StablR zet USDR en EURR stil na beveiligingsinbreuk

StablR heeft de tokenoperaties rond USDR en EURR stilgezet na een cybersecurity-incident. Het Maltese bedrijf erkent dat de circulerende voorraad van beide stablecoins tijdelijk niet volledig 1-op-1 is gedekt, zoals onder MiCAR voor e-money tokens vereist is.

Volgens de officiële aankondiging zag StablR op zondag 24 mei onregelmatigheden in zijn platforminfrastructuur die wezen op ongeautoriseerde externe toegang. Na die ontdekking schortte het bedrijf alle mint- en redemptionactiviteiten onmiddellijk op.

De impact is direct. StablR zegt dat alle beurzen en handelsplatformen zijn verzocht om trading, deposits en withdrawals van USDR en EURR onmiddellijk stil te leggen.

Daarmee erkent het bedrijf dat het incident niet alleen technisch is. Het raakt de kern van een stablecoin: gebruikers moeten erop kunnen vertrouwen dat elke token volledig is gedekt en kan worden ingewisseld.

StablR schrijft expliciet dat USDR en EURR momenteel niet volledig op de vereiste 1-op-1 basis zijn gedekt. Dat is een zware formulering voor een uitgever die onder MiCAR als e-money token issuer opereert.

Volgens The Block kon een aanvaller ongeveer 8,35 miljoen USDR en 4,5 miljoen EURR minten zonder onderliggende dekking. Dat komt neer op circa $13,5 miljoen aan ongedekte tokens tegen pari.

Secundaire on-chainanalyses wijzen op een zwakte in een 1-of-3 multisig-achtige opzet. Daarbij zou één gecompromitteerde sleutel voldoende zijn geweest om beheerrechten te wijzigen, kwaadwillende eigenaren toe te voegen en legitieme signers te verwijderen.

Door dunne liquiditeit op decentrale markten lijkt de daadwerkelijke buit lager te zijn uitgevallen dan het totale bedrag aan ongedekte tokens. Bitcoin.com schrijft dat de extracted value rond 1.115 ETH lag, ongeveer $2,8 miljoen.

Die cijfers moeten als onderzoekersclaims worden gelezen zolang StablR zelf het volledige technische post-mortem nog niet heeft gepubliceerd.

Precies daar zit de bredere betekenis. MiCA stelt eisen aan uitgevers, reserves, disclosures en toezicht. ESMA omschrijft MiCA als het uniforme EU-regime voor crypto-assets, met regels voor onder meer transparantie, autorisatie, toezicht, marktintegriteit en financiële stabiliteit.

Maar regelgeving voorkomt niet automatisch een operationele fout in sleutelbeheer, walletarchitectuur of mintingrechten.

Een stablecoin kan juridisch binnen een gereguleerd kader vallen en toch kwetsbaar zijn als de technische controle over minting te zwak is ingericht. Het StablR-incident maakt dat pijnlijk zichtbaar.

Voor de Europese stablecoinmarkt is dat een belangrijke les. Compliance is noodzakelijk, maar niet genoeg. De infrastructuur die minting, burning, redemption en reservecontrole aanstuurt, moet net zo robuust zijn als het juridische kader eromheen.

StablR zegt de Malta Financial Services Authority te zullen informeren als major ICT-related incident onder DORA. Ook zal het bedrijf de vereiste meldingen onder MiCAR doen. Daarnaast worden externe cybersecurityspecialisten ingeschakeld en volgt een formeel rapport aan opsporingsinstanties.

Dat maakt het incident ook een test voor het Europese toezichtskader. DORA is juist bedoeld om de digitale operationele weerbaarheid van financiële entiteiten te versterken. MiCAR regelt de crypto-assetlaag. In deze zaak raken beide regimes elkaar direct.

De komende dagen moeten duidelijk maken hoe snel StablR de dekking kan herstellen, welke partijen geraakt zijn en welke technische fout precies is uitgebuit.

StablR profileert zich op zijn eigen site als door de MFSA gereguleerde instelling die e-money tokens uitgeeft onder MiCA. De officiële footer vermeldt dat StablR Ltd is gemachtigd en gereguleerd door de MFSA als financial institution voor de uitgifte van EMT’s.

Juist daarom is dit incident gevoelig. Europese stablecoins worden vaak gepresenteerd als het veiligere, gereguleerde alternatief voor ondoorzichtige offshoremodellen.

Die positionering blijft op hoofdlijnen logisch, maar krijgt nu een duidelijke kanttekening. Een vergunning zegt iets over toezicht en wettelijke verplichtingen. Ze garandeert niet dat elke operationele component technisch onaantastbaar is.

Voor exchanges en gebruikers wordt de vraag dus concreter: hoe zijn mintingrechten beveiligd, hoeveel sleutels zijn nodig, wie beheert die sleutels en welke noodprocedures bestaan er als een sleutel wordt gecompromitteerd?

De conclusie is nuchter. StablR heeft snel erkend dat er een incident was, minting en redemption stilgezet en handelsplatformen gevraagd de tokens te pauzeren. Dat is de juiste richting bij een stablecoinincident.

Maar de erkenning dat USDR en EURR tijdelijk niet volledig 1-op-1 gedekt zijn, is zwaar. Het raakt direct aan de fundamentele belofte van e-money tokens onder MiCAR.

Voor de Europese stablecoinmarkt is dit daarom meer dan een incident bij één uitgever. Het is een waarschuwing dat de volgende test niet alleen juridisch is, maar operationeel.

MiCA kan stablecoins reguleren. DORA kan digitale weerbaarheid eisen. Maar uiteindelijk moet de praktijk bewijzen dat minting wallets, multisigs, key management en incidentrespons sterk genoeg zijn om de belofte van 1-op-1 dekking waar te maken.