ZachXBT révèle : le projet BSC « GANA Payment » a subi un exploit de 3,1 M$

Synthèse de l’exploitation ayant visé GANA Payment

Le chercheur en sécurité blockchain ZachXBT a révélé une faille critique ayant touché GANA Payment, un projet crypto évoluant sur la BNB Smart Chain (BSC). L’exploitation s’est soldée par des pertes supérieures à 3,1 millions de dollars, illustrant une nouvelle faille préoccupante dans la sécurité blockchain.

Cet incident démontre la sophistication croissante des méthodes employées par les acteurs malveillants dans le secteur des cryptomonnaies. Après le vol, une part importante des fonds détournés a été blanchie via Tornado Cash, protocole de confidentialité actif sur BSC et Ethereum. À ce jour, environ 1 million de dollars d’actifs restent inactifs sur Ethereum, en attente d’une éventuelle opération de l’exploiteur.

D’après les informations détaillées par ZachXBT sur Telegram, l’exploiteur a regroupé les fonds volés à l’adresse 0x2e8****5c38, puis déposé 1 140 jetons BNB (environ 1,04 million de dollars) sur Tornado Cash via BSC. Cette opération illustre un schéma classique de blanchiment permettant d’effacer les traces des actifs volés.

L’attaque a ensuite intégré un volet inter-chaînes, l’assaillant ayant transféré 346,8 ETH supplémentaires (soit 1,05 million de dollars) sur Ethereum, toujours via Tornado Cash. L’analyse on-chain montre que 346 ETH restent inactifs à l’adresse 0x7a503****b3cca, ce qui suggère une stratégie de temporisation visant à éviter la détection.

Cet événement souligne les difficultés récurrentes auxquelles font face les projets blockchain pour garantir une sécurité efficace. L’utilisation de protocoles comme Tornado Cash illustre la façon dont des outils de confidentialité légitimes sont détournés à des fins illicites, compliquant d’autant la récupération des fonds et les enquêtes officielles.

Analyse technique : manipulation de la gouvernance contractuelle

La société de sécurité blockchain HashDit a mené une analyse rapide après la détection d’activités suspectes. Leur enquête a rapidement identifié la faille principale : la prise de contrôle non autorisée de la gouvernance du smart contract GANA.

L’attaque reposait sur la modification frauduleuse des paramètres de propriété du contrat de GANA. Grâce à ce contrôle illégitime, l’attaquant a obtenu les droits administratifs sur le mécanisme de staking, lui permettant d’altérer les taux de distribution et de compromettre la sécurité du système.

Sur le plan technique, l’assaillant a d’abord exploité la faille de gouvernance pour s’approprier les fonctions clés du contrat. Il a ensuite multiplié les actions de retrait (unstake), recevant à chaque fois bien plus de tokens GANA que prévu normalement. Cette manipulation du calcul des récompenses lui a permis d’extraire ou de générer un volume anormal de tokens par rapport aux utilisateurs légitimes.

Avec ces tokens en excès, l’attaquant a orchestré une liquidation ciblée sur des exchanges décentralisés, transformant les tokens GANA volés en cryptomonnaies liquides telles que BNB et ETH. Cette conversion était une étape cruciale avant blanchiment, les cryptos majeures offrant davantage de possibilités pour le déplacement des fonds.

Enfin, les capitaux convertis ont été acheminés via Tornado Cash, ce qui a permis de rompre la traçabilité on-chain entre les adresses sources et de destination, compliquant ainsi la tâche des enquêteurs.

HashDit a publié une alerte de sécurité urgente, appelant les utilisateurs à suspendre toute opération sur les tokens GANA, dans l’attente de consignes officielles et de correctifs. Selon l’entreprise, continuer d’interagir avec le contrat compromis exposerait à de nouveaux risques.

Cette exploitation vient étoffer l’historique des incidents sur BSC, même si le réseau améliore ses indicateurs globaux. Selon une analyse croisée de BNB Chain et Hacken, les pertes totales ont chuté de 70%, passant de 161 millions de dollars en 2023 à 47 millions en 2024. Malgré cette tendance positive et le renforcement des dispositifs, des attaques comme celle de GANA continuent de mettre à l’épreuve la résilience du réseau.

Les précédents incidents sur BSC aident à mieux cerner l’évolution des menaces. En septembre, une attaque de phishing a entraîné la perte de 13,5 millions de dollars chez un utilisateur de Venus Protocol, à la suite de l’approbation d’une transaction malicieuse. Les smart contracts principaux de Venus Protocol n’ont pas été compromis, la perte étant liée à une ingénierie sociale et non à une faille technique du protocole.

La plateforme Four.Meme a également subi une faille de 183 000 dollars lors d’une période de volatilité. L’attaque, de type sandwich attack, a entraîné la perte d’environ 125 BNB, dans un contexte d’agitation autour du token Test de la plateforme.

Plan de reprise et enquête officielle

L’équipe de GANA a réagi rapidement à la faille en annonçant officiellement l’attaque externe sur leur infrastructure de contrats. Le communiqué confirme que des acteurs non autorisés ont accédé et extrait des actifs utilisateurs en exploitant des failles contractuelles.

