1,28 milliard de dollars volés, 27 protocoles de fork "touchés par le tir", l'incident Balancer donne trois grandes leçons à la Finance décentralisée.

Rédigé par : Frank, PANews

Le 3 novembre, le ciel du monde DeFi a été déchiré par une faille. Une anomalie de transfert de fonds d'un montant important a été observée sur l'adresse de la trésorerie du protocole DeFi bien établi, Balancer. Dans les heures qui ont suivi, l'ensemble du secteur a été témoin d'une catastrophe se déroulant en temps réel, les fonds endommagés passant des 70 millions de dollars initialement rapportés à 116,6 millions de dollars, pour finalement se stabiliser à un chiffre incroyable de 128,64 millions de dollars.

Derrière le montant massif des pertes se cache le protocole Balancer V2 qui a jusqu'à 27 « protocoles dérivés », qui sont également confrontés aux risques systémiques liés à cette vulnérabilité mortelle qui existe depuis longtemps.

Balancer V2 a été victime d'une attaque de hacker, 128 millions de dollars de fonds ont été volés.

Le 3 novembre, la société de sécurité blockchain Phaidra a remarqué des transferts anormaux dans le coffre-fort de Balancer V2. Une grande quantité d'Ethereum emballé (WETH) et de produits dérivés de staking liquide (wstETH, osETH) a été transférée vers un nouveau portefeuille.

Le team Balancer a rapidement confirmé qu'une attaque sur la chaîne avait effectivement eu lieu. Avec la surveillance continue sur la chaîne, le montant total des pertes a finalement atteint 128 millions de dollars. L'équipe Balancer a déclaré que la portée de l'attaque était strictement limitée aux Composable Stable Pools (pools stables combinables) V2. Leur nouvelle architecture V3 ainsi que d'autres types de pools V2 (comme les pools de poids) n'ont pas été affectés.

À la date du 4 novembre, l'équipe de Balancer n'a toujours pas publié de raisons spécifiques pour l'attaque. Cependant, selon l'analyse d'un analyste on-chain de Nansen, la source de cette attaque réside dans un « contrôle d'accès défectueux » (faulty access-control check).

L'attaquant a envoyé une instruction malveillante en appelant la fonction manageUserBalance du protocole V2 vers le coffre. Cette instruction a trompé le grand livre interne du protocole, lui faisant croire que « le protocole vient de percevoir une grosse somme de frais », et que « la propriété de ces frais appartient à l'attaquant ». Par la suite, l'attaquant a effectué une demande de retrait normale, transférant des actifs considérables vers ses propres comptes.

D'un point de vue technique, la réalisation de cette attaque ne dépend pas de la force des capacités techniques, mais plutôt de la manière dont l'attaquant a habilement exploité les vulnérabilités logiques dans le protocole. Certains analystes estiment que le hacker a laissé des journaux de console pendant l'attaque ; compte tenu des habitudes de traces, il est très probable que ce hacker ait utilisé un grand modèle d'IA pour écrire et examiner le code, découvrant ainsi les défauts que les auditeurs humains ont négligés.

27 protocoles de fork « touchés », chaque chaîne déclenche des mesures d'urgence

Comparé aux méthodes d'attaque astucieuses des hackers, ce qui déçoit vraiment l'industrie, c'est que Balancer V2 a été audité 11 fois au total par quatre sociétés de sécurité différentes : OpenZeppelin, Trail of Bits, Certora et ABDK, sans réussir à détecter cette vulnérabilité.

Il est particulièrement ironique que le “Composable Stable Pool” (, ce composant spécifique, ait été soumis à un audit spécial par Certora et Trail of Bits en septembre 2022.

En tant que protocole DeFi en ligne depuis plusieurs années et apparemment éprouvé par le marché, le protocole Balancer V2 a servi de modèle pour le développement de pas moins de 27 « protocoles forks », tous héritant de cette faille logique de Balancer V2. Pour les hackers, cette faille est comme avoir une clé universelle, leur permettant d'ouvrir à tout moment les coffres-forts de ces « protocoles forks » ayant également un code défectueux.

En réalité, cette attaque de hackers s'est étendue à plusieurs chaînes. Parmi elles, le protocole principal Balancer V2 sur le réseau principal Ethereum ) a subi les dommages les plus graves, avec des pertes estimées à 100 millions de dollars. Ensuite, il y a le protocole BEX de Berachain, dont les pertes pourraient atteindre 12,86 millions de dollars. De plus, il y a eu un impact sur les protocoles de sept chaînes publiques, dont Arbitrum, Base et Sonic, lors de cette attaque.

Face à ce désastre inattendu, l'industrie est confrontée à un dilemme : doit-elle s'en tenir au décentralisme pur et dur du « code est la loi » et regarder les fonds des utilisateurs se faire voler ? Ou doit-elle prendre des mesures d'intervention centralisées pour protéger les utilisateurs ?

