« Chaque fois qu’un contrat de longue durée comme celui-ci est attaqué, l’adoption de la DeFi recule de six à douze mois. » Telle est la perspective partagée par Hasu, responsable de la stratégie chez Flashbots et conseiller stratégique de Lido, à la suite du récent piratage de Balancer.
Le 3 novembre, le protocole DeFi historique Balancer a subi un piratage sans précédent, entraînant des pertes pouvant atteindre 116,6 millions de dollars.
Cette somme considérable a été rapidement détournée via une vulnérabilité de rappel cross-chain affectant les contrats intelligents des pools Balancer V2. Au 4 novembre, l’attaquant échangeait activement les actifs volés contre de l’ETH via Cow Protocol.
01 Rétrospective de l’incident : des fonds colossaux disparaissent en un instant
L’attaque contre Balancer a provoqué une onde de choc dans l’univers crypto le 3 novembre, avec des pertes initiales estimées à environ 70 millions de dollars, montant qui a rapidement augmenté.
Au moment de la rédaction, les pertes totales atteignent 116,6 millions de dollars, ce qui constitue l’incident de sécurité le plus grave de l’histoire de Balancer.
Les données on-chain révèlent que les principaux actifs dérobés étaient des tokens de staking liquide, notamment WETH, wstETH, osETH, frxETH, rsETH, rETH, et d’autres.
Ces actifs étaient répartis sur plusieurs blockchains—ETH, Base, Sonic—Ethereum étant la plus touchée, concentrant près de 100 millions de dollars de pertes.
02 Analyse de la vulnérabilité : une catastrophe provoquée par une erreur élémentaire
Les chercheurs en sécurité ont rapidement identifié la cause racine. Selon Defimon Alerts et Decurity, le problème provenait des contrôles d’accès de la fonction manageUserBalance du protocole Balancer V2.
Lors de la vérification des autorisations de retrait, le système aurait dû s’assurer que l’appelant était bien le propriétaire du compte concerné. Or, le code validait à tort si msg.sender (l’appelant réel) correspondait au paramètre op.sender fourni par l’utilisateur.
Étant donné que op.sender est un paramètre contrôlé par l’utilisateur, les attaquants pouvaient facilement usurper leur identité et contourner les vérifications d’autorisation.
Le fait qu’une erreur de contrôle d’accès aussi basique soit présente dans un protocole en production depuis cinq ans a stupéfié les experts en sécurité.
03 Perspective historique : six incidents de sécurité en six ans
Si le titre « Balancer piraté » vous semble familier, vous n’êtes pas seul. Il s’agit en réalité du sixième incident majeur de sécurité pour Balancer en cinq ans.
Un retour sur l’historique de sécurité de Balancer dresse un constat préoccupant :
- Juin 2020 : vulnérabilité liée à un token déflationniste, pertes d’environ 520 000 dollars
- Mars 2023 : pertes indirectes suite à l’incident Euler, environ 11,9 millions de dollars
- Août 2023 : bug de précision sur les pools V2, près de 2,1 millions de dollars
- Septembre 2023 : attaque par détournement DNS, environ 240 000 dollars
- Juin 2024 : piratage du projet forké Velocore, environ 6,8 millions de dollars
La répétition de ces failles de sécurité met en lumière la fragilité des défenses, non seulement chez Balancer, mais dans l’ensemble de l’écosystème DeFi.
04 Impact sur le marché : confiance ébranlée et chute du cours
Le marché a réagi avec rapidité et vigueur. Selon CoinMarketCap, le token BAL (Balancer) a chuté de 7,13 % le 3 novembre, clôturant à 0,92 dollar.
La capitalisation actuelle de BAL s’établit autour de 62,2 millions de dollars, soit une baisse d’environ 4,78 millions de dollars par rapport à la veille. Les données de la plateforme Gate montrent que le cours du BAL subit une pression constante depuis un certain temps.
