Les hacks crypto de juin augmentent alors que Gnosis Pay et TesseraDAO sont exploités

Les premiers jours de juin 2026 ont ajouté deux nouvelles entrées à une liste croissante de hacks crypto. Deux exploitations distinctes ont frappé différentes parties du marché : Gnosis Pay, une plateforme de carte crypto auto-conservée, et TesseraDAO, un projet de jeton sur la BNB Chain. Aucun des incidents n'était mineur, et tous deux ont contribué à un bilan de pertes qui n'a cessé d'augmenter tout au long de l'année.

Les attaques se sont produites à quelques jours d'intervalle et ont suivi des schémas devenus familiers en 2026. L'une a ciblé une fonction de sécurité destinée à ralentir le vol. L'autre a utilisé un stratagème classique de "mint-and-dump", puis a fait passer les fonds par un protocole de mixage pour masquer la trace. Voici ce qui s'est passé, expliqué en termes simples, ainsi que des étapes faciles que les utilisateurs peuvent suivre pour rester plus en sécurité.

Ce qui est arrivé à Gnosis Pay

Gnosis Pay propose une carte crypto auto-conservée, un produit qui permet aux utilisateurs de dépenser des cryptos directement tout en gardant le contrôle de leurs propres fonds plutôt que de les confier à un dépositaire central. Pour protéger les utilisateurs, la plateforme a intégré une fonctionnalité qu'elle appelle un module de délai. L'idée est simple : lorsqu'une transaction sortante est demandée, le système impose une attente de trois minutes avant qu'elle ne soit effectuée. Cette courte pause est censée donner à l'utilisateur le temps de repérer et d'annuler un transfert malveillant ou erroné avant que l'argent ne parte.

Un attaquant a trouvé un bug qui a permis de contourner cette protection. En contournant le module de délai, l'exploiteur a pu faire passer des transactions sans la période d'attente intégrée qui était censée agir comme une dernière ligne de défense. Les fonctionnalités de sécurité comme les délais sont courantes dans les produits d'auto-conservation précisément parce qu'elles ajoutent des frictions pour les attaquants, donc un contournement sape la promesse fondamentale de la conception.

L'exploitation de TesseraDAO

L'incident TesseraDAO était plus important en termes de dollars et plus agressif dans son exécution. Un attaquant a frappé 99 millions de jetons TSR sur la BNB Chain, puis les a échangés contre environ 2,5 millions de dollars en USDT, un stablecoin indexé sur le dollar. Le flot de jetons nouvellement créés arrivant sur le marché a fait chuter le prix du TSR d'environ 99 pour cent, anéantissant la majeure partie de la valeur du jeton presque instantanément.

L'exploiteur ne s'est pas arrêté là. Après avoir encaissé, l'attaquant a transféré les fonds de la BNB Chain vers Ethereum, puis les a blanchis, envoyant environ 1 285,5 ETH via Tornado Cash, un protocole de mixage utilisé pour masquer l'origine et la destination des fonds. La combinaison de ces étapes a rendu l'attaque efficace : frapper, vider, transférer et blanchir.

Comment fonctionne une exploitation de type "Mint-and-Dump"

À un niveau élevé, une exploitation de type "mint-and-dump" repose sur la capacité de l'attaquant à créer de nouveaux jetons à partir de rien. Si un contrat intelligent présente une faille ou une permission qui permet à quelqu'un de frapper une grande quantité de jetons, cette personne peut soudainement détenir un nombre énorme de jetons qui n'existaient pas un instant auparavant.

L'étape suivante est le "dump" (vidage). L'attaquant vend rapidement ces jetons fraîchement frappés sur un marché, les échangeant souvent contre un stablecoin ou un autre actif ayant une valeur réelle. Étant donné que le marché n'a qu'une liquidité limitée, le fait de vider une offre massive fait chuter le prix de manière significative, c'est pourquoi le TSR a chuté d'environ 99 pour cent. L'attaquant repart avec des actifs de valeur tandis que les détenteurs ordinaires se retrouvent avec des jetons valant une fraction de ce qu'ils ont payé.

Comment fonctionne le blanchiment via un mixeur

Une fois qu'un attaquant dispose de fonds de valeur, l'objectif est de masquer la trace. Les blockchains publiques enregistrent chaque transaction, de sorte que n'importe qui peut suivre l'argent d'une adresse à l'autre. Un protocole de mixage comme Tornado Cash est conçu pour briser cette chaîne visible. En termes simples, un mixeur regroupe les dépôts de nombreuses sources différentes, puis permet aux utilisateurs de retirer des fonds d'une manière qui rend difficile de relier un retrait spécifique à un dépôt spécifique.

Le "bridging" (transfert inter-chaînes) ajoute une autre couche. En déplaçant d'abord les fonds de la BNB Chain vers Ethereum, l'attaquant transfère l'argent entre les réseaux avant de le mixer, ce qui complique encore davantage le traçage. Rien de tout cela n'est un guide pour commettre des actes répréhensibles ; cela explique simplement pourquoi les enquêteurs perdent souvent la trace des fonds volés après qu'ils soient passés par un pont et un mixeur.

Un schéma familier en 2026

L'attaque de TesseraDAO a suivi un schéma qui s'est répété à plusieurs reprises cette année : frapper, vider, transférer, blanchir. Chaque étape résout un problème différent pour l'attaquant. La frappe crée les actifs, le vidage les convertit en quelque chose d'utile, le transfert les éloigne de la scène, et le blanchiment masque la destination.

Le contexte général est préoccupant. Les hackers ont siphonné d'importantes sommes tout au long de 2026, y compris des centaines de millions de dollars provenant de ponts inter-chaînes, qui se situent entre les réseaux et détiennent des actifs mis en commun, ce qui en fait des cibles attrayantes. Les exploitations de Gnosis Pay et TesseraDAO sont deux points de données supplémentaires dans une année où les attaquants ont trouvé et utilisé à plusieurs reprises des faiblesses, que ce soit dans un module de sécurité ou dans les permissions de frappe d'un contrat de jeton.

Comment rester en sécurité

Les utilisateurs ne peuvent pas prévenir toutes les exploitations, mais quelques habitudes réduisent l'exposition. Vérifiez toujours que vous utilisez une application ou un site web officiel avant de connecter un portefeuille ou de saisir des identifiants, car les faux clones sont courants. Soyez prudent avec les jetons nouveaux ou à faible liquidité, où une seule vente importante peut faire bouger le prix de manière spectaculaire et où les risques contractuels sont plus difficiles à évaluer.

Surveillez les changements soudains d'approvisionnement. Un jeton dont l'offre totale augmente sans raison claire et annoncée peut être un signe avant-coureur d'une exploitation de frappe en cours. Les outils qui affichent les données on-chain peuvent être utiles ici. Avant de trader, vérifier l'offre et la liquidité d'un jeton sur une plateforme comme DEXTools peut vous donner une image plus claire de ce que vous achetez. Rien de tout cela n'est un conseil financier, mais un peu de vérification peut faire une grande différence.

En résumé

Les exploitations de Gnosis Pay et TesseraDAO montrent deux facettes du même problème. Une attaque a vaincu une fonctionnalité conçue pour protéger les utilisateurs, et l'autre a transformé une faille de contrat en environ 2,5 millions de dollars avant de disparaître via un pont et un mixeur. Alors que le bilan des hacks de 2026 continue de grimper, les leçons fondamentales restent les mêmes : vérifiez ce que vous utilisez, méfiez-vous des jetons inconnus et prêtez attention aux données on-chain qui peuvent signaler les problèmes tôt.