L'échange décentralisé Balancer a été victime de l'une des attaques crypto les plus dévastatrices de 2025, les attaquants ayant détourné environ 128 millions de dollars à travers sept réseaux blockchain dans une exploitation sophistiquée qui a contourné des années d'audits de sécurité et a envoyé des ondes de choc dans l'écosystème DeFi.
La brèche, qui a commencé dans les premières heures du 3 novembre, semblait initialement impliquer environ 70 millions de dollars de pertes, selon la société d'analyse blockchain Nansen. En quelques heures, cependant, les chercheurs en sécurité de PeckShield ont révélé l'ampleur réelle de l'attaque : 128,64 millions de dollars volés sur les réseaux Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism et Polygon.
Les attaquants ont agi rapidement, transférant 6 587 WETH d'une valeur de 24,46 millions de dollars, 6 851 osETH d'une valeur de 26,86 millions de dollars et 4 260 wstETH d'une valeur de 19,27 millions de dollars vers des portefeuilles nouvellement créés avant de commencer à convertir les dérivés de staking liquide volés en Ethereum. La plateforme d'analyse blockchain Lookonchain a rapporté que le hacker a immédiatement commencé à échanger des actifs volés contre de l'ETH, suscitant des inquiétudes quant à un potentiel blanchiment via des mélangeurs décentralisés ou des ponts inter-chaînes.
Analyse technique : Comment l'attaque s'est déroulée
L'exploit a visé une vulnérabilité critique dans les pools stable composables V2 de Balancer, spécifiquement dans la fonction "manageUserBalance" du protocole. Selon les chercheurs en sécurité, le contrôle d'accès défectueux a permis aux attaquants de contourner l'autorisation et d'exécuter des retraits non autorisés de soldes internes.
L'analyste en chaîne Adi a expliqué sur X que "une gestion incorrecte de l'autorisation et des rappels a permis à l'attaquant de contourner les garde-fous, permettant des échanges non autorisés ou des manipulations de soldes à travers des pools interconnectés." Le design composable du protocole, où plusieurs pools interagissent fortement avec des liquidités partagées, a amplifié la vulnérabilité et permis aux hackers de siphonner les actifs rapidement à travers plusieurs chaînes en quelques minutes.
Ethereum a subi le gros des pertes, avec environ 99 millions de dollars volés sur le réseau. Berachain a suivi avec 12,86 millions de dollars de pertes, incitant ses validateurs à arrêter le réseau et à exécuter un fork d'urgence pour récupérer les fonds des utilisateurs. Arbitrum a perdu 6,86 millions de dollars, Base 3,9 millions de dollars, Sonic 3,44 millions de dollars, Optimism 1,58 million de dollars, et Polygon 232 000 dollars.
StakeWise lance un effort de récupération rapide
Dans une rare histoire de succès au milieu du chaos, le protocole de staking liquide Ethereum StakeWise a annoncé avoir récupéré des portions substantielles des fonds volés. Utilisant des transactions multisig d'urgence, le DAO StakeWise a récupéré avec succès 5 041 osETH d'une valeur d'environ 19 millions de dollars et 13 495 osGNO d'une valeur de 1,7 million de dollars du portefeuille de l'exploiteur.
La récupération a représenté 73,5% des osETH volés et 100% des tokens osGNO pris lors de l'attaque. StakeWise a confirmé que les fonds récupérés seraient rendus aux utilisateurs affectés sur une base proportionnelle en fonction de leurs soldes avant l'exploitation. Les 26,5% restants d'osETH volés, d'une valeur estimée à 7 millions de dollars, avaient déjà été convertis en ETH par l'attaquant et ne pouvaient pas être récupérés.
StakeWise a souligné dans une déclaration que ses principaux contrats intelligents et le token osETH sont restés en sécurité, la vulnérabilité étant uniquement présente dans l'infrastructure de Balancer. La récupération réussie a légèrement apaisé les craintes du marché selon lesquelles d'importantes quantités d'ETH inonderaient le marché, stabilisant potentiellement les perspectives de prix à court terme du token.
