Hackearon a StablR y acuñaron $13.5 millones en stablecoins sin respaldo

El fin de semana pasado, StablR, un emisor europeo de stablecoins, confirmó que un atacante comprometió una clave privada de su monedero multifirma y fabricó 13.5 millones de dólares en tokens sin ningún respaldo. El dinero digital se creó de la nada. O casi.

El mecanismo del ataque es bastante claro, aunque la parte de cómo fue posible todavía tiene respuestas incómodas. El atacante obtuvo acceso a una de las tres firmas del monedero multifirma de la compañía, y eso fue suficiente para nombrarse administrador, remover a los operadores legítimos y proceder a acuñar tokens como si nada. Creó 8.35 millones de USDR, el stablecoin anclado al dólar, y 4.5 millones de EURR, su equivalente en euros.

Después de eso, y aquí viene el número que importa, el atacante logró convertir esos tokens en ganancias netas de aproximadamente 2.8 millones de dólares, equivalentes a 1,115 ether. La diferencia entre lo que acuñó y lo que pudo retirar dice bastante sobre los mecanismos de respuesta que sí funcionaron. Lo que no funcionó fue la gestión de las claves privadas.

Las firmas de seguridad Blockaid y GoPlus Security revisaron el incidente y concluyeron que el problema no estaba en el código del contrato inteligente. El fallo fue en la configuración de seguridad y en cómo StablR administraba sus claves. La tecnología no falló. Las personas sí.

La única declaración oficial que StablR publicó fue en X: "Compartiremos detalles verificados y próximos pasos lo antes posible." Eso es todo. Una frase de relaciones públicas mientras el EURR seguía cotizando un 17% por debajo de su paridad.

El USDR, en cambio, se recuperó. Esa diferencia de comportamiento entre los dos tokens dice algo sobre la confianza del mercado en cada uno, pero también sobre el volumen de liquidez disponible en cada caso. El EURR, con menos circulación y menos demanda de compra, no tuvo quién absorbiera el golpe.

Este tipo de ataque no es nuevo. La historia de los stablecoins centralizados está llena de incidentes que se parecen entre sí: alguien compromete un punto de control, acuña o roba, y después el emisor sale a explicar qué pasó y por qué no va a volver a pasar. Los stablecoins nacieron como alternativa a la volatilidad de las criptomonedas tradicionales. La idea era simple: un token anclado a una divisa real, con respaldo real, sin los picos y caídas del bitcoin.

Lo que este ataque a StablR vuelve a demostrar es que ese ancla no es invulnerable. El riesgo no desaparece porque el token esté diseñado para ser estable. Se traslada. En lugar de riesgo de mercado, los usuarios asumen riesgo operativo, riesgo de custodia, riesgo de que alguien en la empresa se descuide con una clave privada o de que un atacante encuentre el punto débil antes que el equipo de seguridad.

Hay otra diferencia relevante con el sistema financiero tradicional: Ethereum no tiene herramientas de intervención administrativa para congelar fondos. Una vez que la transacción se ejecuta en la cadena, esa transacción existe. No hay banco central que pueda revertirla, no hay regulador que llame al custodio. Los 1,115 ether que salieron del sistema de StablR salieron para siempre.

Eso no significa que el sistema sea indefendible. Hay diseños de contratos que incluyen pausas de emergencia, listas negras de direcciones y límites de acuñación por período. No está claro si StablR tenía alguno de esos mecanismos activos, o si los tenía pero no se activaron a tiempo. La empresa no ha dado detalles técnicos más allá de la declaración inicial en redes sociales.

Lo que sí queda claro después de este episodio es que los stablecoins centralizados son tan seguros como sus operadores. Y los operadores son humanos. Cometen errores con las claves, confían en configuraciones que no auditaron lo suficiente, dejan puertas abiertas que no sabían que existían. El código puede ser impecable y el sistema puede colapsar igual.

Para los usuarios que tenían EURR al momento del ataque, el mensaje es bastante directo: asumieron riesgo de criptomoneda sin obtener la estabilidad que buscaban. Lo peor de los dos mundos, que es exactamente lo que suele pasar en este mercado cuando algo sale mal.

StablR tendrá que dar más explicaciones sobre cómo se comprometió la clave, qué controles de acceso existían y por qué falló el esquema multifirma que supuestamente debería haber requerido más de una firma para operaciones críticas. El sector también tiene preguntas que responder. Este no va a ser el último incidente de este tipo.