Un incident qui touche deux stablecoins liés à l’écosystème Concordium
Deux stablecoins émis par StablR, USDR et EURR, ont perdu une partie de leur ancrage après un exploit signalé ce week-end. Selon les premiers éléments rapportés par Cointelegraph, l’incident aurait permis à un attaquant d’extraire environ 2,8M$ de valeur, tout en provoquant une forte baisse de liquidité sur les marchés concernés.
Le sujet est sensible, car StablR s’était positionné comme un émetteur européen de stablecoins réglementés, avec un dollar numérique, USDR, et un euro numérique, EURR. Ces actifs avaient notamment été intégrés dans l’écosystème PayFi de Concordium, une blockchain qui met en avant l’identité, la conformité et les paiements numériques.
Il faut cependant être précis : à ce stade, les informations publiques parlent surtout d’un exploit visant StablR et ses mécanismes d’émission, pas d’un piratage démontré de la blockchain Concordium elle-même. Cette nuance est importante. Un incident peut toucher un stablecoin présent dans un écosystème sans que toute l’infrastructure sous-jacente soit compromise.
Que sont USDR et EURR ?
USDR et EURR sont des stablecoins. Leur objectif est simple : garder une valeur stable par rapport à une monnaie classique. USDR est conçu pour suivre le dollar américain, tandis que EURR est conçu pour suivre l’euro.
Pour un débutant, un stablecoin peut être vu comme une version numérique d’une monnaie traditionnelle, utilisée sur blockchain. L’intérêt est de pouvoir transférer rapidement de la valeur, régler des transactions, accéder à des services financiers ou conserver une exposition à une devise sans passer à chaque fois par le système bancaire classique.
StablR présente USDR comme un stablecoin adossé au dollar, avec une logique de transparence et de réserves séparées. Sur sa page officielle, l’émetteur explique que USDR est conçu pour maintenir une valeur 1:1 avec le dollar américain, et qu’il est soutenu par des actifs conservés dans des comptes séparés.
En théorie, ce type de modèle repose donc sur deux piliers : les réserves et la confiance opérationnelle. Les réserves servent à justifier la valeur du stablecoin. La confiance opérationnelle concerne tout le reste : sécurité des contrats, gestion des clés, gouvernance, liquidité, capacité de rachat et réaction en cas d’incident.
L’affaire actuelle montre que les réserves ne suffisent pas toujours à rassurer le marché à court terme. Lorsqu’un incident touche la capacité d’émission ou la gouvernance d’un stablecoin, la confiance peut se briser très vite.
Ce qui se serait passé
D’après les premières analyses, l’incident ne viendrait pas d’un simple bug dans le code du stablecoin. Il s’agirait plutôt d’un problème de gestion de clés et de gouvernance. L’attaquant aurait compromis une clé liée à un compte multisignature utilisé pour l’émission des tokens.
Une multisignature est un système qui demande plusieurs validations avant d’autoriser une action importante. Par exemple, une entreprise peut configurer un compte pour exiger deux ou trois signatures différentes avant de modifier un contrat ou de créer de nouveaux tokens.
Dans le cas présent, les premières informations indiquent qu’un seuil faible aurait été utilisé. L’attaquant aurait alors pu s’ajouter lui-même, remplacer d’autres propriétaires, puis créer de nouveaux tokens USDR et EURR sans le contrôle attendu.
Les chiffres rapportés font état de 8,35 millions d’USDR et 4,5 millions d’EURR créés par l’attaquant. Ces tokens auraient ensuite été échangés sur des plateformes décentralisées contre environ 1 115 ETH, soit environ 2,8M$ au moment des faits.
Ce point est très important : l’attaquant aurait créé une valeur théorique bien plus élevée que ce qu’il a réellement pu extraire. Pourquoi ? Parce que la liquidité était limitée. Quand un marché est peu profond, il n’est pas possible de vendre de gros volumes sans faire fortement chuter le prix.
Pourquoi USDR et EURR ont perdu leur ancrage
Un stablecoin perd son ancrage lorsque son prix de marché s’éloigne de la valeur qu’il est censé suivre. Pour USDR, l’objectif est de rester proche de 1$. Pour EURR, l’objectif est de rester proche de la valeur de l’euro.
Après l’incident, les deux tokens ont chuté. Les données rapportées indiquent qu’EURR aurait perdu plus de 20% de sa valeur, tandis qu’USDR aurait également fortement décroché. Ce type de mouvement arrive lorsque les acheteurs disparaissent, que les vendeurs se multiplient, ou que le marché n’a plus confiance dans la capacité du stablecoin à être racheté à sa valeur normale.
Le mécanisme est assez simple. Si les utilisateurs pensent qu’un stablecoin peut être affecté par un exploit, ils vont chercher à le vendre rapidement. Mais si tout le monde veut sortir en même temps, et que la liquidité disponible est faible, le prix baisse. Plus le prix baisse, plus la panique augmente. C’est ce cercle qui crée un depeg brutal.
