Selon un reportage de CoinDesk, StablR, émetteur de stablecoins euro/dollar, a récemment gelé en urgence ses deux jetons USDR et EURR après qu’un attaquant a utilisé une clé multisig compromise pour frapper environ 13,5 millions de dollars de jetons non garantis, dont environ 2,8 millions de dollars ont effectivement pu être encaissés avant que l’incident ne soit détecté. Selon les sources citées dans le reportage, la structure multisig compromise serait de type 1-sur-3 — il suffirait de contrôler n’importe laquelle des trois clés privées pour effectuer une frappe — mais ce détail d’architecture n’a pour l’instant pas été confirmé directement par un document officiel de StablR ; il repose sur des sources secondaires. USDR et EURR figurent parmi les premiers stablecoins européens à avoir demandé, et revendiqué publiquement, une conformité au cadre MiCAR EMT. Cet incident affecte donc la structure de confiance de l’ensemble du segment des stablecoins conformes de la zone euro.
Pour les utilisateurs de cartes virtuelles USDT : quasiment aucun impact direct, mais tout dépend de la carte
Commençons par la conclusion : la grande majorité des utilisateurs de cartes virtuelles USDT n’ont aucune action à entreprendre. Cet incident concerne USDR/EURR, émis par StablR, et n’a aucun lien technique avec les processus de réserve et de frappe d’USDT (Tether) ou d’USDC (Circle).
Par carte :
- MPCard : MPCard Asia Elite, Global Business, ainsi que la future gamme MPCard Asia Business reposent toutes sur des rechargements en USDT-TRC20 / ERC20, sans aucune interconnexion avec les actifs StablR. Les titulaires n’ont rien à faire.
- Bybit Card / OKX Card / Bitget Wallet Card : ces cartes reposent principalement sur USDT, USDC et BTC comme actifs de règlement ; leurs pages produit publiques ne mentionnent pas USDR/EURR parmi les actifs de rechargement disponibles.
- Wirex : dans la mesure où elle prend en charge le règlement en stablecoins euro et compte une base d’utilisateurs importante dans l’UE, c’est l’une des cartes les plus concernées par cet incident. Si Wirex venait à intégrer ou à s’appuyer, à l’avenir, sur un produit StablR pour son canal EUR, un resserrement de liquidité indirect n’est pas à exclure. Il est conseillé aux utilisateurs ayant des besoins d’épargne en EUR de privilégier temporairement le canal EUR fiat plutôt que le canal stablecoin euro.
- Crypto.com Visa / Coinbase Card : dominées par USDC, sans lien direct avec StablR.
Fenêtre temporelle à surveiller :
- Sous 7 jours : StablR devrait publier un rapport d’audit post-incident et un plan d’indemnisation ; sur le marché secondaire, la valeur résiduelle en circulation d’USDR/EURR non gelés pourrait se découpler du prix officiel.
- Sous 30 jours : les concurrents des stablecoins euro (EURC, EURCV, etc.) pourraient profiter de l’occasion pour gagner des parts de marché ; les régulateurs MiCAR pourraient formuler de nouvelles exigences concernant l’architecture multisig des émetteurs d’EMT.
- Sous 90 jours : à surveiller, la question de savoir si StablR parvient à maintenir sa licence et à relancer l’émission ; ainsi que la possibilité que les canaux de paiement de l’UE exigent une divulgation publique de l’architecture de signature des émetteurs d’EMT.
Comparaison historique : ressemblances et différences avec Wormhole (2022) et Multichain (2023)
Intuitivement, cet incident rappelle trois précédents :
- Le piratage du pont inter-chaînes Wormhole en 2022 (320 millions de dollars) — également une faille au niveau des clés/signatures, mais d’une ampleur supérieure d’un ordre de grandeur. Différence : Wormhole avait été renfloué par Jump Crypto, tandis que StablR a choisi la voie du « gel + perte réelle limitée à 2,8 millions ».
- La perte de contrôle des nœuds MPC de Multichain en 2023 — pointant également vers un échec de gestion des clés privées en multisig / signature à seuil. Point commun : les utilisateurs ne font pas face à un bug de contrat mais à un échec de gouvernance des clés ; différence : Multichain n’a finalement jamais pu reprendre ses opérations, alors que StablR conserve un statut de conformité MiCAR comme levier pour un redémarrage.
- Le décrochage temporaire d’USDC à 0,87 en 2023, suite à la faillite de SVB — il s’agissait alors d’un problème côté réserves, tandis que l’incident StablR est un problème côté frappe. Le premier posait la question « où est passé l’argent », le second « d’où vient le jeton ».