Le paradoxe de l'audit : Comment 11 examens ont manqué une faille critique
Peut-être ce qui est le plus inquiétant à propos de l'exploit de Balancer est qu'il s'est produit malgré des précautions de sécurité étendues. Les contrats intelligents de Balancer ont subi 11 audits complets par quatre entreprises de sécurité de premier plan — OpenZeppelin, Trail of Bits, Certora et ABDK — avec le plus récent audit de pool stable mené par Trail of Bits en septembre 2022.
Suhail Kakar, un développeur Web3 éminent, a noté que même avec le contrat de base de la voûte de Balancer examiné par plusieurs entreprises indépendantes, le protocole a tout de même subi une brèche majeure. L'incident a ravivé le débat au sein de la communauté crypto sur l'efficacité des modèles d'audit traditionnels dans la gestion des menaces évolutives dans le DeFi.
Des experts de l'industrie des entreprises de criminalistique blockchain observent que les hacks DeFi en 2025 ont déjà dépassé 1 milliard de dollars de pertes, les erreurs de contrôle d'accès représentant près de 40% des incidents. Le cas de Balancer suggère que les examens de code statiques, même lorsqu'ils sont menés plusieurs fois, peuvent ne pas détecter des vulnérabilités subtiles dans des systèmes DeFi complexes et interconnectés.
Impact sur le marché et réponse de la communauté
La valeur totale verrouillée de Balancer a chuté de 46% passant d'environ 770 millions de dollars à 422 millions de dollars alors que des utilisateurs paniqués retiraient leurs fonds. Le token de gouvernance natif BAL du protocole a chuté de plus de 8% en 24 heures pour atteindre environ 0,91 $, bien que certaines sources rapportent une baisse plus modeste de 5 %.
Le prix de l'Ethereum a également ressenti l'impact, avec l'ETH se négociant à 3 629 $-3 714 $ au 4 novembre, en baisse de 4 à 8 % par rapport aux niveaux pré-exploitation. La vente a reflété une incertitude plus large du marché concernant les vulnérabilités de sécurité de DeFi et le potentiel d'exploits supplémentaires à travers des protocoles interconnectés.
Balancer a reconnu l'incident dans une déclaration publiée sur X, confirmant sa connaissance d'une "exploitation potentielle impactant les pools v2 de Balancer." L'équipe a souligné que ses équipes d'ingénierie et de sécurité enquêtaient avec la plus haute priorité et partageraient des mises à jour vérifiées dès que les informations seraient disponibles.
Dans une tentative de récupérer les fonds volés, Balancer a offert une récompense chapeau blanc de 20% — environ 25,6 millions de dollars — pour le retour des actifs dans les 48 heures. L'équipe a averti dans un message en chaîne que "nos partenaires ont un haut niveau de confiance que vous serez identifié à partir des métadonnées de journaux d'accès collectées par notre infrastructure," en faisant référence aux adresses IP et aux horodatages prétendument liés aux transactions du hacker.
L'histoire se répète : Le dossier de sécurité troublé de Balancer
Cela marque la plus grande brèche de sécurité à ce jour pour Balancer, mais loin d'être la première. Le protocole a connu au moins six incidents de sécurité majeurs depuis son lancement en 2020, avec une moyenne d'environ une brèche significative par an.
En juin 2020, Balancer a perdu 500 000 $ dans une attaque par prêt flash qui a exploité la façon dont le protocole gérait les tokens déflationnistes comme Statera (STA). En août 2023, des hackers ont siphonné environ 2,1 millions de dollars des pools augmentés V2 via une vulnérabilité de précision, une semaine seulement après que Balancer ait divulgué une "vulnérabilité critique" dans ces mêmes pools.
Le mois suivant, en septembre 2023, une attaque de détournement DNS a redirigé les utilisateurs du frontend légitime de Balancer vers un site de phishing, entraînant des pertes de 238 000 $. Mars 2023 a vu Balancer affecté indirectement par le hack d'Euler Finance, avec le pool bbeUSD du protocole perdant 11,9 millions de dollars.
