Secondo quanto riportato, GANA Payment, un progetto su BNB Smart Chain , ha perso più di 3,1 milioni di dollari dopo che un aggressore ha ottenuto il controllo di importanti diritti contrattuali.
Il ladro ha spostato gran parte del bottino tramite Tornado Cash sia su BSC che su Ethereum , mentre circa 1 milione di dollari rimane inattivo sugli indirizzi Ethereum.
Come si è svolto l'attacco
Secondo i post del ricercatore blockchain ZachXBT, lo sfruttatore ha consolidato i beni rubati all'indirizzo 0x2e8***5c38 prima di inviare 1.140 BNB, ovvero circa 1,04 milioni di dollari, in Tornado Cash su BSC.
Il ladro ha quindi trasferito i fondi su Ethereum e ha inserito 346,8 ETH, per un valore di circa 1,05 milioni di dollari, attraverso lo stesso mixer.
Secondo Zach ( @zachxbt ), il progetto GANA Payment è stato sfruttato per oltre 3,1 milioni di dollari su BSC questa mattina.
L'aggressore ha prima inviato 1.140 $BNB (1,04 milioni di $) a Tornado Cash su BSC, poi ha trasferito i fondi rubati su #Ethereum e ha depositato altri 346 $ETH (1,05 milioni di $) su Tornado.
Il… pic.twitter.com/q7DL8Mdpzf
— Onchain Lens (@OnchainLens) 20 novembre 2025
Circa 346 ETH, pari a quasi 1,05 milioni di dollari all'epoca, giacciono intatti all'indirizzo 0x7a503***b3cca. Secondo quanto riportato dalla società di sicurezza HashDit, la violazione è iniziata quando la proprietà di un contratto GANA è stata modificata senza autorizzazione, conferendo all'aggressore il controllo a livello amministrativo sulla logica di staking.
Annuncio urgente GANA
Il contratto di interazione di GANA è stato preso di mira da un attacco esterno, che ha causato il furto non autorizzato di beni. Il nostro team tecnico, in collaborazione con una società di sicurezza indipendente, ha avviato un'indagine di emergenza per analizzare il vettore dell'attacco,…
— GANA Payment (@GANA_PayFi) 20 novembre 2025
L'analisi di HashDit dimostra che chiunque abbia preso il controllo potrebbe richiamare routine di unstake e costringere il sistema a rilasciare molti più token GANA di quanto avrebbe dovuto.
Quei token in eccesso venivano rapidamente venduti in cambio di asset più liquidi e poi indirizzati verso strumenti di privacy. Si tratta di uno schema familiare: manipolare i permessi, coniare o estrarre token, convertirli in criptovalute stabili o liquide, quindi riciclare.
Chi l'ha notato e cosa è successo dopo
ZachXBT ha segnalato le mosse sospette sul suo canale Telegram. HashDit ha quindi analizzato il contratto e ha identificato la proprietà alterata come fattore scatenante.
Il team di GANA ha pubblicato un avviso di emergenza in cui riconosceva un'attività non autorizzata sul loro contratto di interazione e ha affermato di aver incaricato una società di sicurezza esterna di indagare.
Il progetto ha affermato che mapperà gli indirizzi e le autorizzazioni degli utenti come parte di un riavvio pianificato e pubblicherà i passaggi e le tempistiche di ripristino attraverso i canali ufficiali.
HashDit ha monitorato che @GANA_PayFi è stato compromesso per circa 3,1 milioni di $ $GANA .
Per il momento gli utenti NON devono effettuare transazioni con il token $GANA e attendere l'annuncio del team!
I fondi sono stati depositati su TC: https://t.co/rtdjnMvYpI
Causa principale: Proprietà di… pic.twitter.com/XZzuoMmf8D
— HashDit | ora con estensione Pro (@HashDit) 20 novembre 2025
Avviso HashDit Immagine in evidenza da Pexels, grafico da TradingView