Deux membres de la communauté du protocole Balancer ont présenté jeudi une proposition visant à définir un plan de distribution pour une partie des fonds récupérés après l’exploit ayant coûté 116 millions de dollars au protocole en novembre.
Environ 28 millions de dollars sur les 116 millions subtilisés ont pu être récupérés grâce à des hackers éthiques, des équipes internes de secours et StakeWise — une plateforme de liquid staking d’Ether (ETH).
Cependant, la proposition ne porte que sur les 8 millions de dollars récupérés par les white hats et les équipes internes. Les près de 20 millions récupérés par StakeWise seront distribués séparément à ses propres utilisateurs.
Les auteurs recommandent que les remboursements ne soient pas « socialisés ». Autrement dit, les fonds doivent être reversés uniquement aux pools de liquidité directement touchés, selon une répartition proportionnelle au pourcentage détenu par chaque participant, mesuré via les Balancer Pool Tokens (BPT).
Les remboursements seraient également versés « en nature ». Les victimes recevraient donc les mêmes tokens que ceux perdus, afin d’éviter tout écart de valorisation entre différents actifs numériques.
Le hack de Balancer fait partie des attaques « les plus sophistiquées » de 2025, selon Deddy Lavid, PDG de la société de cybersécurité blockchain Cyvers. Il estime que cet incident illustre l’urgence de renforcer la sécurité des utilisateurs crypto, alors que les menaces se complexifient.
Malgré les audits, les smart contracts de Balancer n’ont pas résisté
D’après la page GitHub du protocole, Balancer a fait auditer son code à 11 reprises par quatre entreprises de cybersécurité blockchain différentes.
Malgré ces audits, la plateforme a tout de même été piratée, poussant une partie de la communauté crypto à remettre en cause l’utilité réelle des audits et leur capacité à garantir la sécurité d’un code.
Dans son rapport post-mortem publié le 5 novembre, Balancer a expliqué que l’attaque exploitait une faille complexe liée à une fonction d’arrondi utilisée dans les EXACT_OUT swaps au sein de ses Stable Pools.
Normalement, cette fonction arrondit les valeurs à la baisse lors de l’entrée des prix des tokens. L’attaquant est toutefois parvenu à manipuler le calcul pour forcer un arrondi supérieur.
Il a ensuite combiné cette faille avec un batched swap — une transaction unique regroupant plusieurs opérations — pour siphonner les fonds des pools de Balancer.