Rug par clé privée de Grand Base

Le 9 avril 2024, le projet d'actifs du monde réel sur Base Grand Base a perdu environ 2 millions de dollars après que sa clé deployer/admin a été compromise (ou abusée). L'attaquant a minté une offre illimitée de tokens GB et drainé le pool de liquidité GB, effondrant le token. Le pattern on-chain était indistinguible entre vol externe de clé et sortie d'insider.

Ce qui s'est passé

Le contrat du token Grand Base conservait l'autorité de mint privilégiée sur une seule clé. Quiconque contrôlait cette clé a minté une vaste offre de GB et l'a vendue dans le pool GB/WETH, extrayant ~2 M$ de valeur réelle et mettant le token à zéro.

Conséquences

• Le projet s'est effectivement terminé ; aucune récupération.
• L'ambiguïté « compromission vs rug d'insider » n'a jamais été définitivement résolue.

Pourquoi c'est important

Grand Base se situe à la frontière récurrente du catalogue « compromission de clé ou rug d'insider — indistinguibles on-chain », aux côtés de Snowdog et Multichain. Le risque structurel est identique quel que soit l'intention : une seule clé avec autorité de mint illimitée est une arme chargée pointée sur chaque détenteur. Que la détente soit pressée par un voleur ou le fondateur, la perte des détenteurs est la même. La seule défense est on-chain — autorité de mint renoncée ou timelockée par multi-sig — et son absence est le red flag le plus important qu'un détenteur de token puisse vérifier, et celui le plus systématiquement ignoré pendant une fenêtre de hype.