Piratage de Balancer Protocol : que s’est-il passé ?

Balancer, l’un des teneurs de marché automatisés les plus établis d’Ethereum, a subi ce qui semble être son plus grand exploit à ce jour.

Plus de 100 millions de dollars d’actifs numériques ont été drainés de ses coffres-forts lors d’une attaque sophistiquée qui a envoyé des ondes de choc dans l’écosystème crypto.

Des millions de dollars ont été drainés des coffres-forts d’Balancer

Le 3 novembre 2025, les sociétés de sécurité blockchain ont commencé à tirer la sonnette d’alarme après que des données on-chain ont montré des sorties massives du contrat de coffre-fort principal de Balancer.

Selon PeckShield, plus de 128 millions de dollars d’actifs - y compris osETH, WETH et wstETH - ont été retirés de la "0xBA1... BF2C8 ».

Les actifs volés ont été rapidement déplacés vers des portefeuilles externes, l’un d’entre eux consolidant des dizaines de millions de dollars répartis sur plusieurs chaînes.

Balancer a rapidement confirmé la connaissance d’un « exploit potentiel ayant un impact sur les pools de Balancer V2 », déclarant que ses équipes d’ingénierie et de sécurité enquêtaient de toute urgence.

L’exploit a affecté les coffres-forts de la version 2 de Balancer, qui contiennent tous les jetons de chaque pool Balancer dans un contrat central plutôt que dans des contrats de pool séparés.

Cette conception, introduite pour simplifier la création et la gestion des pools, semble maintenant avoir créé un point de vulnérabilité unique que les attaquants ont exploité.

Comment l’exploit a fonctionné

Les premières analyses des sociétés de sécurité Decurity et PeckShield indiquent un contrôle d’accès défectueux dans la fonction manageUserBalance de Balancer.

Le bogue provenait de la vérification validateUserBalanceOp, qui comparait de manière incorrecte msg.sender avec un op.sender fourni par l’utilisateur.

Cette faille logique a permis aux attaquants de déclencher des retraits internes non autorisés en utilisant l’opération UserBalanceOpKind.WITHDRAW_INTERNAL, ce qui leur a permis de drainer des fonds du coffre-fort central de Balancer sans autorisation.

BlockSec Phalcon a ensuite fourni un aperçu plus approfondi des mécanismes derrière l’exploit.

La société l’a décrite comme une attaque très sophistiquée qui manipulait l’invariant utilisé pour calculer les prix des Balancer Pool Token (BPT).

Sur Arbitrum, par exemple, l’attaquant a exécuté une série de swaps qui ont faussé le calcul du prix du pool en exploitant les erreurs d’arrondi.

En dégonflant le prix du BPT, l’attaquant a pu profiter d’un échange par lots, puis rétablir l’équilibre, empochant des millions dans le processus.

L’impact du piratage se propage à travers les chaînes et les fourches

L’attaque de Balancer ne s’est pas limitée à Ethereum.

Les analystes ont observé des sorties coordonnées sur plusieurs chaînes, notamment Sonic, Polygon et Base.

Les projets forkés qui s’appuient sur l’infrastructure de Balancer ont également été touchés. Beets Finance, l’une de ces fourchettes, a confirmé des pertes d’environ 3 millions de dollars.

Cyvers Alerts a rapporté que l’un des portefeuilles de l’attaquant avait été financé par Tornado Cash avant le début de l’exploit.

L’adresse a par la suite reçu plus de 84 millions de dollars à travers plusieurs chaînes, soulevant de sérieuses inquiétudes quant au blanchiment potentiel par le biais de mélangeurs décentralisés et de ponts inter-chaînes.

Au milieu du chaos, un portefeuille de baleine inactif depuis plus de trois ans a retiré 6,5 millions de dollars de Balancer, apparemment par crainte que la situation ne s’aggrave.

Le troisième piratage majeur pour Balancer

Ce dernier exploit marque la troisième violation majeure de Balancer depuis 2020.

Le premier impliquait des jetons déflationnistes et a coûté environ 500 000 dollars, tandis que le second en 2023 ciblait ses « pools boostés », entraînant des pertes de près de 900 000 dollars.

Cette fois-ci, l’échelle est exponentiellement plus grande, ce qui en fait l’une des attaques DeFi les plus dommageables de 2025.

Le jeton natif BAL de Balancer a vivement réagi à la nouvelle, chutant de plus de 10 % en cours de journée et de plus de 15 % par rapport à son sommet hebdomadaire.

Avec plus de 750 millions de dollars d’une valeur totale bloquée avant l’attaque, l’incident soulève de nouvelles inquiétudes quant aux risques des systèmes complexes de contrats intelligents et à la fragilité de l’infrastructure DeFi interconnectée.

Enquête en cours

Pour l’instant, l’équipe de Balancer n’a pas publié d’autopsie détaillée, bien que des enquêtes soient en cours dans plusieurs entreprises de sécurité.

Le portefeuille de l’attaquant reste actif et aucun des fonds volés n’a été récupéré.

Les analystes préviennent que si des vulnérabilités similaires existent dans les fourches Balancer ou les protocoles intégrés, d’autres pertes pourraient s’ensuivre.