Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 209Phishing / Ingénierie sociale

Drainage par oracle Telegram de Banana Gun

Une faille d'oracle de messages Telegram a drainé 3 M$ chez 11 utilisateurs Banana Gun via transferts manuels. L'équipe a remboursé sur trésorerie.

Date
Victime
Banana Gun users
Chaîne(s)
Ethereum
Statut
Récupéré

Le 19 septembre 2024, le bot de trading crypto basé sur Telegram populaire Banana Gun a subi un exploit hautement ciblé qui a drainé environ 3 millions de dollars depuis 11 wallets d'utilisateurs — la plupart étant des traders « smart money » expérimentés. Les attaquants ont exploité une vulnérabilité dans l'oracle de messages Telegram que le bot utilisait pour valider les commandes utilisateurs. Banana Gun a entièrement remboursé les utilisateurs affectés depuis la trésorerie d'entreprise.

Ce qui s'est passé

Banana Gun était, en septembre 2024, l'un des plus grands bots de trading DeFi basés sur Telegram, ayant traité plus de 6,3 milliards de dollars en volume de trading sur près de 279 000 utilisateurs. Le bot opérait en :

  1. Recevant les commandes utilisateurs via le chat Telegram (acheter ce token, vendre celui-là, etc.).
  2. Vérifiant la commande via l'API Telegram.
  3. Exécutant la transaction on-chain correspondante depuis un wallet géré par le bot pour l'utilisateur.

L'attaque a exploité la seconde étape. L'oracle de messages Telegram — le mécanisme du bot pour prouver « cette commande vient de l'utilisateur Telegram légitime » — avait une vulnérabilité qui permettait à l'attaquant d'injecter des messages forgés que le bot interprétait comme des commandes de transfert légitimes de la victime, alors que la victime ne les avait pas envoyés.

Le ciblage était distinctif :

  • 11 victimes, principalement des traders expérimentés — pas des utilisateurs aléatoires. L'attaquant avait clairement profilé la base utilisateur du bot et sélectionné des cibles de grande valeur.
  • Transferts manuels plutôt que des drainages automatisés — chaque attaque nécessitait une construction spécifique de message par victime, suggérant une opération manuelle plutôt qu'un script d'exploit générique.

Total extrait : ~3 M$, principalement en ETH et tokens majeurs détenus dans les wallets gérés par Banana Gun des victimes.

Conséquences

  • Banana Gun a mis en pause les opérations bot EVM et Solana en quelques heures.
  • L'équipe s'est engagée publiquement à rembourser entièrement tous les utilisateurs affectés depuis les réserves de trésorerie, notant explicitement qu'aucun token BANANA ne serait vendu pour financer le remboursement (ce qui aurait frappé les détenteurs de tokens).
  • Les opérations ont repris avec un délai de transfert de 6 heures ajouté sur les transactions sortantes — un disjoncteur conçu pour donner au bot ou à ses utilisateurs le temps de détecter un comportement anormal avant que les fonds ne quittent le wallet.
  • Le prix du token BANANA a augmenté de 7 % sur l'annonce du remboursement, reflétant la confiance du marché dans la réponse de l'équipe.

Pourquoi c'est important

L'incident Banana Gun est une étude de cas pour la classe de risque émergente des bots de trading Telegram — des produits qui ont atteint un volume de trading de plusieurs milliards de dollars d'ici 2024-2026 mais dont les modèles de sécurité dépendent de :

  • L'intégrité de l'authentification et de l'API Telegram (le bot ne peut pas vraiment vérifier l'utilisateur au-delà de ce que Telegram lui dit).
  • L'infrastructure de gestion de wallet de l'opérateur du bot (souvent une garde de clés de type hot wallet pour un trading rapide).
  • La qualité du propre code du bot (souvent écrit et mis à jour rapidement pour suivre la demande de trading de memecoins).

Si l'une de ces trois couches est compromise, les fonds utilisateurs sont exposés. La vulnérabilité spécifique de Banana Gun était dans la couche oracle ; des bots similaires ont subi des problèmes sur d'autres couches à plus petite échelle.

Leçons structurelles :

  1. La garde par bot de trading est une classe d'actifs significative dans le modèle de menaces — distincte de la self-custody, distincte de la garde par échange, avec ses propres vulnérabilités uniques.
  2. Les attaques ciblées sur « smart money » sont de plus en plus rentables quand les attaquants peuvent identifier les utilisateurs de grande valeur — le même profilage à la Inferno-Drainer qui a touché la victime du Whale Hunter's Payday s'applique ici.
  3. Les délais de transfert de 6 heures sont un compromis significatif UX/sécurité — ils réduisent le temps de fenêtre d'attaque à exploit mais ralentissent les opérations utilisateurs légitimes. La plupart des utilisateurs accepteront le compromis après un incident ; la question est de savoir si le bot l'expédie avant ou après le premier incident.

La réponse de Banana Gun — pause rapide, remboursement complet, durcissement UX immédiat — a établi un niveau crédible pour la façon dont un opérateur de bot Telegram devrait gérer un incident de sécurité à cette échelle.

Sources & preuves on-chain

  1. [01]cryptonews.comhttps://cryptonews.com/news/telegram-bot-banana-gun-to-refund-3-million-hack-victims/
  2. [02]quillaudits.comhttps://www.quillaudits.com/blog/hack-analysis/banana-gun-exploit
  3. [03]bravenewcoin.comhttps://bravenewcoin.com/insights/telegram-bot-banana-commits-to-covering-us3-million-lost-in-hack

Dépôts liés