Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 179Compromission de clé privée

Exploit de mint de PlayDapp

Une clé admin volée a permis à l'attaquant de s'ajouter comme minter et produire 1,79 Md PLA en deux frappes — nominal 290 M$, seulement 32 M$ encaissés.

Date
Victime
PlayDapp
Chaîne(s)
Ethereum
Statut
Partiellement récupéré

Entre le 9 et le 12 février 2024, un attaquant a créé 1,79 milliard de jetons PLA sur la plateforme de jeu PlayDapp — un nominal de 290 millions de dollars aux prix de l'époque. PLA était la monnaie intra-plateforme d'un écosystème de jeu Web3 coréen.

Ce qui s'est passé

L'attaquant n'a pas exploité un bug de logique — il a volé une clé admin qui contrôlait les fonctions privilégiées du contrat de jeton PLA. Avec cette clé, il :

  1. S'est ajouté comme minter, accordant à sa propre adresse l'autorité de créer de nouveaux PLA.
  2. A dépouillé les administrateurs existants de leurs permissions, verrouillant l'équipe légitime à l'extérieur.
  3. A créé 200 millions de PLA (~36,5 M$) lors de la première attaque le 9 février.
  4. Est revenu trois jours plus tard et a créé encore 1,59 milliard de PLA (~253,9 M$) le 12 février.

Conséquences

  • L'attaquant n'a réussi à convertir qu'environ 32 millions de dollars des jetons volés en d'autres actifs avant que les échanges ne gèlent les adresses associées ; le reste est resté dans son portefeuille comme dilution qui a détruit la valeur de PLA plutôt que de lui rapporter de l'argent.
  • PlayDapp a mis en pause le contrat PLA et annoncé une migration vers un nouveau jeton « PDA » avec contrôles multi-signature. Les détenteurs existants ont reçu PDA à un ratio fixe ; le PLA créé par l'attaquant a été effectivement annulé.
  • La perte pour les détenteurs PLA légitimes était réelle : la capitalisation boursière s'est effondrée pendant l'incident.

Pourquoi c'est important

Une seule clé privilégiée sur un contrat non modifiable peut être pire qu'un contrat modifiable — parce qu'il n'y a aucun mécanisme pour révoquer une autorité volée sans une migration dure. La plupart des jetons émis en 2024 et 2025 sont livrés avec l'autorité de mint soit renoncée après le lancement, soit verrouillée derrière un multi-sig Safe avec timelock.

Sources & preuves on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-playdapp-hack-february-2024
  2. [02]immunebytes.comhttps://immunebytes.com/blog/playdapp-exploit-feb-9th-12th-2024-detailed-analysis-report/
  3. [03]playdapp.medium.comhttps://playdapp.medium.com/playdapp-post-mortem-on-the-hacking-incident-361b4ddfb5a1

Dépôts liés