Il ne faut donc pas confondre deux choses. Un depeg ne signifie pas toujours que les réserves ont disparu. Il peut aussi refléter une crise de confiance, un manque de liquidité ou une incertitude sur la capacité de rachat. Mais pour l’utilisateur final, le résultat immédiat est le même : le stablecoin ne vaut plus ce qu’il était censé valoir sur le marché secondaire.
Pourquoi Concordium est cité dans cette affaire
Concordium est cité parce que StablR avait annoncé l’arrivée d’USDR et EURR dans son écosystème PayFi. Dans un communiqué publié en 2025, Concordium présentait l’intégration de StablR comme une étape destinée à apporter des stablecoins euro et dollar dans une infrastructure orientée conformité, paiements et usages institutionnels.
L’idée était de proposer des stablecoins compatibles avec des usages réels : paiements, règlements transfrontaliers, liquidité en euro et en dollar, et intégration avec des mécanismes d’identité au niveau du wallet.
L’incident actuel est donc délicat pour l’image de cet écosystème. Même si Concordium n’est pas forcément la cible technique directe de l’attaque, l’affaire touche un actif qui faisait partie de son narratif PayFi. Pour une blockchain qui met en avant la sécurité, la conformité et l’usage institutionnel, ce type d’événement impose une communication très claire.
Les utilisateurs ont besoin de savoir ce qui a été touché, ce qui ne l’a pas été, où se situe la faille, quelles mesures ont été prises, et si les stablecoins concernés peuvent retrouver leur ancrage.
Le vrai problème : la sécurité opérationnelle
Cette affaire rappelle un point souvent sous-estimé dans la crypto : la sécurité ne dépend pas uniquement du code. Elle dépend aussi de la manière dont les clés sont gérées, des droits donnés aux administrateurs, des seuils de validation, des procédures internes et des contrôles en temps réel.
Un smart contract peut être correct, mais rester vulnérable si une clé importante est compromise. Une infrastructure peut être solide, mais devenir fragile si une seule signature suffit à effectuer une action critique. Un stablecoin peut être adossé à des réserves, mais perdre la confiance du marché si son mécanisme d’émission peut être manipulé.
Pour les débutants, c’est une leçon essentielle. Quand on analyse un stablecoin, il ne faut pas seulement demander : “Est-il censé valoir 1$ ?” Il faut aussi se demander : qui peut créer les tokens ? Qui peut modifier les contrats ? Combien de signatures sont nécessaires ? Les réserves sont-elles vérifiables ? Existe-t-il un droit de rachat clair ? Que se passe-t-il en cas d’incident ?
Pourquoi ce hack est important pour l’Europe
L’affaire tombe dans un moment où l’Europe cherche à construire un marché des stablecoins plus encadré avec MiCA. Les émetteurs européens veulent montrer qu’ils peuvent proposer des alternatives sérieuses aux grands stablecoins dominés par le dollar, comme USDT ou USDC.
Mais cette ambition repose sur une condition : la confiance. Un stablecoin européen ne peut pas seulement se présenter comme conforme. Il doit aussi démontrer qu’il est solide techniquement, bien gouverné et capable de protéger ses utilisateurs lors d’un stress de marché.
C’est tout l’enjeu de ce type d’incident. Il ne remet pas forcément en cause l’idée des stablecoins euro ou dollar réglementés. Mais il montre que la conformité réglementaire ne remplace pas la sécurité opérationnelle. Les deux doivent avancer ensemble.
Pour des acteurs comme Coinstancy, qui observent de près les infrastructures stablecoins, ce type d’événement confirme l’importance d’une sélection prudente des partenaires, d’une surveillance continue et d’une communication claire avec les utilisateurs.
Ce qu’il faut retenir
L’exploit StablR et le depeg d’USDR et EURR rappellent que les stablecoins ne sont pas tous équivalents. Derrière un actif censé rester stable, il existe une architecture complète : réserves, contrats, clés, liquidité, gouvernance, exchanges et mécanismes de rachat.
L’incident montre aussi que la confiance peut disparaître très vite lorsque le marché ne comprend plus clairement qui contrôle quoi. Dans la finance numérique, la transparence ne doit donc pas être limitée aux réserves. Elle doit aussi couvrir les droits d’administration, les systèmes de sécurité et les procédures de crise.
Pour l’instant, le dossier reste à suivre. Les prochains éléments importants seront la communication officielle de StablR, l’état exact des contrats touchés, la capacité de rachat des tokens, la profondeur de liquidité restante et les éventuelles mesures prises par les plateformes qui listent USDR et EURR.
Ce n’est pas seulement une affaire de hack. C’est un rappel plus large : un stablecoin peut perdre son ancrage non seulement à cause de ses réserves, mais aussi à cause d’une faille de gouvernance.
