Le piratage d’Balancer révèle des mois de planification derrière un vol de crypto-monnaies de 116 millions de dollars

La trace onchain laissée par l’exploiteur à l’origine du piratage de Balancer de 116 millions de dollars a révélé une opération méthodique de haut niveau qui pourrait être en cours depuis des mois.

L’attaquant a exécuté chaque étape avec une précision chirurgicale, en utilisant plusieurs dépôts Tornado Cash de 0,1 Ether pour masquer l’origine des fonds et éviter l’identification.

Les données Onchain indiquent des mois de planification, financés par des transferts furtifs de Tornado Cash.

Les analystes de la sécurité suggèrent que l’ampleur de la violation et la discipline opérationnelle de l’attaquant reflètent une sophistication croissante des exploits de la finance décentralisée (DeFi), qui ressemblent de plus en plus à des cybercampagnes parrainées par l’État en termes de planification et d’exécution.

Le modèle furtif indique une configuration à long terme

Balancer, l’exchange décentralisé et le teneur de marché automatisé, a confirmé l’exploit lundi, faisant état d’une perte d’environ 116 millions de dollars dans divers actifs numériques.

Le compte de l’attaquant a reçu des fonds par le biais de petits dépôts de Tornado Cash, un protocole de confidentialité souvent utilisé pour masquer l’origine des fonds.

L’analyste de la blockchain Conor Grogan a déclaré dans un post X que le compte de l’exploiteur était initialement alimenté par 100 Ether déjà détenus dans Tornado Cash, suggérant que l’individu pourrait avoir été impliqué dans des piratages précédents.

Grogan a noté que les utilisateurs stockent rarement des sommes aussi importantes dans des mélangeurs, soulignant l’expérience de l’attaquant et sa planification minutieuse.

Balancer a offert au pirate une prime de 20 % si les fonds sont restitués en totalité, à l’exclusion de la récompense, d’ici mercredi.

La plate-forme a déclaré qu’elle collaborait avec des chercheurs en sécurité pour produire un post-mortem détaillé de l’incident.

Les analystes appellent cela un exploit DeFi complexe

Selon la société de sécurité blockchain Cyvers, l’exploit Balancer représente l’une des attaques les plus complexes observées cette année.

Les attaquants ont réussi à contourner les couches de contrôle d’accès et à manipuler directement les soldes des actifs, exposant ainsi une faiblesse critique dans la gouvernance plutôt que dans la logique de base des contrats intelligents de Balancer.

Deddy Lavid, cofondateur et directeur général de Cyvers, a déclaré que l’événement soulignait les limites des audits de code statique.

Il a fait valoir qu’un suivi continu en temps réel des transactions est essentiel pour détecter les anomalies avant que les fonds ne soient épuisés.

Les experts du secteur estiment que cette évolution vers une surveillance persistante est désormais inévitable, car les plateformes DeFi sont confrontées à des attaquants qui testent les défenses des mois à l’avance.

Parallèles avec l’activité du groupe Lazarus

La brèche de Balancer a suscité des comparaisons avec le groupe nord-coréen Lazarus, dont les schémas d’activité montrent des niveaux de préparation similaires.

Les données de Chainalysis indiquent que les transactions illicites liées aux pirates nord-coréens ont fortement chuté après juillet 2024, après une augmentation plus tôt cette année-là. Les analystes ont interprété l’accalmie comme une pause stratégique pour se regrouper et identifier de nouvelles cibles.

Le ralentissement a précédé le piratage de Bybit de 1,4 milliard de dollars, qui n’a pris que 10 jours pour être blanchi via le protocole inter-chaînes décentralisé THORChain.

La rapidité et la coordination de cette opération suggèrent l’utilisation d’une automatisation sophistiquée et de pipelines de blanchiment pré-planifiés, des techniques qui apparaissent maintenant dans des exploits indépendants comme l’affaire Balancer.

La DeFi fait face à une menace croissante pour la sécurité

Le piratage de Balancer reflète l’émergence d’une ère de cybervol professionnalisé dans la finance décentralisée.

Contrairement aux rug pulls opportunistes ou aux escroqueries par hameçonnage, les exploits modernes s’appuient de plus en plus sur des chaînes de financement disciplinées, l’obfuscation automatisée et des vecteurs d’attaque ciblant les mécanismes de gouvernance plutôt que les failles techniques.

Les enquêteurs estiment que l’incident de Balancer démontre que les attaquants évoluent plus rapidement que les modèles de sécurité actuels de la DeFi.

À mesure que le secteur se développe, les experts avertissent que la distinction entre les syndicats criminels et les pirates informatiques liés à l’État s’estompe, les deux groupes partageant des outils, des infrastructures et des tactiques.

L’enquête de Balancer se poursuit, le projet exhortant les échanges et les fournisseurs de portefeuilles à surveiller les entrées suspectes.

Le résultat pourrait façonner la façon dont l’industrie de la DeFi repense les cadres de sécurité, les audits et les mécanismes d’assurance pour les années à venir.