Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 253Compromission de clé privée

Prise de contrôle du contrat de GANA Payment

Un vol probable de clé privée a donné aux attaquants le contrôle du contrat BSC de GANA Payment ; ils ont manipulé les taux et drainé 3,1 M$ via unstake.

Date
Victime
GANA Payment
Chaîne(s)
BNB ChainEthereum
Statut
Fonds dérobés

En novembre 2025, la plateforme de paiement DeFi basée sur BSC GANA Payment a perdu environ 3,1 millions de dollars lorsqu'un attaquant a pris le contrôle du contrat intelligent du projet — très probablement via un vol de clé privée permettant le transfert de propriété du contrat — et a utilisé l'accès pour manipuler les taux de récompense et extraire des tokens GANA en excès via la fonction unstake. Le token GANA a chuté de 90 % dans les suites.

Ce qui s'est passé

GANA Payment était une plateforme DeFi axée sur les paiements qui permettait aux utilisateurs de staker des tokens GANA et de gagner des récompenses. Le contrat était relativement récent au moment de l'attaque, avec une TVL limitée mais une base d'utilisateurs significative.

La chaîne d'attaque, identifiée publiquement par ZachXBT, suggérait une prise de contrôle de propriété du contrat plutôt qu'un bug de smart contract au niveau code :

  1. L'attaquant a obtenu l'autorité de transférer la propriété des contrats principaux de GANA Payment — probablement via vol de clé privée depuis le wallet deployer/opérateur du projet.
  2. Avec la propriété en main, a manipulé les paramètres de taux de récompense du protocole pour gonfler les GANA distribués par opération d'unstake.
  3. A appelé la fonction unstake de manière répétée, recevant des récompenses en tokens GANA follement excessives par rapport au comportement utilisateur légitime.
  4. A swappé les tokens de récompense GANA fraîchement mintés contre USDC, USDT et ETH via la liquidité des DEX.

Les fonds ont été blanchis via un chemin en plusieurs étapes :

  • ~1 M$ envoyé via Tornado Cash sur BSC.
  • Le reste bridgé vers Ethereum.
  • ~1 M$ supplémentaire déposé dans Tornado Cash sur Ethereum.
  • 346 ETH (~1,05 M$) restaient dans un wallet Ethereum au moment du reporting public — possiblement détenus pour être tumblés plus tard.

Conséquences

  • Le prix du token GANA a chuté d'environ 90 % à mesure que le marché intégrait l'émission de tokens non sanctionnée.
  • Le protocole a effectivement cessé ses opérations.
  • Aucune récupération publique depuis les wallets de l'attaquant.

Pourquoi c'est important

L'incident GANA Payment est l'un des nombreux cas 2025-2026 partageant un pattern récurrent : les plateformes de paiement DeFi avec des structures de propriété de style hot-wallet sont des cibles de plus en plus attractives pour des opérateurs alignés sur des États spécialisés dans le vol de clés privées.

La leçon structurelle, bien documentée mais de plus en plus importante à mesure que davantage de projets « paiements DeFi » lancent :

  1. La propriété de contrat pour les protocoles de routage de paiement est opérationnellement significative même quand le projet se commercialise comme décentralisé. Si une seule clé peut changer les paramètres de récompense, minter de l'offre supplémentaire ou upgrader l'implémentation du contrat, cette clé fait partie du modèle de confiance du protocole.
  2. Multi-sig avec timelock pour les transferts de propriété est une implémentation d'une ligne qui défait la plupart des scénarios de compromission de clé — l'attaquant aurait besoin des signatures multi-sig et devrait attendre la période de timelock, pendant laquelle des moniteurs on-chain peuvent détecter et répondre.
  3. Les changements de paramètres de taux de récompense devraient avoir des plafonds et des rate-limits — de la même manière que les banques centrales modernes ont des règles de changement de taux qui ne peuvent pas bouger la politique de plus d'un montant défini par réunion, l'attaque de type GANA Payment aurait été bornée si les paramètres de récompense avaient des limites supérieures dures imposées dans le contrat.

La détection menée par ZachXBT est aussi notable : fin 2025, les investigateurs on-chain indépendants sont devenus une couche significative de détection primaire pour les incidents DeFi, faisant souvent surface les brèches avant que les projets affectés eux-mêmes ne les divulguent publiquement. La dynamique est structurellement similaire au journalisme d'investigation — et produit certaines des mêmes tensions de rythme de divulgation entre investigateurs et entités qu'ils couvrent.

Sources & preuves on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-gana-payment-hack-november-2025
  2. [02]theblock.cohttps://www.theblock.co/post/379619/gana-payment-exploit
  3. [03]thecryptobasic.comhttps://thecryptobasic.com/2025/11/20/zabih-new-defi-player-gana-payment-suffers-multi-million-dollar-hack/

Dépôts liés