Auteur : Jack Inabinet Source : bankless Traduction :善欧巴，金色财经

Analyse des conséquences ultérieures de la faille de Balancer V2

Balancer est une plateforme de trading décentralisée populaire, caractérisée par ses pools de liquidité auto-équilibrants et son mécanisme de récompenses de jetons incitatifs. Récemment, son coffre-fort V2 a été victime d’une attaque, avec une perte de plusieurs dizaines de millions de dollars.

De nombreuses versions forkées de Balancer V2 (c’est-à-dire des échanges utilisant le code de Balancer) ont également été affectées, plusieurs chaînes de blocs concernées ayant pris des mesures radicales pour atténuer les pertes futures.

Pourquoi cet incident a-t-il déclenché une réaction en chaîne dans le secteur du chiffrement ? Voici une analyse détaillée.

La grave erreur de Balancer

Le 3 novembre (lundi) au petit matin, le coffre-fort Balancer V2 déployé sur Éther, Base, Polygon et Arbitrum a été victime d’une faille, entraînant une perte proche de 80 millions de dollars. Le problème concernait uniquement le « pool stable composable » de la version V2, sans impacter Balancer V3 ni d’autres types de pools.

La plateforme d’analyse de données DeFiLlama indique que Balancer V2 comporte 27 versions forkées indépendantes. Bien que la majorité de ces forks aient une liquidité négligeable, l’attaquant a réussi à dérober 3,4 millions de dollars via le protocole Beets de l’écosystème Sonic, ainsi que 283 000 dollars via le protocole Beethoven de l’écosystème Optimism. De plus, la bourse native BEX, construite sur Balancer sur la chaîne Berachain, détient environ 12 millions de dollars d’actifs utilisateur à risque.

Au moment de la rédaction, Balancer n’a pas publié de rapport officiel d’analyse post-incident, mais certains estiment que la cause de la faille réside dans une faiblesse dans la vérification d’accès de la fonction « manageUserBalance » ; d’autres pensent que l’attaque provient d’une manipulation de l’« invariant » du prix du jeton du pool Balancer.

Après l’attaque, les utilisateurs de Balancer et de ses forks ont immédiatement procédé à une évacuation d’urgence pour protéger leurs actifs. Un Baleine dormant depuis trois ans a, dans les 30 minutes suivant l’incident, extrait en une seule transaction la totalité de ses 6,5 millions de dollars en actifs GNO-WETH.

Pour limiter les pertes, certaines chaînes ont adopté des mesures extrêmes — ces actions radicales brouillent la frontière entre réponse à la crise et contrôle centralisé :

Polygon, dont le déploiement de Balancer V2 n’a entraîné qu’une perte d’environ 100 000 dollars, a choisi de vérifier les transactions des hackers, ce qui a en pratique gelé les actifs numériques volés ;

Sonic a modifié la logique du jeton natif « S », permettant à la fondation Sonic de mettre une liste noire unilatérale des adresses de portefeuille (interdisant la détention du jeton natif), et a vidé le solde en jetons S de l’attaquant ;

Par ailleurs, la chaîne Berachain a complètement arrêté la génération de blocs, en suspendant la production pour empêcher toute nouvelle perte d’actifs via la bourse native BEX (échange officiel de Berachain).

Les questions fondamentales soulevées par Balancer

Cet incident de faille de Balancer soulève deux questions clés pour l’ensemble du secteur du chiffrement.

Question 1 : Si Balancer V2 peut être facilement attaqué, quels autres protocoles de finance décentralisée sont réellement sécurisés ?

Balancer V2 est un protocole éprouvé : il fonctionne depuis plus de quatre ans et a été audité par plusieurs organismes indépendants. Si même un tel protocole peut être vulnérable, cela soulève la question — quels autres protocoles de finance décentralisée sont réellement sécurisés ?

Il ne fait aucun doute que les utilisateurs de chiffrement profitent des avantages de la blockchain, mais lorsque la faille d’un protocole fondamental de la DeFi, ignorée par de nombreux auditeurs pendant des années, devient visible, la confiance absolue dans la sécurité des applications basées sur des contrats intelligents sans permission devient de plus en plus difficile.

Question 2 : Si certaines chaînes peuvent geler les fonds des hackers, pourquoi les autorités de régulation ne peuvent-elles pas forcer ces chaînes (et d’autres avec un degré de centralisation similaire) à geler toutes les activités qu’elles jugent illégales ?

Puisque Polygon, Sonic, Berachain et d’autres chaînes ont la capacité de geler les fonds des attaquants, pourquoi les autorités de régulation ne peuvent-elles pas obliger ces chaînes (et d’autres avec un degré de centralisation comparable) à geler toutes les activités qu’elles considèrent comme illégales ?

En mars 2023, la plateforme Oasis.app (anciennement Summer.fi), front-end de MakerDAO, a suivi une ordonnance de la Haute Cour d’Angleterre et du Pays de Galles, utilisant une clé d’administrateur en backdoor pour accéder à ses contrats intelligents, afin de récupérer 225 millions de dollars d’actifs cryptographiques issus de l’attaque du pont cross-chain Wormhole.

Cet incident montre que le système juridique traditionnel peut, par des arrestations ou d’autres mesures légales, contraindre les protocoles décentralisés à agir d’une certaine manière. Aujourd’hui, les autorités de régulation pourraient-elles suivre cette voie — en se basant uniquement sur une ordonnance judiciaire — pour cibler des activités sur plusieurs chaînes qu’elles ne reconnaissent pas (comme des transactions sans régulation gouvernementale ou sans vérification d’identité) ?