Según un reportaje de CoinDesk, el emisor de stablecoins en euro/dólar StablR congeló de emergencia sus dos tokens, USDR y EURR, tras detectar que un atacante utilizó una clave multifirma comprometida para acuñar tokens sin respaldo por un valor aproximado de USD13.5 millones, de los cuales logró liquidar efectivamente unos USD2.8 millones antes de ser detectado. El reportaje cita fuentes que indican que la estructura comprometida era un esquema multifirma 1-de-3 —bastaba con controlar cualquiera de las tres claves privadas para completar la acuñación—, un detalle de arquitectura que, hasta el momento, no ha sido confirmado directamente en documentación oficial de StablR y que se presenta aquí según la versión de fuentes secundarias. USDR y EURR se encuentran entre las stablecoins europeas que solicitaron antes y declararon públicamente cumplir con el marco EMT de MiCAR, por lo que este incidente afecta la estructura de confianza de todo el sector de stablecoins reguladas en la eurozona.
Para usuarios de tarjetas virtuales USDT: en general sin impacto directo, pero depende de la tarjeta
Vayamos primero a la conclusión: la gran mayoría de los usuarios de tarjetas virtuales USDT no necesitan tomar ninguna acción. Este incidente involucra a USDR/EURR, emitidos por StablR, y no tiene ningún acoplamiento técnico con las reservas o los procesos de acuñación de USDT (Tether) o USDC (Circle).
Por tarjeta:
- MPCard: MPCard Asia Elite, Global Business y la próxima línea Asia Business operan sobre recargas en USDT-TRC20/ERC20, sin ninguna conexión con activos de StablR. Los titulares no necesitan actuar.
- Bybit Card / OKX Card / Bitget Wallet Card: sus activos de liquidación se basan principalmente en USDT, USDC y BTC; sus páginas públicas de producto no listan USDR/EURR como activos de recarga disponibles.
- Wirex: al ser compatible con la liquidación en stablecoins de euro y tener una base de usuarios importante en la UE, es una de las tarjetas que más atención merece en este caso. Si en el futuro Wirex incorpora o ha tenido vínculos con productos de StablR en su canal EUR, podría producirse una contracción indirecta de liquidez. Se recomienda a quienes necesiten ahorros en EUR priorizar temporalmente el canal en euros fiduciarios en lugar del canal de stablecoin en euros.
- Crypto.com Visa / Coinbase Card: dominadas por USDC, sin relación directa con StablR.
Ventana de tiempo esperada:
- Dentro de 7 días: StablR debería publicar un informe de auditoría posterior al incidente y un plan de compensación; el valor residual en circulación de USDR/EURR no congelado en mercados secundarios podría desanclarse del precio oficial.
- Dentro de 30 días: competidores de stablecoins en euro (EURC, EURCV, etc.) podrían aprovechar para ganar cuota de mercado; los reguladores de MiCAR podrían plantear nuevos requisitos sobre la arquitectura multifirma de los emisores EMT.
- Dentro de 90 días: observar si StablR logra mantener su licencia y reemitir los tokens; y si los canales de pago de la UE exigirán a los emisores EMT divulgar públicamente su arquitectura de firmas.
Comparación histórica: en qué se parece y en qué no a Wormhole (2022) y Multichain (2023)
El instinto lleva a pensar en tres casos históricos:
- El robo de USD320 millones en el puente Wormhole en 2022: también una vulnerabilidad a nivel de clave/firma, pero de una magnitud un orden mayor. La diferencia es que Wormhole fue respaldado y compensado por Jump Crypto, mientras que StablR optó por la vía de “congelar y limitar la pérdida real a USD2.8 millones”.
- La pérdida de control de nodos MPC de Multichain en 2023: apunta igualmente a un fallo en la gestión de claves privadas en esquemas multifirma o de umbral. La similitud es que los usuarios enfrentan un fallo de gobernanza de claves y no un error de contrato; la diferencia es que Multichain finalmente no logró restablecer operaciones, mientras que StablR aún conserva su condición regulatoria bajo MiCAR como carta para reiniciar.
- El desanclaje temporal de USDC a 0.87 por la quiebra de SVB en 2023: fue un problema del lado de las reservas, mientras que el incidente de StablR es un problema del lado de la acuñación. El primero es “adónde fue el dinero”; el segundo es “de dónde vino el token”.
