El medio coreano Tokenpost, en su boletín nocturno del 26 de mayo, citó un informe de PANews según el cual Stable.al, un emisor que se describe a sí mismo como “emisor europeo de stablecoins”, sufrió el robo de una clave privada de su monedero multifirma 1/3 en Ethereum. El atacante obtuvo privilegios de administrador, expulsó a los firmantes originales y sobreemitió aproximadamente 8,35 millones de USDR y 4,5 millones de EURR, con un valor nominal combinado de unos 13,5 millones de dólares, de los cuales aproximadamente 2,8 millones habrían sido liquidados. Según el informe, USDR perdió brevemente su paridad antes de recuperarse hasta aproximadamente 0,994 dólares, mientras que EURR llegó a caer hasta 0,548 dólares. Ambas stablecoins habrían dejado de cumplir el requisito de reservas 1:1 exigido por MiCA.
Aviso previo importante: en el momento de la publicación de este artículo, no hemos podido verificar de forma independiente la identidad del emisor Stable.al, las direcciones de contrato de estos dos tokens, los hashes de las transacciones de sobreemisión ni las rutas de liquidación específicas en las principales plataformas de análisis on-chain (etiquetas de Etherscan, Arkham, alertas públicas de Chainalysis) ni en los principales medios de criptomonedas en inglés (CoinDesk / The Block / DL News). El enlace permanente al artículo original en chino de PANews tampoco se incluyó en el boletín. El siguiente análisis se encuadra en un marco hipotético de “si los hechos reportados son ciertos” y discute las posibles implicaciones para los usuarios de tarjetas virtuales USDT. Mientras los hechos no estén establecidos, consideramos que los lectores no deben tomar ninguna “recomendación de acción” como una instrucción definitiva.
Si los hechos son ciertos, ¿cómo afectan a los usuarios de tarjetas USDT?
Respuesta directa: para la gran mayoría de los usuarios de tarjetas virtuales USDT, el impacto directo es prácticamente nulo.
La razón es sencilla: los tokens USDR y EURR no figuran en las listas de monedas de recarga admitidas por las principales plataformas. En las listas oficiales de recarga de MPCard, Wirex, Crypto.com Visa, Bybit Card y OKX Card —seleccionadas editorialmente— no hemos encontrado ninguno de estos dos tokens. No son stablecoins de primer nivel como USDT, USDC o DAI, ni tampoco stablecoins en euros como EURC, EURS o agEUR, que ya han sido integradas por varios emisores de tarjetas europeos.
En otras palabras, aunque el evento fuera 100% real, los usuarios que recargan con USDT y gastan a través de canales Visa/Mastercard no tienen ningún vínculo con USDR/EURR en sus saldos, transacciones ni rutas de retiro, por lo que no necesitan tomar ninguna medida. El verdadero riesgo a vigilar son los efectos de segundo orden: si los reguladores europeos aprovechan esto para acelerar las inspecciones in situ a los pequeños emisores con licencia MiCA, los emisores de tarjetas que liquidan en euros o atienden a residentes del EEA podrían enfrentarse a consultas de cumplimiento más frecuentes en un plazo de 30 a 90 días, lo que podría ralentizar el proceso de apertura de nuevas cuentas.
Referencia histórica: sobreemisión vs. insolvencia de reservas vs. robo de clave privada
Es importante situar este informe dentro del espectro de incidentes con stablecoins y diferenciar los tipos:
- Depegging de USDC en marzo de 2023: causado por 3.300 millones de dólares en reservas depositadas en Silicon Valley Bank cuando SVB fue intervenido, lo que desencadenó una corrida. Se trata de un “riesgo de custodia de activos de reserva”, sin intervención de hackers; las cuentas de reserva de Circle eran reales.
- Colapso de UST en mayo de 2022: causado por la espiral de la muerte de una stablecoin algorítmica que nunca tuvo reservas 1:1.
- Robo de 610 millones de dólares a Poly Network en agosto de 2021: vulnerabilidad en los permisos de contrato de un puente entre cadenas, sin relación con el mecanismo de emisión de stablecoins.
- Este caso (si es cierto): corresponde a una filtración de clave privada a nivel de infraestructura operativa del emisor, que provocó una desconexión entre los registros on-chain y las reservas reales; es decir, el atacante “imprimió” tokens que no estaban respaldados por reservas. Este es precisamente el tipo de riesgo que el marco del artículo 36 de MiCA —“reservas 1:1 + segregación + reembolsabilidad”— busca evitar con más énfasis.
