Hoy, un exploit importante atacó los contratos inteligentes que emiten las stablecoins USDR y EURR. El atacante pudo acuñar 16.76 millones de USDR y 9.11 millones de EURR de la nada y luego intercambió una parte de estos tokens sin respaldo por otros activos cripto.
¿Has notado que los hacks de esta escala han empezado a sentirse rutinarios? Sigo las noticias cripto todos los días y, para ser honesto, mis ojos pasan por encima de otro titular más sobre un exploit de varios millones de dólares. ¡Como si ya no fuera nada extraordinario!
Y, sin embargo, detrás de cada uno de estos hacks hay problemas reales que enfrentan personas comunes que usan blockchains y criptomonedas como su principal forma de guardar y gestionar sus ahorros.
Hoy, justo cuando el ataque contra StablR (el emisor de USDR y EURR) se estaba desarrollando y los precios de ambos tokens empezaban a caer, rabbit.io recibió una solicitud para cambiar 2.000 USDR por USDT. Nuestro sistema automatizado ejecutó todas las comprobaciones: la dirección del cliente no tenía conexión con el exploit, había mantenido USDR durante casi un año, y esta solicitud de intercambio casi con seguridad significaba que alguien intentaba rescatar sus ahorros. Procesamos el intercambio al tipo disponible en ese momento, y el cliente perdió poco más del 1% —aunque en cuestión de minutos el precio de USDR cayó un 25%, y más tarde, en medio del pánico, bajó hasta casi $0.40.
Pero cuando, unas horas después, el mismo cliente presentó una solicitud para intercambiar otros 50.000 USDR, ya no pudimos ofrecerle un intercambio sin pérdidas significativas.
Qué ocurrió realmente
A la 01:46 UTC de hoy, el canal de investigaciones de ZachXBT en Telegram publicó un mensaje sobre un posible exploit en los contratos inteligentes de StablR por un monto aproximado de $10 millones.
Más tarde se supo que los hackers habían obtenido la clave privada de uno de los propietarios de la dirección multisig de StablR responsable de acuñar nuevos tokens. El problema se agravó enormemente por un umbral de seguridad extremadamente bajo: de las tres claves privadas disponibles, solo una era suficiente para autorizar cualquier operación. En otras palabras, esto no era realmente una multisig. El sentido de una multisig es que se requieren varias firmas para ejecutar una operación. Aquí, no solo bastaba con una firma: cualquier firma individual servía. Una "multisig" así no aumenta la seguridad de la dirección; en realidad la reduce al triple. Los hackers usaron la clave comprometida para acuñar millones de tokens USDR y EURR de la nada.
En Europa, donde presumiblemente está el equipo de StablR, era pleno de la noche entre sábado y domingo, por lo que el ataque continuó durante varias horas. Los últimos 900.000 EURR no autorizados llegaron a la red a las 4:03 UTC.
Al aumentar dramáticamente la oferta de ambos tokens —y, por supuesto, al entrar inmediatamente en el mercado—, los precios de USDR y EURR cayeron bruscamente y aún no se han recuperado.
¿Qué son estos tokens y quién los usa?
USDR (StablR USD) es una stablecoin respaldada por fiat, vinculada 1:1 al dólar estadounidense y que opera en la red Ethereum. La emite la empresa fintech europea StablR, registrada como Institución de Dinero Electrónico (EMI) y regulada por la Malta Financial Services Authority (MFSA), con oficinas adicionales en los Países Bajos. EURR es la stablecoin vinculada al euro de la misma compañía.
A finales de 2024, StablR recibió una inversión de Tether (el emisor de USDT), que claramente esperaba así mantener presencia en el mercado cripto europeo tras la entrada en vigor de la regulación MiCA —normas que efectivamente hacen imposible que empresas registradas en Europa usen USDT.
Permítanme decir algo más sobre USDR, el token que nuestro cliente poseía. En comparación con gigantes como USDT y USDC, que mueven decenas de miles de millones de dólares, USDR es un proyecto diminuto. Tras la acuñación de anoche de 16.76 millones de tokens sin respaldo, la oferta total de USDR en circulación, según Etherscan, se sitúa en 21,076,437. Lo que significa que antes del hack de hoy, su capitalización de mercado estaba por debajo de los $5 millones.
Entonces, ¿por qué alguien lo elegiría en vez de USDT o USDC? La razón es que StablR diseñó sus tokens específicamente para cumplir con MiCA. Son completamente transparentes desde el punto de vista legal:
- El respaldo fiat se mantiene en cuentas segregadas en bancos europeos regulados.
- Someten sus balances a auditorías regulares por grandes firmas de auditoría (por ejemplo, Grant Thornton).
Lo más probable es que nuestro cliente —que poseía al menos 52.000 USDR— fuera residente de la UE o alguien que operaba dentro del marco legal europeo. Para esa persona era importante usar no USDT, sino un activo "limpio", demostrablemente legal y aprobado por reguladores, para evitar problemas con impuestos o bancos.
