Un vol massif de cryptomonnaies découvert sur la b...

Un jeton relativement obscur appelé ATM, déployé sur la Smart Chain $BNB (BSC), est devenu la dernière victime d'une vulnérabilité de contrat intelligent. Un attaquant a drainé environ 243 500 $ en exploitant une logique non standard dans la fonction transferFrom() du jeton.

Les plateformes de surveillance de la sécurité TenArmor ont signalé l'incident le 4 juin 2026. Les alertes ont souligné comment les mécanismes de jetons personnalisés, souvent ajoutés pour les frais, l'apport de liquidités ou les récompenses, peuvent créer de graves faiblesses exploitables lorsqu'ils ne sont pas correctement sécurisés.

#CertiKInsight

Nous avons vu un exploit d'environ 243 000 $ sur le jeton ATM. Le transferFrom() inclut une logique pour échanger 20 % du montant du transfert ATM contre du BSC-USD, afin que l'attaquant puisse en échanger à plusieurs reprises après le transfert.https://t.co/mf6uhujZgK

Restez vigilant ! pic.twitter.com/hwN1B3Xt0m

– Alerte CertiK (@CertiKAlert) 4 juin 2026

Selon l’analyse de CertiK, le problème principal réside dans la mise en œuvre de transferFrom() dans le contrat de jeton. Au lieu d'effectuer un transfert de jeton standard, la fonction a automatiquement déclenché un échange de 20 % du montant ATM transféré en BSC-USD (ou équivalent) via un routeur d'échange décentralisé.

Ce comportement caché a permis à l'attaquant d'initier à plusieurs reprises des transferts qui ont extrait bien plus de valeur que ce que les approbations normales devraient permettre. Le hachage principal de la transaction d'attaque est : 0x37b90a…dcfd86

Adresse du contrat : 0x4fd087…d5a205

Les alertes de sécurité de la blockchain ont détecté l'activité suspecte à un stade précoce. L’adresse de l’attaquant, 0x7e7C1f…CdBAFE, a été associée à de précédents exploits de contrats de jetons depuis 2025. L’attaque ne reposait pas sur des prêts flash ou sur la réentrée, mais exploitait les effets secondaires économiques involontaires de la logique de transfert personnalisée.

Ce dernier incident s’ajoute à une vague inquiétante d’exploits sur $BNB Chain. Quelques jours plus tôt, TesseraDAO a été touché lors d'une attaque majeure au cours de laquelle l'exploiteur a créé environ 99 millions de jetons TSR, les a abandonnés et a drainé environ 2,5 millions de dollars en USDT. Le jeton TSR s'est écrasé à près de 99 % suite à l'incident.

Les informations publiques sur le projet ATM restent très rares. Il n’existe pas de site Web officiel, de livre blanc ou de feuille de route détaillée largement disponible. Le projet ne semble pas être un protocole DeFi majeur, et les détails concernant son cas d'utilisation prévu, les antécédents de l'équipe ou la valeur totale verrouillée (TVL) avant l'exploit ne sont pas bien documentés.

Au 5 juin 2026, l'équipe du projet ATM n'avait publié aucune déclaration publique officielle concernant l'incident, si le contrat avait été suspendu, l'état de liquidité ou les efforts de rétablissement.

De telles vulnérabilités ne sont pas isolées. Fin mai 2026, des attaquants ont exploité les anciens casiers de liquidités sur DxSale et ont drainé environ 7,3 millions de dollars de plus de 1 400 pools en manipulant les horodatages de déverrouillage et en retirant les jetons LP. Cela montre à quel point même les liquidités « bloquées » les plus anciennes des cycles précédents peuvent rester menacées.

Cet incident constitue un exemple classique des dangers associés aux mécanismes de taxe douanière sur les transferts ou d'échange automatique dans les contrats de type ERC-20. Même si ces fonctionnalités peuvent servir des objectifs légitimes, elles augmentent considérablement la complexité et la surface d’attaque.

Les experts en sécurité de la blockchain préviennent systématiquement que la combinaison de transferFrom() avec des appels externes, tels que vers des routeurs DEX, nécessite un audit rigoureux, une vérification formelle et des tests approfondis approfondis.

Vérifiez toujours soigneusement les contrats intelligents avant d’interagir avec eux.

Révoquez régulièrement les approbations de jetons, en particulier pour les jetons inconnus ou à faible capitalisation.

Préférez les projets avec plusieurs audits indépendants et des pratiques de sécurité transparentes.

Même s’il s’agit d’un exploit de taille moyenne selon les normes 2026, de tels incidents continuent d’éroder la confiance dans l’écosystème DeFi au sens large. Les jetons plus petits sur des chaînes comme $BNB Smart Chain restent des cibles fréquentes en raison de déploiements précipités et de mesures de sécurité insuffisantes.

Il est fortement conseillé aux utilisateurs de faire preuve d'une extrême prudence lorsqu'ils manipulent des jetons nouveaux ou à faible visibilité.