Los tipos de incidente son distintos, y las respuestas regulatorias también lo son. Tras el episodio de USDC, la respuesta regulatoria fue impulsar la diversificación de las reservas de stablecoins para evitar una dependencia excesiva de un solo banco. Tras UST, las stablecoins algorítmicas fueron prácticamente excluidas de los canales de emisión regulados. Si el incidente de Stable.al se verifica de forma independiente, la respuesta regulatoria probable sería reforzar las auditorías operativas de los pequeños emisores con licencia MiCA, incluyendo requisitos de umbral multifirma, uso obligatorio de HSM y límites de permisos por firmante único.
Límites de cumplimiento bajo el marco MiCA
El texto oficial de EUR-Lex confirma que los capítulos de MiCA sobre EMT (tokens de dinero electrónico) y ART (tokens referenciados a activos) entraron en vigor el 30 de junio de 2024, y el capítulo sobre CASP (proveedores de servicios de criptoactivos) el 30 de diciembre de 2024. Ambas fechas son hechos públicos verificables de forma independiente.
Aplicando esto al escenario reportado:
- Claramente prohibido: los emisores de EMT bajo el marco MiCA deben mantener reservas 1:1. Si la cantidad en circulación on-chain supera las reservas reales, el emisor se encuentra en situación de incumplimiento manifiesto, y los reguladores tienen autoridad para exigir la suspensión de la emisión y el reembolso.
- Zona gris: si Stable.al posee realmente una licencia EMT de MiCA, y si su declarada condición de “emisor europeo” ha sido autorizada por alguna autoridad competente de un Estado miembro — ninguna de estas dos cuestiones cuenta con evidencia independiente en los materiales que hemos podido consultar. Los lectores que revisen nuestra página de cumplimiento para la UE deben recordar que muchos proyectos que se autodenominan “conformes con MiCA” simplemente tienen su sede en la UE pero no han obtenido la aprobación de una licencia EMT.
Puntos clave a observar en las próximas semanas
- Anuncio oficial del emisor: ¿publica Stable.al en su sitio web o en su cuenta de X/Twitter una divulgación del incidente, las direcciones on-chain y el hash de la transacción robada? Si ningún medio de comunicación importante en inglés hace un seguimiento en el plazo de una semana, la propia naturaleza del evento queda en entredicho.
- Verificación on-chain: ¿pueden encontrarse las direcciones de contrato ERC-20 de USDR y EURR en Etherscan? ¿La dirección del desplegador del contrato y los eventos de mint de los últimos 30 días muestran picos anómalos?
- Respuesta regulatoria de la UE: ¿emiten la Autoridad Bancaria Europea (EBA) o una NCA de algún Estado miembro (como la AMF francesa, BaFin de Alemania o el Banco Central de Irlanda) orientación o sanciones relacionadas con la custodia multifirma de los emisores de EMT en un plazo de 4 a 6 semanas?
- ¿Se ven afectadas las stablecoins principales?: ¿muestran las curvas de oferta de EURC (Circle), EURS (STASIS) o agEUR (Angle) reembolsos anómalos durante el período de agitación? Si se produce una caída de oferta rápida superior al 1%, indicaría que el mercado lo interpreta como una señal sistémica; si no ocurre, se trataría de un proyecto pequeño y aislado.
Recomendaciones editoriales
- Usuarios de tarjetas USDT principales como MPCard, Wirex o Crypto.com Visa: no necesitan tomar ninguna medida. El activo subyacente de tu saldo es USDT (Tether), y la cadena de recarga y gasto no pasa por USDR ni EURR.
- Usuarios que emplean stablecoins en euros (EURC/EURS/agEUR) para suscripciones europeas o gastos locales: basta con mantener un ojo en los canales de anuncios de tu emisor durante los próximos 30 días; por ahora no es necesario cambiar el activo subyacente. Para conocer la posición de cumplimiento específica de los emisores europeos, consulta nuestras páginas de cumplimiento para la UE y mejores tarjetas para residentes en Europa.
- Usuarios que planean solicitar una tarjeta emitida localmente en Europa: no es necesario posponer la solicitud, pero se recomienda priorizar emisores con información pública verificable sobre su licencia MiCA EMT, en lugar de pequeños proyectos que simplemente “afirman ser conformes”.
- Sobre esta noticia en sí misma: hasta que aparezcan simultáneamente el enlace al artículo original de PANews, el hash de la transacción on-chain y el anuncio oficial de Stable.al, trátenla como un informe pendiente de verificación y no como un hecho consumado. Publicaremos un artículo de seguimiento independiente cuando los medios en inglés lo cubran o aparezcan evidencias on-chain.
Si tienes dudas sobre los conceptos básicos de las stablecoins, puedes consultar qué es una tarjeta U para entender la relación entre la cadena de fondos de las tarjetas USDT y la selección de stablecoins.