Différence clé : le gel d’USDR/EURR a été rendu possible par l’exercice actif d’un pouvoir centralisé de la part de l’émetteur, ce qui a permis de colmater les pertes — un point qui démontre justement que les stablecoins « entièrement décentralisés » seraient plus démunis face à ce type d’incident. C’est un point indirectement favorable pour les détenteurs d’USDT : Tether conserve lui aussi un pouvoir de gel, déjà utilisé à plusieurs reprises par le passé dans des cas de vol, de sanctions ou de blanchiment, et cet incident vient une fois de plus confirmer l’utilité pratique de ce mécanisme.
Régulation et conformité : le « stress test » de MiCAR ne fait que commencer
StablR est l’un des premiers émetteurs d’EMT (jetons de monnaie électronique) à opérer sous le cadre MiCAR de l’UE. Entré en vigueur par étapes depuis fin 2024, MiCAR encadre de manière détaillée les réserves, le rachat et la publication d’informations, mais les normes techniques précises concernant la gouvernance des clés privées, l’architecture multisig et la sécurité opérationnelle des émetteurs restent une zone grise. Cet incident devrait fort probablement servir de catalyseur direct pour de futures normes techniques (RTS) de l’Autorité bancaire européenne (EBA) et des autorités nationales compétentes (comme la DNB néerlandaise ou l’ACPR française).
Pour les utilisateurs de l’UE détenant une carte USDT, aucun impact législatif n’est à prévoir à court terme — USDT emprunte, dans le cadre MiCAR, une voie non-EMT, et cet incident ne modifie en rien ses frontières de conformité. Ce qui mérite vigilance, c’est le segment des stablecoins euro : si vous utilisez actuellement une carte prenant en charge le règlement en stablecoin EUR, il est conseillé de repasser temporairement au canal EUR fiat, en attendant la publication de dispositions réglementaires plus précises.
Prochaines échéances à surveiller
- Publication du rapport post-incident de StablR : en général, un rapport de Preuve de réserves (PoR) et un document d’audit détaillés sont publiés dans les 7 à 14 jours suivant un incident majeur ; passé 30 jours sans audit tiers, la vigilance s’impose.
- Publication éventuelle par l’EBA d’un projet de norme technique sur la gouvernance des clés privées des émetteurs d’EMT : mouvement politique à surveiller ce trimestre.
- Valeur résiduelle en circulation d’USDR/EURR sur le marché secondaire : si la part non gelée reste durablement décrochée, cela signifierait que le canal de rachat officiel est de facto fermé.
- Renforcement éventuel du rythme de publication PoR de Tether et Circle : les incidents chez des concurrents poussent généralement les émetteurs dominants à accroître leur transparence.
Recommandations de la rédaction
- Utilisateurs de cartes virtuelles USDT/USDC dominantes comme MPCard, Bybit Card ou OKX Card : aucune action requise. Cet incident n’a aucun lien technique avec la carte que vous détenez.
- Utilisateurs recourant à des stablecoins euro (y compris mais non limité à USDR/EURR/EURC) pour leurs dépenses quotidiennes en euros : en attendant la publication du rapport d’audit de StablR, il est conseillé de privilégier le canal EUR fiat ; si vous envisagez d’ouvrir une nouvelle carte euro, consultez notre sélection de cartes pour résidents de l’UE, et évitez temporairement l’option de règlement en stablecoin euro pendant 30 jours.
- Détenteurs d’USDR/EURR en spot : si votre solde de portefeuille ne figure pas sur la liste des gels, il est conseillé de ne pas se précipiter pour vendre — le plan de rachat annoncé par l’émetteur est généralement plus favorable qu’une liquidation à décote sur le marché secondaire.
- Utilisateurs avancés attentifs à la conformité : il est conseillé d’archiver cet incident comme le premier cas pratique réel du cadre MiCAR EMT, un repère utile pour suivre les futurs projets de normes techniques de l’EBA. N’hésitez pas à consulter en parallèle notre page conformité UE et notre page conformité Royaume-Uni pour connaître la position actuelle.
Pour finir, il convient de souligner que les chiffres cités dans cet article concernant l’architecture multisig (1-sur-3) et les montants concernés (13,5 millions frappés / 2,8 millions encaissés) proviennent d’un unique reportage secondaire de CoinDesk ; StablR n’avait, à la date de publication de cet article, publié aucun rapport post-incident complet. Tous les chiffres précis et détails techniques doivent être vérifiés auprès des futures communications officielles de StablR et d’un audit tiers.