Y hoy, debido a la falla técnica de seguridad de StablR, ese mismo usuario decidió con urgencia mover sus fondos a USDT —un token que no le ofrece ni certeza legal ni operativa en Europa—. Y perdió una cantidad significativa de dinero en el proceso. Ni las licencias ni las auditorías financieras del emisor fueron suficientes para proteger a nuestro cliente de las pérdidas.
Entonces, ¿qué hacemos si incluso estos activos cripto resultan poco fiables?
Hace tiempo que escribo sobre cómo los gobiernos y los bancos que regulan empujan activamente a la gente fuera del sistema financiero tradicional y hacia guardar sus ahorros en blockchains, donde nadie puede confiscarlos.
Pero la constante oleada de hacks que hemos visto en los últimos meses muestra lo arriesgado que puede ser ese tipo de almacenamiento. No me sorprendería que muchos usuarios de cripto empiecen a preguntarse si es hora de volver a mover sus ahorros a los bancos. Los bancos pueden censurar tus transferencias y pagos, negarte el efectivo —pero al menos no los roban tan a menudo como se roban proyectos cripto.
El lado técnico de casi todos los servicios cripto es completamente open source. Y ahora que la investigación de vulnerabilidades se realiza las 24 horas por modelos de IA que cada vez son más inteligentes, debemos esperar que esta ola de exploits continúe e incluso se acelere. Todo lo que pueda ser hackeado, será hackeado.
¿Significa esto que es momento de abandonar las criptomonedas por completo? No. Pero creo que tiene sentido, al menos temporalmente, reducir nuestra exposición a esquemas que envuelven capas corporativas sobre cripto. Esos son precisamente los que se hackean, no las criptomonedas en sí. El protocolo base de Bitcoin no ha sido hackeado ni una sola vez en 17 años —simplemente porque su arquitectura no contiene propietarios privilegiados, botones de acuñación ni claves de administrador que un hacker pueda robar de un equipo dormido.
Cuanto más se aleja un activo de las matemáticas puras y descentralizadas y más se acerca al control humano, más vulnerable se vuelve. Por eso incluso Ethereum, con la influencia centralizada de la Ethereum Foundation reescribiendo las reglas en cada hard fork, no puede servir como referencia de fiabilidad. El almacenamiento verdaderamente seguro existe solo donde no hay una entidad con autoridad para cambiar las reglas a su favor.
Creo que todos los que usan criptomonedas saben esto. Y, sin embargo, para almacenamiento cotidiano y transacciones habituales, muy pocas personas usan criptomonedas como bitcoin. Mientras los precios se coticen en monedas fiat, todo el mundo quiere que el saldo en su cartera esté fijado también en términos fiat —para que mañana no les sorprenda tener un 10–15% menos de dinero que hoy.
Entonces, ¿qué debería hacer un usuario corriente si todavía necesita la estabilidad familiar del dólar? Honestamente, no tengo una buena respuesta para eso. Nuestro cliente tomó su decisión hoy: al percibir el peligro de USDR, decidió mover sus fondos a USDT. USDT lleva más de diez años en el mercado. Sí, su emisor podría reescribir las reglas en cualquier momento, pero en todos esos años, nadie ha encontrado aún una manera de explotar esa posibilidad.
Y lo más extraño de todo es que, incluso cuando cientos de millones de USDT completamente sin respaldo circulaban en el mercado, eso no afectó el precio del token. Nadie se hace preguntas cuando Tether lanza otro billón de USDT al mercado. Si todos los poseedores saben que de todos modos no pueden acudir al emisor y exigir dólares a cambio de sus tokens, ¿qué diferencia hace que esos tokens estén respaldados? USDT se apoya en la creencia de que, pase lo que pase, siempre habrá alguien en el mercado cripto dispuesto a dar activos por valor de 1 USD a cambio de 1 USDT. Me puedo imaginar que esta creencia podría sobrevivir a cualquier hack.
Las stablecoins más jóvenes simplemente no han acumulado aún suficientes creyentes para construir la misma aura de fiabilidad a su alrededor.
Así que, paradójicamente, elegir una stablecoin que sea lo más centralizada posible y que no haya pasado por una sola auditoría seria podría resultar una decisión perfectamente racional.
La otra opción son stablecoins como Liquity USD, crvUSD y DAI. Por diseño, sus contratos no pueden cambiarse y no existe un emisor centralizado que pueda falsificar el colateral o negarse a devolvértelo. Sus contratos inteligentes aún no han sido hackeados. Dicho esto, esto no significa que modelos de IA —con su potencia de cálculo y conocimiento actuales— no pudieran, en principio, encontrar una manera de romperlos.
Por eso sigo creyendo que los activos cripto vinculados a fiat solo pueden ser una solución temporal, adecuada para el gasto diario. Para el almacenamiento real de riqueza, solo existe Bitcoin y criptomonedas similares.