La Berachain, la plus durement touchée par la catastrophe, a pris la décision la plus radicale et la plus controversée : coordonner les nœuds de validation et suspendre le fonctionnement de l'ensemble du réseau. En annulant les transactions, Berachain a sauvé plus de 12 millions de dollars d'actifs en danger sur l'échange BEX.

Bien sûr, cela a également inévitablement suscité des controverses au sein de la communauté, certains remettant en question : « Ne cela nuira-t-il pas complètement à la finalité et à la sécurité de votre 'chaîne' ? Maintenant, cela ressemble plus à une chaîne privée qu'à une blockchain publique, n'est-ce pas ? » À cela, Smokey the Bera, co-fondateur anonyme de Berachain, a répondu : « Je pense que vos inquiétudes sont légitimes, mais je crois que des situations exceptionnelles nécessitent des mesures exceptionnelles – nous avons également vu des approches similaires dans des cas passés comme Sui et Hyperliquid. »

La plupart des membres de la communauté soutiennent toujours cette décision, après tout, les effets néfastes d'un fonds perdu peuvent être bien plus importants que la soi-disant croyance en la « décentralisation ».

Sonic Chain a activé un « mécanisme de gel de compte sur la chaîne », verrouillant le portefeuille de l'attaquant et les 3,4 millions de dollars de fonds, sans arrêter le réseau. Les nœuds de validation de Polygon ont commencé à « examiner » activement les transactions provenant de l'adresse de l'attaquant.

Des incidents de vulnérabilité se sont produits à plusieurs reprises, la TVL ayant été divisée par deux, ce qui a suscité une crise de confiance.

L'histoire de Balancer est en réalité une histoire de jeux d'esprit avec des failles logiques complexes. Auparavant, Balancer a subi plusieurs attaques de hackers, avec au moins cinq incidents de vulnérabilité survenus entre 2020 et 2025. Ces techniques d'attaque ont évolué, passant des premières attaques par prêt éclair aux vulnérabilités plus complexes des pools améliorés V2.

Cependant, dans les cas précédents, le montant des dommages était généralement compris entre plusieurs centaines de milliers de dollars et 2 millions de dollars. Pour Balancer, ces incidents d'attaques passées ressemblent davantage à des occasions de corriger des vulnérabilités. En revanche, ce drame dont la perte est estimée à plus d'un milliard a directement anéanti la confiance et la foi du marché envers Balancer.

Selon les données de Defillama, après l'attaque, la TVL de Balancer est passée de 776 millions de dollars à 345 millions de dollars, soit une baisse de plus de la moitié. En particulier, la TVL de Balancer V2 a diminué de 230 millions de dollars, et les protocoles fork de Balancer V2 ont également retiré des fonds des pools, avec la TVL de Gaming DEX chutant de 87 % en une journée, tandis que celle de Beets DEX a baissé de 48 %.

Lido a également déclaré que, bien que le protocole Lido n'ait pas été affecté, par souci de prudence, il a retiré ses positions Balancer non affectées.

En réalité, des protocoles fork comme Gaming DEX ont également déclaré par la suite qu'ils n'avaient pas été réellement affectés, mais qu'ils avaient retiré la majeure partie des fonds par souci de sécurité.

Pour les protocoles DeFi, la confiance est plus importante que l'or, surtout dans le contexte d'une histoire marquée par de nombreuses attaques. Au 4 novembre, selon des informations officielles, StakeWise DAO a déjà récupéré plus de 20 millions de dollars de pertes grâce à des appels de contrats via un protocole multi-signatures, récupérés des mains des hackers. Cela a également réduit le montant perdu à 98 millions de dollars. Pendant ce temps, le transfert des actifs des hackers est toujours en cours, avec plus de la moitié déjà échangée contre de l'ETH.

Cette attaque de 128 millions de dollars est devenue une leçon coûteuse dans le processus de croissance de la DeFi, soulevant trois questions aiguës.

1. Quelle est la signification de “l'audit” lorsque les 11 audits du “standard d'or” n'ont pas réussi à détecter une vulnérabilité mortelle latente depuis deux ans ?

2. Lorsque la « maladie contagieuse du code » devient la norme, qu'un défaut dans un protocole de base peut instantanément détruire 27 protocoles dérivés, la combinabilité de la DeFi est-elle une innovation ou une malédiction ?

3. Lorsque les nouvelles blockchains publiques sont contraintes de faire un choix entre « décentralisation » et « sauver les utilisateurs », l'idéal du « code est loi » a-t-il déjà cédé la place à un « centrage pragmatique » ?

À l'avenir, la sécurité de la DeFi pourrait ne plus dépendre uniquement de davantage d'audits, mais plutôt d'une conception de protocole plus simple, plus robuste et fondamentalement réduisant la surface d'attaque. Pour les utilisateurs ayant perdu confiance et capital lors de cet événement, le coût de cette prise de conscience est incommensurable.