Français · 中文 · English

Stable.al accusé de vol de clés multisig et de surémission USDR/EURR : comment lire cette information quand les sources primaires sont incomplètes

2026-05-27

Le média coréen Tokenpost, dans son briefing nocturne du 26 mai, citait PANews pour rapporter qu’un émetteur se présentant comme « émetteur européen de stablecoins » — Stable.al — aurait vu une clé privée dérobée via une faille dans un portefeuille multisig 1/3 sur Ethereum. L’attaquant aurait obtenu les droits administrateurs, exclu les signataires d’origine, puis surémis environ 8,35 millions de USDR et 4,5 millions de EURR, soit une valeur nominale totale d’environ 13,5 M$, dont environ 2,8 M$ auraient été liquidés. Selon le rapport, le USDR aurait brièvement décroché avant de revenir à environ 0,994 $, tandis que le EURR aurait chuté jusqu’à 0,548 $. Les deux stablecoins ne satisferaient dès lors plus aux exigences de réserve 1:1 imposées par MiCA.

Note préliminaire importante : au moment de la publication de cet article, nous n’avons pas pu vérifier de manière indépendante l’identité de l’émetteur Stable.al, les adresses de contrat des deux jetons, les hachages de transactions de surémission ni les voies de liquidation précises — ni sur les principales plateformes d’analyse on-chain (étiquettes Etherscan, Arkham, alertes publiques Chainalysis), ni dans les grands médias cryptographiques anglophones (CoinDesk, The Block, DL News). Le lien permanent vers le rapport original en chinois de PANews n’est pas non plus fourni dans le briefing. La suite de cet article analyse les implications potentielles pour les utilisateurs de cartes USDT virtuelles dans le cadre hypothétique où « les faits rapportés s’avèrent exacts » ; tant que les faits ne sont pas établis, nous estimons que les lecteurs ne devraient pas traiter les éventuelles « recommandations opérationnelles » comme des instructions certaines.

Si les faits sont avérés, quel impact pour les utilisateurs de cartes USDT ?

Réponse directe : quasiment aucun impact direct pour la grande majorité des utilisateurs de cartes USDT virtuelles.

La raison est simple : USDR et EURR n’apparaissent pratiquement pas dans les listes de devises de recharge acceptées par les émetteurs grand public. Nous n’avons trouvé ces deux jetons dans aucune liste officielle de cryptomonnaies acceptées par les cartes de notre sélection éditoriale : MPCard, Wirex, Crypto.com Visa, Bybit Card ou OKX Card. Il ne s’agit ni de stablecoins majeurs comme USDT, USDC ou DAI, ni de stablecoins en euros comme EURC, EURS ou agEUR — ces derniers étant pourtant déjà intégrés par plusieurs émetteurs européens.

En d’autres termes, même si l’événement est avéré à 100 %, les utilisateurs qui rechargent en USDT et dépensent via les circuits Visa/Mastercard voient leur solde, leurs transactions et leurs retraits passer en dehors de USDR/EURRaucune action n’est donc nécessaire. La véritable vigilance porte sur les effets de second ordre : si les autorités réglementaires européennes saisissent cette occasion pour accélérer les inspections sur site des émetteurs de petite taille agréés MiCA, les émetteurs de cartes réglées en euros ou ouverts aux résidents de l’EEE pourraient faire face à des demandes de conformité plus fréquentes dans un délai de 30 à 90 jours, ce qui ralentirait l’ouverture de nouvelles cartes.

Repères historiques : surémission vs insuffisance de réserves vs vol de clés privées

Replacer cet événement dans la taxonomie des incidents de stablecoins est essentiel pour en cerner la nature :

Le type d’incident détermine la réponse réglementaire. Après le dépeg du USDC, la réaction réglementaire a été de promouvoir la diversification des réserves de stablecoins (réduire la dépendance à une seule banque). Après UST, les stablecoins algorithmiques ont été de fait exclus des circuits d’émission réglementés. Si l’incident Stable.al est vérifiable de manière indépendante, la réponse réglementaire la plus probable sera le renforcement des audits opérationnels des petits émetteurs agréés MiCA : seuils multisig, obligation d’utiliser des HSM, plafonds de droits pour un signataire unique, etc.

Périmètre de conformité dans le cadre MiCA

Le texte officiel EUR-Lex indique que les chapitres MiCA relatifs aux EMT (jetons de monnaie électronique) et aux ART (jetons se référant à des actifs) sont entrés en vigueur le 30 juin 2024, et ceux relatifs aux CASP (prestataires de services sur crypto-actifs) le 30 décembre 2024. Ces deux dates sont des faits publics vérifiables de manière indépendante.

Appliquées au scénario rapporté :

Points à surveiller dans les prochaines semaines

  1. Annonce officielle de l’émetteur : Stable.al publie-t-il une divulgation de l’incident sur son site officiel ou son compte X/Twitter, avec les adresses on-chain et les tx hash des transactions liées au piratage ? Si aucun grand média anglophone ne fait de suivi dans la semaine, la nature même de l’événement est à remettre en question.
  2. Vérification on-chain : les adresses de contrat ERC-20 de USDR et EURR sont-elles trouvables sur Etherscan ? L’adresse du déployeur du contrat et les événements de mint des 30 derniers jours présentent-ils des pics anormaux ?
  3. Réaction des régulateurs européens : l’Autorité bancaire européenne (ABE) ou une autorité nationale compétente (comme l’AMF française, le BaFin allemand ou la Banque centrale irlandaise) publie-t-elle dans les 4 à 6 semaines des orientations ou des sanctions concernant la conservation multisig pour les émetteurs d’EMT ?
  4. Impact sur les stablecoins majeurs : les courbes d’offre de EURC (Circle), EURS (STASIS) et agEUR (Angle) montrent-elles des rachats anormaux pendant la période de diffusion de l’événement ? Une baisse rapide de l’offre supérieure à 1 % signalerait que le marché y voit un signal systémique ; dans le cas contraire, il s’agit d’un projet isolé de petite taille.

Recommandations éditoriales

Pour toute question sur les concepts fondamentaux des stablecoins, consultez Qu’est-ce qu’une carte U pour comprendre le lien entre le circuit de financement des cartes USDT et le choix du stablecoin sous-jacent.