Dans sa réponse, l’équipe a détaillé son plan d’action immédiat. Elle a mandaté un cabinet de sécurité indépendant spécialisé en forensics blockchain et en audit de smart contracts. Ce partenariat vise à conduire une enquête d’urgence couvrant : l’analyse technique de l’attaque et des points d’entrée, l’identification des vulnérabilités exploitées, et une évaluation complète de l’impact sur les utilisateurs et l’infrastructure du protocole.

La stratégie de reprise prévoit notamment un redémarrage global du système, incluant la cartographie de toutes les adresses utilisateurs et de leurs autorisations. Cet audit vise à garantir qu’aucune faille résiduelle ne subsiste avant la reprise des opérations.

L’équipe GANA a présenté des excuses officielles aux victimes pour les pertes et désagréments subis, et s’engage à communiquer de manière transparente tout au long du processus. Elle promet de détailler les plans de reprise, les mécanismes d’indemnisation et le calendrier à venir via ses canaux officiels.

L’incident intervient après une période d’accalmie sur le plan des failles de sécurité dans l’industrie crypto. Selon PeckShield, le secteur a enregistré son plus bas niveau de pertes mensuelles, avec 18,18 millions de dollars volés sur 15 incidents, soit une baisse de 85,7% par rapport aux 127,06 millions du mois précédent.

Les experts en sécurité rappellent toutefois que, malgré ces chiffres encourageants, les attaquants font évoluer leurs méthodes aussi vite, voire plus vite, que les protocoles de sécurité ne se renforcent. La sophistication de l’attaque sur GANA illustre cette dynamique permanente entre offensives et défenses.

L’exploitation ayant visé GANA s’inscrit dans le contexte d’une attaque plus importante contre Balancer Protocol. Récemment, Balancer a subi plus de 128 millions de dollars de pertes sur plusieurs blockchains. L’attaquant a ciblé les Balancer V2 Composable Stable Pools en exploitant des failles d’autorisation et des vulnérabilités de gestion des callbacks, drainant les fonds en quelques minutes avant de les blanchir via Tornado Cash, selon un schéma similaire à l’affaire GANA.

Le protocole de liquid staking StakeWise a pu récupérer 19,3 millions de dollars en osETH via un appel d’urgence, réduisant les pertes nettes de Balancer à 98 millions de dollars environ, mais l’incident a lourdement impacté le marché : la valeur totale verrouillée (TVL) de Balancer est passée de 442 millions à 214,52 millions en une journée, illustrant la perte de confiance que peuvent générer de telles failles sur les protocoles DeFi.

L’ensemble de ces événements rappelle l’importance des audits de sécurité rigoureux, des dispositifs de surveillance continue et de la réactivité des équipes pour tout projet blockchain opérant dans la finance décentralisée.

FAQ

Comment l’exploitation à 3,1 M$ sur le projet GANA Payment a-t-elle été réalisée ?

L’attaque a exploité des failles du smart contract de GANA Payment sur BSC, permettant aux attaquants de vider les fonds via des attaques de réentrance et des transferts non autorisés, pour un total de 3,1 millions de dollars de pertes.

Quel est l’impact de cette vulnérabilité sur les fonds des utilisateurs ?

L’exploitation de 3,1 millions de dollars a directement compromis les avoirs des utilisateurs de GANA Payment, provoquant la perte immédiate des fonds. Les attaquants ont pu vider les pools de liquidité et les soldes utilisateurs. Parmi les mesures d’urgence : revue de la sécurité des portefeuilles et suivi du traçage on-chain pour la récupération des fonds.

Comment évaluer les risques liés aux smart contracts dans les projets DeFi ?

Analysez les audits réalisés par des cabinets reconnus, le code sur GitHub, les programmes de bug bounty, les compétences des développeurs, l’historique de déploiement, la liquidité, et surveillez les retours de la communauté pour détecter d’éventuels signaux de risque.

Comment l’équipe GANA Payment a-t-elle géré cet incident ?

L’équipe a déclenché une réponse immédiate, suspendu les contrats concernés, sollicité des auditeurs en sécurité pour enquêter sur l’exploitation, communiqué de façon transparente avec les utilisateurs et mis en place des mesures de reprise et de renforcement des procédures afin de prévenir de nouvelles vulnérabilités.

Comment se protéger contre les risques de vulnérabilités dans les projets blockchain ?

Les investisseurs doivent privilégier les audits de smart contracts par des cabinets de référence, diversifier leurs placements, suivre les mises à jour de sécurité, vérifier la légitimité des équipes, utiliser des portefeuilles hardware, et choisir des projets dotés d’une gouvernance transparente et de programmes de bug bounty actifs.

Quels projets BSC ont déjà subi des incidents liés à des vulnérabilités de smart contracts ?

Plusieurs projets BSC ont été touchés, dont PancakeSwap (attaque par prêt flash), Binance Bridge (exploitation cross-chain), SafeMoon (soupçons de rug pull), ainsi que d’autres confrontés à des vulnérabilités de smart contracts ayant entraîné d’importantes pertes de fonds.