Un projet de paiement décentralisé sur Binance Smart Chain (BSC) appelé GANA Payment a été exploité vers 5h00 UTC jeudi, entraînant des pertes dépassant 3,1 millions de dollars, selon le chercheur blockchain ZachXBT.
Les conclusions de l'enquêteur spécialisé en cryptomonnaies ont révélé que l'attaquant avait exploité une faille dans letracintelligent du projet pour dérober des jetons. Il les a ensuite transférés via Tornado Cash et d'autres réseaux afin de mettre en place des opérations de blanchiment d'argent.
« Letracd'interaction de GANA a été la cible d'une attaque externe, entraînant un vol d'actifs non autorisé… Nous continuerons à fournir des mises à jour sur l'avancement de l'enquête et les actions ultérieures par le biais des canaux officiels », a écrit la plateforme DeFi sur X plus tôt dans la journée.
Plusieurs plateformes de cybersécurité sur X, dont OnChain Lens, ont signalé que l'attaque a commencé lorsque l'attaquant a transféré 1 140 BNB, d'une valeur d'environ 1,04 million de dollars, dans Tornado Cash sur BSC.
Les actifs volés ont ensuite été transférés vers Ethereum, où 346 ETH supplémentaires, d'une valeur de 1,05 million de dollars, ont été déposés dans le service de mixage de cryptomonnaies, soi-disant à des fins de blanchiment.
Les enregistrements de la blockchain partagés par ZachXBT montrent que l'adresse Ethereum utilisée pour le blanchiment était 0x7a503e3ab9433ebf13afb4f7f1793c25733b3cca. Les adresses de vol initiales sur la BSC ont étédentcomme étant 0x2e8a…aae5c38 et 0xd10e…cc8fa4d.
Un pirate informatique a exploité la fonction « désengagement » de GANA pour voler des cryptomonnaies.
Selon la société de sécurité Web3 HashDit, la propriété dutracexploité avait été modifiée, ce que le pirate a utilisé pour manipuler les taux de récompense et invoquer la fonction de désengagement, recevant ainsi plus de jetons GANA que prévu.
🚨Alerte HashDit🚨
HashDit a constaté que le compte @GANA_PayFi a été compromis pour un montant d'environ 3,1 millions de dollars en $GANA .
Les utilisateurs ne doivent PAS effectuer de transactions avec le $GANA pour le moment et doivent attendre l'annonce de l'équipe !
Des fonds ont été déposés sur TC : https://t.co/rtdjnMvYpI
Cause première : Propriété de… pic.twitter.com/XZzuoMmf8D
— HashDit | maintenant avec l'extension Pro (@HashDit) 20 novembre 2025
L'auteur de l'infraction a ensuite rapidement vendu les jetons sur des plateformes d'échange décentralisées, dévaluant considérablement la cryptomonnaie du projet. Un montant total de 346 ETH, détenu sur l'adresse Ethereum , est resté inactif pendant plusieurs heures.
Cependant, depuis une heure, le pirate a repris le blanchiment des fonds via Tornado Cash par lots progressifs de 1 ETH, 10 ETH et 100 ETH, une méthode utilisée par les voleurs lors DeFi pour « effacer » la trace des fonds volés laissée par les chercheurs en sécurité.
GANA Payment est un projet de jeton de paiement de taille relativement modeste, basé sur le jeton GANA (BEP-20). Son fonctionnement est décentralisé et repose sur des pools de liquidités et des plateformes d'échange, mais Cryptopolitan n'a trouvé aucune documentation technique accessible au public.
Le projet, lancé début novembre, n'a encore publié aucun audit officiel ni analyse de sécurité détaillée. Suite au piratage, les données de GeckoTerminal ont montré que la valeur du jeton GANA a chuté de plus de 90 %.
Les exploits DeFi sur BSC et Ethereum se sont calmés en octobre.
D'après tracde piratages de DefiLlama, les petits projets basés sur les BSC ont collectivement perdu plus de 100 millions de dollars rien qu'en 2025. Le piratage de GANA a porté ce total à près de 10 millions de dollars au cours des deux derniers mois, incluant les violations de réseau chez OlaXBT, Evoq Finance, Seedify et GriffinAI.
Cryptopolitan , les pertes totales dues aux piratages informatiques s'élevaient à seulement 18,18 millions de dollars pour une quinzaine d' dent , soit une baisse de 85,7 % par rapport aux 127,06 millions de dollars enregistrés en septembre. dent survenus au cours du mois, on peut citer les piratages de Garden Finance, Typus Finance et Abracadabra, qui ont permis de dérober ensemble 16,2 millions de dollars.
Abracadabra, un protocole de prêt décentralisé et créateur du stablecoin Magic Internet Money (MIM), a subi une perte de 1,8 million de dollars lorsque des attaquants ont exploité des failles dans la manière dont letracgérait les actions au sein d'une même transaction.
Typus Finance a perdu 3,4 millions de dollars en raison de faiblesses dans le contrôle d'accès de son oracle de prix personnalisé, tandis que Garden Finance a subi une perte de 11 millions de dollars à cause d'un solveur unique connecté à plusieurs réseaux blockchain.
Ce mois-ci, Balancer a été victime de l'une des plus importantes DeFi de 2025, au cours de laquelle des ETH encapsulés et d'autres actifs de plusieurs réseaux ont été dérobés pendant plusieurs heures. Les enquêteurs spécialisés dans la blockchain avaient estimé les pertes à environ 70 millions de dollars, mais lorsque les développeurs du réseau ont repris le contrôle, le préjudice avait dépassé les 116 millions de dollars.
Le lendemain, le protocole de prêt multichaîne Moonwell a été victime d'une faille de sécurité exploitant des données d'oracle défectueuses, entraînant une perte d'environ un million de dollars. L'attaquant a profité des écarts de prix pour emprunter et échanger des actifs ETH enveloppés spécifiques, empochant ainsi 295 ETH.
Selon les données Defi Llama , les attaques de ponts inter-chaînes en 2025 ont entraîné le vol de plus de 1,5 milliard de dollars de fonds à la mi-2025, tandis que les failles de réentrance ont causé des pertes de 325 millions de dollars, notamment sur des trac . La manipulation d'oracles a représenté 13 % des attaques, tandis que les détournements de fonds des pools de liquidités ont entraîné le vol de 103 millions de dollars d'actifs.
