#TradeCFDWinGold Protocolo de Stablecoin StablR sufre una explotación importante; EURR y USDR pierden el 20% de su valor

24 DE MAYO DE 2026 — El protocolo de stablecoin StablR fue víctima de una devastadora explotación de gobernanza durante el fin de semana, lo que resultó en la toma maliciosa de sus contratos de tokens y un evento masivo de acuñación no autorizada. El atacante logró reemplazar los permisos de propietario del protocolo, posteriormente acuñando y vendiendo millones de dólares en sus stablecoins nativas Euro (EURR) y USD (USDR), provocando que ambos activos se depegasen bruscamente un 20%.
La anatomía del ataque
Según datos de seguimiento en cadena compilados por la firma de seguridad Blockaid, el incidente se dirigió específicamente al aparato de seguridad central de la billetera multisignature (multisig) del proyecto StablR.
Una vez que el atacante logró secuestrar con éxito los permisos de gestión de los contratos inteligentes USDR y EURR, ejecutó una extracción en dos frentes:
Acuñación de tokens: Los explotadores acuñaron ilegalmente 8.35 millones de USDR y 4.5 millones de EURR sin respaldo colateral.
La liquidación: Estos tokens recién acuñados se vendieron rápidamente en intercambios descentralizados (DEXs) por Ethereum. Debido a que la liquidez en estos pools era escasa, la gran afluencia de tokens provocó un deslizamiento alto.
La recompensa: El atacante intercambió con éxito los $10.4 millones en valor nominal de stablecoins no respaldados para obtener 1,115 ETH (valorados en aproximadamente $2.8 millones).
Un desglose de fallos de gobernanza
Los analistas de seguridad enfatizan que este incidente no fue causado por una vulnerabilidad típica y compleja en el código del contrato inteligente. En cambio, proviene completamente de fallos graves y fundamentales en la gobernanza del protocolo y en la supervisión operativa por parte del emisor de la stablecoin.
🛑 Fallos críticos de gobernanza explotados
El umbral de firma 1-de-3: La billetera multisignature había sido configurada incorrectamente con un umbral laxo de 1-de-3. Esto significaba que una sola firma autorizada podía ejecutar cualquier comando de alto nivel. En consecuencia, comprometer una sola clave de propietario otorgaba al atacante control operativo total sobre todo el sistema, permitiéndole añadirse a sí mismo y eliminar a los demás propietarios legítimos.
Custodia negligente de claves privadas: Una seguridad operativa deficiente (OpSec) llevó directamente a la exposición y filtración de la clave privada de un propietario, dándole al atacante la firma única que necesitaba.
Ausencia de un bloqueo de tiempo: El protocolo carecía completamente de un mecanismo de bloqueo de tiempo. Debido a que no había un retraso obligatorio ni una fase de confirmación secundaria para finalizar las actualizaciones administrativas, el atacante pudo cambiar instantáneamente los permisos de propiedad y ejecutar la acuñación sin tiempo de buffer para que el equipo pudiera intervenir.
La paradoja del cumplimiento: StablR se había posicionado como un emisor de stablecoins totalmente compatible y 100% colateralizado, dirigido al marco de trabajo MiCA de los Mercados en Criptoactivos (MiCA) de la UE. Aunque sus sistemas de respaldo y cuentas fiduciarias segregadas permanecían intactos bajo la superficie, la explotación revela una lección crítica para la industria: el cumplimiento regulatorio y las auditorías estrictas no protegen un protocolo si sus capas de seguridad operativa diaria sufren vulnerabilidades de fallo único centralizado.