Balancer a été piraté malgré 11 audits ! Une vulnérabilité de 1,16 million a entraîné une chute de 67% de la TVL.

Après que le coffre-fort de Balancer v2 a été attaqué en raison d'une vulnérabilité majeure, entraînant la perte de plus de 116 millions de dollars de fonds pendant plusieurs semaines, le DAO de Balancer a commencé à discuter d'un plan visant à distribuer environ 8 millions de dollars d'actifs récupérés aux LP affectés. La proposition comprend des récompenses structurées pour les hackers éthiques et compensation des utilisateurs basée sur les données d'aperçu des actifs de la piscine des utilisateurs au moment de l'exploitation de la vulnérabilité.

Balancer a subi un troisième incident de sécurité majeur

(Source : GitHub)

Cette exploitation de vulnérabilité est causée par des défauts dans les contrats intelligents, marquant la troisième grave incident de sécurité rencontré par Balancer. Le fait qu'il s'agisse du troisième incident majeur de sécurité est en soi très ironique, montrant qu'il existe des problèmes systémiques dans la protection de la sécurité de Balancer. Selon la page GitHub de la plateforme Balancer, le code de Balancer a été examiné 11 fois par quatre différentes sociétés de sécurité blockchain.

Malgré l'audit, la plateforme a néanmoins été piratée, ce qui a suscité des interrogations parmi certains utilisateurs de cryptomonnaies sur la valeur de l'audit et sur sa capacité à garantir la sécurité du code. Ce cas a sonné l'alarme pour l'ensemble de l'industrie DeFi : bien que l'audit des contrats intelligents soit un élément important de la protection, il n'est pas infaillible. Les sociétés d'audit peuvent manquer des vulnérabilités complexes, ou les attaquants peuvent découvrir de nouvelles méthodes d'exploitation.

Le 5 novembre, Balancer a publié un rapport d'analyse rétrospective, décrivant la cause fondamentale de cette attaque par des hackers : une vulnérabilité complexe liée à la fonction d'arrondi utilisée dans les échanges EXACT_OUT de son pool de stablecoins. Cette fonction d'arrondi a été conçue pour arrondir à la baisse lors de l'entrée des prix des tokens, mais les hackers ont réussi à manipuler le processus de calcul pour l'arrondir à la hausse. Les hackers ont combiné cette vulnérabilité avec des transactions groupées (une seule transaction contenant plusieurs opérations), leur permettant de voler des fonds du pool de Balancer.

La complexité de cette attaque explique pourquoi 11 audits n'ont pas réussi à détecter le problème. La logique de la fonction d'arrondi peut sembler normale lorsqu'elle est examinée séparément, mais lorsqu'elle est combinée avec un mécanisme de transactions en masse, elle crée une vulnérabilité exploitable. Cette interaction complexe et interfonctionnelle est souvent le point aveugle le plus difficile à détecter pour les auditeurs.

et a entraîné une chute de la valeur totale verrouillée d'environ 775 millions de dollars à 258 millions de dollars, soit une baisse de 67 %. Une perte de TVL d'une telle ampleur montre que la confiance des investisseurs dans Balancer a été durement touchée. La valeur du jeton BAL a également perdu environ 30 %, reflétant un pessimisme du marché quant à l'avenir du protocole. Selon Deddy Lavid, PDG de la société de sécurité des réseaux blockchain Cyvers, le piratage de Balancer est l'une des attaques “les plus complexes” de 2025, ce qui souligne l'importance de la sécurité des utilisateurs de cryptomonnaies à mesure que les menaces de sécurité évoluent.

Plan d'indemnisation de 8 millions de dollars et mécanisme de récompense pour les hackers éthiques

(source : Balancer)

Après que le coffre-fort de Balancer v2 a été attaqué en raison d'une vulnérabilité majeure, entraînant la perte de plus de 116 millions de dollars de fonds pendant plusieurs semaines, Balancer DAO a commencé à discuter d'un plan visant à distribuer environ 8 millions de dollars d'actifs récupérés aux LP affectés. La proposition décrit en détail comment les environ 8 millions de dollars récupérés du piratage de 116 millions de dollars en novembre seront distribués aux victimes. Deux membres de la communauté du protocole Balancer ont soumis jeudi une proposition décrivant le plan de distribution d'une partie des fonds récupérés de la vulnérabilité de 116 millions de dollars du protocole en novembre.

Dans une affaire de vol de 116 millions de dollars, environ 28 millions de dollars ont été récupérés par des hackers éthiques, des équipes de sauvetage internes et la plateforme de staking de liquidité Ethereum StakeWise. Cependant, la proposition ne couvre que les 8 millions de dollars récupérés par les hackers éthiques et les équipes de sauvetage internes, tandis que près de 20 millions de dollars récupérés par StakeWise seront attribués séparément à ses utilisateurs. Cette stratégie de traitement séparé reflète la complexité des différentes voies de récupération et des considérations juridiques.

Structure de répartition des fonds récupérés

Hackers éthiques + Sauvetage interne : environ 8 millions de dollars, répartis selon cette proposition entre les LP affectés.

StakeWise récupéré : 19,7 millions de dollars d'osETH et d'osGNO, traités séparément pour les utilisateurs de StakeWise

Certora Récupération Collaborative : 4,1 millions de dollars, en raison d'un accord antérieur non conforme aux conditions de la récompense.