Diferencia clave: la congelación de USDR/EURR fue una acción centralizada activa del emisor para contener la pérdida, lo cual precisamente demuestra que las stablecoins “totalmente descentralizadas” quedarían en una posición más vulnerable ante un incidente así. Esto representa una ventaja indirecta para los titulares de USDT: Tether conserva de forma similar permisos de congelación, que ha utilizado en múltiples ocasiones ante robos, sanciones y casos de lavado de dinero; este incidente vuelve a confirmar el valor práctico de ese mecanismo.
Regulación y cumplimiento: la “prueba de estrés” de MiCAR apenas comienza
StablR es uno de los primeros emisores de EMT (token de dinero electrónico) bajo el marco MiCAR de la UE. Desde su entrada en vigor por fases a finales de 2024, MiCAR ha establecido normas detalladas sobre reservas, redención y divulgación de información, pero los estándares técnicos concretos sobre la gobernanza de claves privadas, la arquitectura multifirma y la seguridad operativa de los emisores siguen en una zona gris. Es probable que este incidente se convierta en el catalizador directo de futuros estándares técnicos (RTS) por parte de la Autoridad Bancaria Europea (EBA) y de las autoridades competentes nacionales (como el DNB neerlandés o la ACPR francesa).
Para los usuarios de la UE que poseen tarjetas USDT, no se espera un impacto legislativo a corto plazo: USDT sigue una vía no-EMT bajo el marco MiCAR, y este incidente no altera sus límites de cumplimiento. Lo que sí conviene vigilar es el sector de stablecoins en euro: si estás usando una tarjeta que admite liquidación en stablecoin EUR, se recomienda cambiar temporalmente el canal de liquidación en euros al canal en euros fiduciarios, hasta que se publiquen normas regulatorias más detalladas.
Puntos clave a seguir próximamente
- Fecha de publicación del informe posterior de StablR: tras incidentes de esta magnitud, suele haber un documento detallado de PoR más auditoría dentro de 7–14 días; si pasan más de 30 días sin una auditoría de terceros, es motivo de alerta.
- Si la EBA emite un borrador de estándar técnico sobre la gobernanza de claves privadas de los emisores EMT: un movimiento regulatorio a seguir este trimestre.
- El valor residual de circulación secundaria de USDR/EURR: si la parte no congelada permanece desanclada a largo plazo, implica que el canal de redención oficial está de hecho cerrado.
- Si Tether y Circle refuerzan proactivamente el ritmo de sus PoR: los incidentes en competidores suelen impulsar a los emisores principales a aumentar su divulgación.
Recomendación editorial
- Usuarios de tarjetas virtuales dominadas por USDT/USDC, como MPCard, Bybit Card u OKX Card: no se requiere ninguna acción. Este incidente no tiene relación técnica con la tarjeta que ya usas.
- Usuarios que utilizan stablecoins en euro (incluyendo pero no limitado a USDR/EURR/EURC) para gastos diarios en euros: hasta que StablR publique el resultado de su auditoría, se recomienda priorizar el canal en euros fiduciarios; si planeas abrir una nueva tarjeta en euros, puedes consultar las recomendaciones de tarjetas para residentes de la UE y evitar temporalmente, durante 30 días, la opción de liquidación en stablecoin de euro.
- Usuarios que poseen USDR/EURR en spot: si tu saldo de billetera no aparece en la lista de tokens congelados, se recomienda no apresurarte a vender: el plan de redención anunciado por el emisor suele ser más favorable que el descuento de liquidación en el mercado secundario.
- Usuarios avanzados enfocados en cumplimiento: se recomienda archivar este incidente como el primer caso práctico del marco EMT de MiCAR; será muy útil como referencia al observar futuros borradores de estándares técnicos de la EBA. Puedes complementarlo consultando el criterio actual de las páginas de cumplimiento de la UE y del Reino Unido.
Por último, se destaca que las cifras mencionadas en este artículo sobre la arquitectura multifirma (1-de-3) y los montos del incidente (USD13.5 millones acuñados / USD2.8 millones liquidados) provienen de un único reportaje secundario de CoinDesk. Al momento de la publicación de este artículo, StablR no ha emitido un informe oficial completo posterior al incidente. Todas las cifras y detalles técnicos específicos deben confirmarse con los anuncios oficiales posteriores de StablR y con auditorías independientes de terceros.