multi-signature faible

Des enquêteurs en sécurité blockchain ont confirmé que la cause racine provenait d’un seuil de gouvernance administrative inadéquat. Le pipeline central d’émission des actifs de StablR fonctionnait selon un modèle de multi-signature un sur trois, ce qui signifiait que les attaquants devaient seulement compromettre une seule clé de signataire cryptographique pour obtenir un contrôle administratif total. Plutôt que d’identifier une faille dans la logique de transaction du protocole, les attaquants se sont concentrés sur la compromission de l’infrastructure de clés privées de la plateforme. Une fois qu’ils ont obtenu une clé, ils ont reconfiguré les paramètres du portefeuille pour isoler les signataires légitimes restants du mécanisme de gouvernance, verrouillant une prise de contrôle structurelle de la plateforme.

Frappe de jetons non garantis et drainage d’actifs

Une fois les clés de frappe sécurisées, les exploitants ont généré de manière systématique 8,35 million USDR ainsi que 4,5 million EURR, en contournant toutes les exigences de vérification du collatéral fiduciaire institutionnel. L’émission non garantie totale a atteint environ 12,85 million de dollars d’actifs numériques artificiels.

Impact sur le marché et depeg

L’injection soudaine de stablecoins non garantis sur les marchés secondaires a déclenché une grave crise de liquidité. Les attaquants ont immédiatement déversé les jetons produits illicitement sur des pools de market makers automatisés, submergeant des échanges décentralisés comme Curve Finance. La pression de vente concentrée a provoqué l’effondrement de l’USDR en dessous des niveaux de support traditionnels, jusqu’à un plus bas de 70 cents. Dans le même temps, l’EURR a subi une contraction tout aussi dévastatrice, chutant de plus de 12 % pour se stabiliser près de 88 cents. Le depeg violent a gelé les boucles de rachat standard, montrant comment la fragilité des couches de gouvernance administrative peut neutraliser la sécurité perçue d’instruments numériques adossés à des actifs en quelques minutes.