La confiance dans la sécurité de Balancer est fortement entamée, les investisseurs ajustant activement leurs positions et une pression vendeuse significative s’est manifestée.
Fait notable : LookonChain a rapporté qu’une baleine crypto, inactive depuis trois ans, s’est soudain réveillée après l’exploit de Balancer, retirant en urgence 6,5 millions de dollars d’actifs de la plateforme.
05 Effet domino dans l’industrie : mesures d’urgence et suspension des opérations
Face à la crise, plusieurs projets intégrés à Balancer ont pris des mesures d’urgence :
- Lido a retiré ses positions Balancer non affectées
- Berachain a annoncé une pause complète du réseau pour un hard fork d’urgence afin de corriger les failles BEX liées à Balancer V2
- Smokey The Bera, fondateur de Berachain, a indiqué que l’équipe Ethena avait désactivé le bridging Bera et suspendu les opérations de marché associées
Ces réactions illustrent le rôle central de Balancer dans l’écosystème DeFi et montrent comment une vulnérabilité sur un protocole peut engendrer un risque systémique.
06 L’avenir de la sécurité DeFi : de la dette technique à la gestion des risques
L’une des innovations de Balancer—permettre jusqu’à huit tokens avec des pondérations personnalisées dans un même pool—a également constitué son talon d’Achille.
Comparé à la conception épurée d’Uniswap, la complexité de Balancer croît de manière exponentielle. Chaque token ajouté élargit considérablement l’espace d’état du pool et la surface d’attaque.
Balancer a privilégié une itération rapide, superposant de nouvelles fonctionnalités sur le code hérité des versions V1 à V2 et Boosted Pools.
Cette accumulation de « dette technique » a transformé la base de code en une pile instable.
En 2025, la sécurité DeFi fait face à de nouveaux défis. L’attaque TEE.Fail a montré que même la sécurité matérielle peut être contournée avec des outils coûtant à peine 1 000 dollars.
Les vecteurs d’attaque ont évolué : les failles ne concernent plus uniquement les contrats intelligents, mais aussi les vulnérabilités opérationnelles, 80,5 % des pertes étant désormais liées au phishing, aux faux airdrops et aux fuites de clés privées—des menaces issues du hors-chaîne.
Pour contrer ces risques, des innovations telles que la cryptographie à divulgation nulle de connaissance et les portefeuilles multisignatures ont permis de réduire de 90 % les pertes par exploit depuis 2020.
07 Guide investisseur : naviguer les risques avec prudence
Pour les investisseurs, cet incident est un rappel sans équivoque. Naviguer dans l’univers DeFi exige la plus grande vigilance :
- Retrait des pools affectés : retirez immédiatement vos fonds des pools Balancer V2 pour éviter toute perte supplémentaire
- Révocation des autorisations : utilisez Revoke, DeBank ou Etherscan pour annuler les permissions des contrats intelligents associés aux adresses Balancer
- Privilégiez les projets audités : optez pour les protocoles combinant audits de smart contracts, surveillance en temps réel et coupe-circuits
- Utilisez des portefeuilles multisignatures : limitez les risques de point de défaillance unique, notamment pour les montants importants
Perspectives
Au 4 novembre, les dernières informations indiquent que le hacker de Balancer échange activement les tokens de staking liquide volés contre de l’ETH via Cow Protocol. Les analystes on-chain ont observé l’attaquant convertir ses actifs sur plusieurs blockchains en ETH, USDC et autres tokens majeurs.
L’équipe officielle de Balancer a proposé une récompense white-hat de 20 % pour la restitution des actifs volés, valable 48 heures. Toutefois, l’espoir de récupération s’amenuise.
Pour les observateurs, la DeFi reste une expérience sociale inédite ; pour les participants, chaque exploit est une leçon coûteuse ; pour l’industrie, bâtir un écosystème DeFi robuste est le prix de la maturité.
