Aller au contenu
Fondé MMXXVIVol. VI · № 286RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 282Compromission de clé privée

Exploit de mint non autorisé de TesseraDAO

Un attaquant contrôlant les droits de mint a créé 99 millions de tokens TSR sur BNB Chain et les a liquidés pour environ 2,5 millions de dollars, faisant chuter le token de près de 99%.

Date
Victime
TesseraDAO
Chaîne(s)
BNB Chain
Statut
Fonds dérobés

Le 1er juin 2026, TesseraDAO a été drainé d'environ 2,5 millions de dollars lorsqu'un attaquant ayant pris le contrôle des droits de mint privilégiés a émis 99 millions de tokens TSR à partir de rien sur BNB Chain et les a immédiatement vendus, faisant s'effondrer le prix du token de près de 99%.

Ce qui s'est passé

L'exploit reposait sur le contrôle de l'autorité de mint privilégiée du contrat plutôt que sur une faille logique du token lui-même. Selon PeckShield, l'attaquant a exécuté un mint non autorisé d'environ 99 millions de TSR à 11h38 UTC, puis a déversé l'ensemble de l'offre dans la liquidité du projet en une seule vague de pression vendeuse. Comme les tokens créés n'avaient aucune garantie, la vente a drainé environ 2,5 millions d'USDT de liquidité réelle tandis que le cours affiché du TSR chutait à des fractions de centime. La signature classique de l'infinite mint — une expansion soudaine de l'offre contrôlée par le propriétaire suivie d'une sortie instantanée — fait écho à la cascade Ankr / Helio, où une clé de développeur volée avait créé 60 000 milliards d'aBNBc.

Conséquences

L'attaquant a transféré les fonds vers Tornado Cash, le mixeur sanctionné par l'OFAC, consolidant environ 1 285 ETH pour brouiller la piste — un signe clair d'un vol délibéré et non d'une action white-hat. TesseraDAO n'a pas publié de post-mortem détaillé ni de plan de récupération dans l'immédiat, et les détenteurs se sont retrouvés exposés à un token ayant perdu la quasi-totalité de sa valeur en quelques heures.

Pourquoi c'est important

TesseraDAO rappelle une fois de plus que l'autorité de mint d'un projet est son privilège le plus dangereux : si une clé ou un rôle d'administrateur contrôlant l'offre est compromis, aucune logique de token bien auditée n'empêche un attaquant d'imprimer et de liquider. Le schéma se répète dans les incidents de clé privée sur BNB Chain du catalogue, et le passage immédiat par Tornado Cash souligne la rapidité avec laquelle les attaquants blanchissent désormais les gains des petites et moyennes capitalisations avant qu'un gel ne puisse intervenir.

Sources & preuves on-chain

  1. [01]cryptopolitan.comhttps://www.cryptopolitan.com/exploit-hits-gnosis-pay-tesseradao-june/
  2. [02]cryptotimes.iohttps://www.cryptotimes.io/2026/06/02/tesseradao-tsr-plunges-99-after-attacker-mints-99m-tokens/
  3. [03]usethebitcoin.comhttps://usethebitcoin.com/news/tesseradao-hack-tsr-mint-exploit/
  4. [04]crypto-economy.comhttps://crypto-economy.com/tesseradao-suffers-2-5-million-exploit-following-ownership-takeover-attack/

Dépôts liés