Exploit di StablR prosciuga 2,8 milioni di dollari mentre la stablecoin legata all’euro si sgancia

Un attacco in corso sta colpendo StablR, provocando il depeg delle sue stablecoin in euro e dollari: una chiave privata compromessa è stata indicata come possibile causa, aumentando l’elenco degli exploit registrati nel mese corrente.

Blockaid, una società specializzata in sicurezza blockchain, ha segnalato che il suo sistema di rilevamento ha individuato un exploit attivo sull’issuer di StablR, con prelievi stimati finora intorno ai 2,8 milioni di dollari.

Secondo le ricostruzioni tecniche, il problema sarebbe derivato dalla compromissione della chiave privata di uno degli intestatari dell’account multisignature impiegato per il minting, che prevedeva una soglia debole di tipo 1-su-3. L’attaccante si sarebbe aggiunto come firmatario, avrebbe sostituito gli altri proprietari e avrebbe emesso 8,35 milioni di USDR e 4,5 milioni di EURR, determinando il depeg delle stablecoin.

Le monete appena coniate sono poi state scambiate su exchange decentralizzati: a causa della scarsa liquidità, i token (valore teorico complessivo di circa 10,4 milioni di dollari) sono stati convertiti in appena 1.115 ETH, equivalenti a circa 2,8 milioni di dollari.

Blockaid ha dichiarato:

“Non si tratta di un bug del contratto intelligente: è una falla nella gestione delle chiavi e nella governance.”

Il mese di maggio è stato particolarmente critico per il settore DeFi, con oltre una dozzina di incidenti significativi registrati: tra i casi più importanti figurano attacchi a THORChain, Verus Bridge, Echo Protocol e Polymarket, che evidenziano una tendenza crescente negli exploit legati a chiavi compromesse o a errori di amministrazione.

Nel dettaglio, la stablecoin in euro di StablR, EURR, con una capitalizzazione di mercato intorno ai 14 milioni di dollari, ha perso circa il 23% del proprio valore, spostandosi dal peg indicativo di 1,15$ fino a 0,88$ nei mercati EUR/USD. Contemporaneamente la stablecoin in dollari, USDR, con una capitalizzazione di circa 11 milioni di dollari, è scesa di circa il 30% fino a 0,70$ durante l’episodio.

StablR emette stablecoin collateralizzate e regolamentate ancorate all’euro e al dollaro, dichiarando riserve conservate in conti segregati presso istituzioni di primo livello e trasparenza mediante proof-of-reserves; le monete sono disponibili su Ethereum e Solana.

Lo scorso dicembre Tether aveva effettuato un investimento in StablR, un segnale di interesse da parte di uno tra i maggiori emittenti di stablecoin al mondo, che tuttavia non ha evitato il danno reputazionale legato all’attacco.

Trend ricorrente negli ultimi mesi è la vulnerabilità legata a chiavi private o amministrative poco protette: protocolli come Volo Vault, Wasabi Perps, Echo Bridge e Polymarket hanno subito exploit analoghi. In un caso separato, il ponte cross-chain Map Protocol è stato sfruttato attraverso un bug nel contratto intelligente che ha permesso la creazione di una quantità enorme di token.

Le vulnerabilità tecniche e di governance

Il caso mette in luce come configurazioni multisig con soglie troppo permissive (ad esempio 1-su-3) trasformino una singola chiave compromessa in un punto critico di rottura. Best practice consolidate includono l’uso di moduli hardware di sicurezza (HSM), soluzioni di firma threshold con distribuzione delle responsabilità, rotazione regolare delle chiavi e controlli di accesso rigorosi. Inoltre, polizze assicurative, audit indipendenti e procedure di controllo continuo possono mitigare l’impatto degli attacchi.

Implicazioni per il mercato e la regolamentazione

Un evento di questo tipo alimenta la sfiducia nelle stablecoin “algoritmiche” o collateralizzate con governance decentralizzata e può accelerare l’intervento normativo. Autorità di vigilanza e fornitori di servizi finanziari potrebbero rafforzare i requisiti su custodia delle riserve, controlli di governance e responsabilità legale degli emittenti, con possibili ripercussioni su scambi, market maker e istituzioni che integrano stablecoin nei loro bilanci.

Per gli investitori retail e istituzionali la lezione chiave è la necessità di valutare non solo il peg e la capitalizzazione, ma soprattutto la solidità operativa, le pratiche di gestione delle chiavi e la trasparenza delle riserve. In assenza di garanzie adeguate, anche asset apparentemente stabili possono rivelarsi ad alto rischio di liquidazione forzata in situazioni di scarsa profondità di mercato.

In sintesi

• La compromissione di una singola chiave privata in strutture multisig con soglia bassa può generare perdite significative e depeg delle stablecoin; gli investitori devono valutare la governance operativa oltre ai dati di mercato.
• L’episodio rafforza la probabilità di interventi regolatori più stringenti sulle stablecoin e sui requisiti di custodia, con impatti potenziali sui prodotti crypto offerti da intermediari italiani ed europei.
• Per i gestori patrimoniali e gli investitori istituzionali è essenziale integrare controlli tecnici (HSM, firme threshold) e coperture assicurative per ridurre il rischio di esposizione a eventi di liquidità improvvisa.
• Il ripetersi di exploit simili potrebbe spingere gli operatori di mercato verso stablecoin con riserve altamente liquide e strutture di governance più tradizionali, influenzando la domanda e la valutazione degli emittenti meno consolidati.