Montant total récupéré : environ 28 millions de dollars (représentant 24 % des pertes)

Perte non récupérée : environ 88 millions de dollars (représentant 76 % de la perte)

La proposition comprend des récompenses structurées pour les hackers éthiques et prévoit des compensations pour les utilisateurs en fonction des données d'aperçu des actifs du pool d'utilisateurs au moment de l'exploitation de la vulnérabilité, conformément à l'Accord de Safe Harbor. L'accord stipule que le plafond de la prime par incident est de 1 million de dollars, et que les hackers éthiques doivent compléter une KYC complète et un contrôle des sanctions. Ce mécanisme de prime structuré vise à inciter les hackers éthiques à choisir de divulguer de manière responsable lorsqu'ils découvrent des vulnérabilités, au lieu de les exploiter eux-mêmes.

Sur Arbitrum, plusieurs sauveteurs anonymes ont renoncé à des demandes de récompense. Ce comportement de haute moralité est salué au sein de la communauté crypto, montrant que tous les hackers éthiques ne le font pas pour des intérêts économiques, certains agissent simplement pour protéger la sécurité de l'écosystème. Les tokens récupérés couvrent des réseaux tels qu'Ethereum, Polygon, Base et Arbitrum, et les fournisseurs de liquidités recevront une compensation en fonction des tokens initialement fournis, proportionnellement au pool.

Détails techniques et controverses du mécanisme de compensation

L'auteur suggère que toutes les compensations devraient être non socialisées, ce qui signifie que les fonds ne sont répartis qu'aux pools de liquidité spécifiques ayant subi des pertes, et payés proportionnellement selon la part de chaque détenteur dans le pool de liquidité, représentée par des Balancer Pool Tokens (BPT). Ce design garantit l'équité et évite un partage des pertes de type “prendre aux riches pour donner aux pauvres”.

L'auteur estime que l'indemnisation devrait également être effectuée sous forme de biens matériels. Les victimes des attaques de hackers devraient recevoir une indemnisation calculée sur la base des tokens qu'elles ont perdus, afin d'éviter des désajustements de prix entre différents actifs numériques. Ce détail est d'une importance capitale, car si tous les victimes sont indemnisées avec un seul token (comme l'ETH ou l'USDC), cela pourrait entraîner de nouvelles injustices en raison des fluctuations des prix des tokens. Par exemple, un LP qui a perdu un stablecoin pourrait recevoir une indemnisation sous forme d'un actif volatile, et cette inadéquation pourrait entraîner une valeur d'indemnisation réelle qui ne correspond pas à la perte.

Un mécanisme de réclamation est actuellement en cours de développement. Si la proposition est adoptée, les utilisateurs devront accepter les conditions d'utilisation mises à jour. Ce processus devrait prendre plusieurs semaines pour perfectionner les détails techniques et le cadre légal. Le mécanisme de réclamation nécessite de vérifier l'identité de chaque victime et le montant des pertes, ce qui n'est pas une tâche facile dans un environnement décentralisé.

De plus, 19,7 millions de dollars d'osETH et d'osGNO ont été récupérés par StakeWise et seront traités séparément. Cette partie des fonds est directement liée aux utilisateurs de la plateforme StakeWise, donc sa logique de répartition est différente de celle des LP classiques. Les 4,1 millions de dollars récupérés en collaboration avec Certora ne répondent pas aux conditions de prime en raison d'un accord préalable. Cela montre que Certora pourrait être un partenaire de sécurité de Balancer, et que son aide pour récupérer des fonds est basée sur des accords de collaboration existants, et non sur un programme de prime pour les hackers éthiques.

Défaillances systémiques exposées dans l'audit de sécurité DeFi

Selon la page GitHub de la plateforme Balancer, le code de Balancer a été examiné 11 fois par quatre différentes sociétés de sécurité blockchain. Malgré l'audit, la plateforme a tout de même été piratée, ce qui a soulevé des questions parmi certains utilisateurs de cryptomonnaies sur la valeur de l'audit et sur sa capacité à assurer réellement la sécurité du code. Ce cas met en évidence les défauts systémiques de l'audit de sécurité DeFi actuel.

Les sociétés d'audit examinent généralement le code dans un délai et un budget limités, se concentrant sur les modèles de vulnérabilités connus et les problèmes de sécurité courants. Cependant, des vulnérabilités complexes et interfonctionnelles comme celles rencontrées par Balancer peuvent nécessiter des tests dynamiques approfondis et des simulations d'attaques sur l'ensemble du système pour être détectées. De plus, la pertinence temporelle des rapports d'audit pose également un problème, car le code peut continuer à être mis à jour après l'audit, et de nouveaux changements peuvent introduire de nouvelles vulnérabilités.

Le problème plus profond est que l'industrie de l'audit elle-même manque de normes unifiées et de mécanismes de responsabilité. Les sociétés d'audit ajoutent souvent des clauses de non-responsabilité dans leurs rapports, indiquant que l'audit ne garantit pas que le code est complètement sécurisé. Ce manque de responsabilité fait que même en cas d'échec de l'audit, les sociétés d'audit subissent rarement des conséquences substantielles. Le cas de Balancer pourrait inciter l'industrie à réévaluer les normes d'audit et la répartition des responsabilités.

Le rapport d'analyse post-mortem publié le 5 novembre révèle les détails techniques de l'attaque. La conception de la fonction d'arrondi vise à arrondir vers le bas lors de l'entrée des prix des jetons, mais l'attaquant a réussi à manipuler le processus de calcul pour qu'il arrondisse vers le haut. L'attaquant a combiné cette vulnérabilité avec des transactions groupées, permettant de voler des fonds du pool de liquidités de Balancer. Cette méthode d'attaque est extrêmement sophistiquée et nécessite une compréhension approfondie de la logique de code de Balancer, ainsi que la capacité à détecter les comportements inattendus résultant de différentes combinaisons de fonctionnalités.