Implications plus larges pour la sécurité de DeFi
L'incident de Balancer arrive à un moment critique pour la finance décentralisée. Chainalysis rapporte que plus de 2 milliards de dollars en cryptomonnaie ont été volés par des hackers au cours du premier semestre 2025 uniquement, avec des groupes parrainés par l'État nord-coréen responsables d'un estimation de 1,65 milliard de ce total.
L'attaque a suscité une discussion renouvelée sur les défis fondamentaux de sécurité auxquels font face les protocoles DeFi. Contrairement aux échanges centralisés qui peuvent annuler des transactions frauduleuses ou geler des comptes, les plateformes décentralisées fonctionnent sur des smart contracts immuables. contenus qui, une fois déployés, ne peuvent pas être facilement modifiés pour corriger les vulnérabilités.
[Plusieurs réseaux blockchain ont pris des mesures sans précédent] en réponse à l'exploitation. Les validateurs de Berachain ont interrompu leur réseau pour effectuer des mises à jour d'urgence. Les validateurs de Polygon ont censuré les transactions du pirate. Sonic a introduit une fonctionnalité pour geler et réduire à zéro le compte du pirate. Ces interventions ont déclenché un débat au sein de la communauté crypto sur la tension entre les principes de décentralisation et les besoins pratiques en matière de sécurité.
Le commentateur crypto de renom [Haseeb a observé sur X] que « les petits écosystèmes devraient privilégier la sécurité et la protection de la communauté plutôt que 'le code est la loi' » — une référence à l'éthique traditionnelle de l'industrie crypto selon laquelle les résultats des contrats intelligents devraient être définitifs et irréversibles, même lorsqu'ils résultent d'exploitations.
Réflexions finales
Pour Balancer, cette faille représente un point d'inflexion critique. Le protocole avait traversé des tempêtes précédentes et maintenu sa position comme l'un des acteurs établis de DeFi, avec [environ 355 millions de dollars encore bloqués] au 4 novembre, malgré la baisse spectaculaire. La plateforme continue de traiter un volume d'échanges significatif, gérant environ 2,81 milliards de dollars par mois et générant environ 10,7 millions de dollars de revenus annuels.
Cependant, reconstruire la confiance des utilisateurs après une exploitation de 128 millions de dollars nécessitera plus que des correctifs techniques. La communauté crypto exige de plus en plus de transparence, une communication rapide en temps de crise, et des preuves concrètes que les vulnérabilités de sécurité ont été intégralement résolues.
Les observateurs de l'industrie s'attendent à ce que l'incident de Balancer [accélère l'examen réglementaire des protocoles DeFi], en particulier aux États-Unis, où les autorités développent de nouveaux cadres pour la surveillance de la finance décentralisée. Le fait que des audits approfondis n'aient pas suffi à empêcher cette faille pourrait inciter les régulateurs à exiger des garanties supplémentaires, des mécanismes d'assurance ou des structures de responsabilité pour les plateformes DeFi.
Pour l'instant, les utilisateurs de Balancer font face à des décisions difficiles quant à savoir s'ils doivent maintenir leurs positions ou se retirer vers des alternatives plus sûres. Les chercheurs en sécurité continuent d'enquêter sur l'étendue de la vulnérabilité, tandis que les équipes de criminalistique blockchain travaillent avec les forces de l'ordre pour suivre les fonds volés. Reste à savoir si le pirate acceptera l'offre de prime de Balancer pour chapeau blanc ou réussira à blanchir les fonds via des mixeurs et des ponts inter-chaînes.
Ce qui est certain, c'est que cette exploitation a ajouté un autre chapitre de précaution à l'histoire turbulente de DeFi, rappelant aux développeurs comme aux utilisateurs que dans les systèmes financiers de pointe de la crypto, la sécurité doit évoluer aussi rapidement que la technologie elle-même.