GANA Payment perde oltre 3,1 milioni di dollari in un exploit

Secondo il ricercatore blockchain ZachXBT, un progetto di pagamento decentralizzato su Binance Smart Chain (BSC) chiamato GANA Payment è stato sfruttato intorno alle 5:00 UTC di giovedì, causando perdite superiori a 3,1 milioni di dollari. 

Le scoperte dell'investigatore di criptovalute hanno mostrato che l'aggressore ha sfruttato una falla nello smarttracdel progetto per rubare token. Li ha poi trasferiti tramite Tornado Cash e altre reti per avviare operazioni di riciclaggio di denaro.

"Iltracdi interazione di GANA è stato preso di mira da un attacco esterno, che ha portato al furto di asset non autorizzato... Continueremo a fornire aggiornamenti sui progressi delle indagini e sulle azioni successive attraverso i canali ufficiali", ha scritto la piattaforma DeFi su X in precedenza oggi.

Diverse piattaforme di sicurezza informatica su X, tra cui OnChain Lens, hanno segnalato che l'exploit è iniziato quando l'aggressore ha trasferito 1.140 BNB, per un valore di circa 1,04 milioni di dollari, in Tornado Cash su BSC. 

I beni rubati sono stati successivamente trasferiti su Ethereum, dove altri 346 ETH, per un valore di 1,05 milioni di dollari, sono stati depositati nel mixer di criptovalute presumibilmente per riciclaggio.

I registri blockchain condivisi da ZachXBT mostrano che l'indirizzo Ethereum utilizzato per il riciclaggio era 0x7a503e3ab9433ebf13afb4f7f1793c25733b3cca. Gli indirizzi originali del furto su BSC sono statidentcome 0x2e8a…aae5c38 e 0xd10e…cc8fa4d.

Un hacker ha sfruttato la funzione "unstake" di GANA per rubare monete

Secondo la società di sicurezza Web3 HashDit, la proprietà deltracsfruttato era stata alterata, cosa che l'hacker ha fatto per manipolare i tassi di ricompensa e invocare la funzione di unstake, ricevendo più token GANA del previsto. 

🚨Avviso HashDit🚨

HashDit ha monitorato che @GANA_PayFi è stato compromesso per circa 3,1 milioni di $ $GANA.

gli utenti NON devono effettuare transazioni con il $GANA e attendere l'annuncio del team!

I fondi sono stati depositati su TC: https://t.co/rtdjnMvYpI

Causa principale: la proprietà di… pic.twitter.com/XZzuoMmf8D

— HashDit | ora con l'estensione Pro (@HashDit) 20 novembre 2025

L'autore del reato ha quindi rapidamente venduto i token su exchange decentralizzati, svalutando significativamente la valuta del progetto. Un importo totale di 346 ETH depositati nell'indirizzo Ethereum è rimasto inattivo per diverse ore. 

Tuttavia, a partire da un'ora fa, l'hacker ha ripreso a riciclare i fondi tramite Tornado Cash in lotti incrementali di 1 ETH, 10 ETH e 100 ETH, un metodo utilizzato dai ladri durante DeFi per "sfuggire" alle tracce dei fondi rubati lasciate dai ricercatori di sicurezza.

GANA Payment è un progetto di token di pagamento su scala relativamente piccola, basato sul token BEP-20 GANA. Le sue operazioni sono decentralizzate e utilizzano pool di liquidità ed exchange, ma Cryptopolitan non ha trovato alcuna documentazione tecnica disponibile al pubblico. 

Il progetto, lanciato all'inizio di novembre, non ha ancora pubblicato audit formali o analisi di sicurezza dettagliate. In seguito all'attacco, i dati di GeckoTerminal hanno mostrato che il valore del token GANA è sceso di oltre il 90%.

Gli exploit DeFi su BSC ed Ethereum si sono raffreddati a ottobre

Secondo l'hack tracdi DefiLlama, i progetti più piccoli basati su BSC hanno perso complessivamente oltre 100 milioni di dollari solo nel 2025. L'attacco a GANA ha portato il totale a quasi 10 milioni di dollari negli ultimi due mesi, includendo violazioni di rete su OlaXBT, Evoq Finance, Seedify e GriffinAI.

Cryptopolitan Secondo quanto riportato a ottobre, le perdite totali dovute agli attacchi hacker ammontavano a soli 18,18 milioni di dollari in circa 15 incidentidentdentdentdentdentdentdentdentdentdurante il mese si segnalano gli attacchi hacker a Garden Finance, Typus Finance e Abracadabra, che insieme hanno causato il furto di 16,2 milioni di dollari. 

Abracadabra, un protocollo di prestito decentralizzato e creatore della stablecoin Magic Internet Money (MIM), ha subito una perdita di 1,8 milioni di dollari quando gli aggressori hanno sfruttato delle falle nel modo in cui iltracgestiva le azioni all'interno della stessa transazione. 

Typus Finance ha perso 3,4 milioni di dollari a causa di debolezze nel controllo degli accessi nel suo oracolo dei prezzi personalizzato, mentre Garden Finance ha subito una perdita di 11 milioni di dollari a causa di un singolo risolutore connesso a diverse reti blockchain.

Questo mese, Balancer è stata colpita da uno dei più grandi DeFi del 2025, in cui ETH e altri asset provenienti da diverse reti sono stati sottratti per diverse ore. Gli investigatori della blockchain avevano stimato perdite per circa 70 milioni di dollari, ma quando gli sviluppatori della rete hanno ripreso il controllo, l'ammontare delle perdite aveva superato i 116 milioni di dollari. 

Il giorno seguente, il protocollo di prestito multi-catena Moonwell è stato sfruttato tramite dati oracolari errati, perdendo circa 1 milione di dollari. L'aggressore ha sfruttato le discrepanze di prezzo per prendere in prestito e scambiare specifici asset ETH, intascando 295 ETH.

Secondo DefiLlama i dati, gli attacchi ai bridge cross-chain nel 2025 hanno causato il furto di oltre 1,5 miliardi di dollari di fondi entro la metà del 2025, mentre i bug di reentrancy hanno causato perdite per 325 milioni di dollari, in particolare a causa ditrac. La manipolazione di Oracle ha rappresentato il 13% degli attacchi, mentre gli sversamenti di liquidità hanno causato il furto di 103 milioni di dollari di asset.