L’exchange décentralisé (DEX) et automated market maker (AMM) Balancer a été victime d’un exploit ayant entraîné le transfert de plus de 116 millions de dollars d’actifs numériques vers un portefeuille récemment créé.
« Nous sommes conscients d’un possible exploit affectant les pools de Balancer v2. Nos équipes techniques et de sécurité enquêtent en priorité », a déclaré l’équipe de Balancer lundi sur X, précisant qu’elle partagerait davantage d’informations dès qu’elles seraient disponibles.
Les premières données onchain ont révélé que le protocole DeFi avait été exploité pour environ 70,9 millions de dollars en tokens d’Ether staké liquide, répartis sur trois transactions selon les registres d’Etherscan.
Les transferts incluaient 6 850 StakeWise Staked ETH (OSETH), 6 590 Wrapped Ether (WETH) et 4 260 Lido wstETH (wSTETH), a précisé la plateforme d’analyse blockchain Nansen sur X.
À 8 h 52 UTC, lundi, le montant total volé dépassait déjà 116,6 millions de dollars, selon les données de Lookonchain.
L’exploit de Balancer pourrait provenir d’un problème dans les smart contracts, comportant une « vérification d’accès défaillante permettant à l’attaquant d’envoyer une commande de retrait », explique Nicolai Sondergaard, analyste chez Nansen.
« D’après mes observations, les pertes dépassent désormais les 100 millions de dollars et affectent Balancer v2 ainsi que plusieurs forks », a-t-il ajouté.
Une prime white hat de 20 % offerte pour le retour des fonds
Afin de récupérer les fonds, l’équipe de Balancer propose une prime pouvant atteindre 20 % du montant volé à condition que les fonds, déduction faite de la récompense, soient intégralement restitués immédiatement.
Si les fonds ne sont pas restitués dans les 48 heures, Balancer a indiqué qu’elle continuerait de coopérer avec des spécialistes de l’analyse blockchain et les autorités pour identifier le ou les auteurs.
« Nos partenaires sont convaincus que vous serez identifiés grâce aux métadonnées collectées sur nos serveurs, incluant des adresses IP, des ASNs et des horodatages corrélés à l’activité onchain », a précisé Balancer dans une note de transaction publiée lundi sur la blockchain.
Balancer a déjà connu plusieurs attaques. Il y a deux ans, le protocole avait subi une attaque DNS sur son site web, redirigeant les utilisateurs vers une page de phishing reliée à des smart contracts malveillants conçus pour voler des fonds.
Selon le chercheur ZachXBT, environ 238 000 dollars d’actifs numériques avaient été dérobés à cette occasion.
En août 2023, Balancer avait également subi un exploit d’environ 1 million de dollars en stablecoins, une semaine seulement après avoir révélé une vulnérabilité critique sur certaines de ses pools de liquidité.
Enfin, en juin 2020, le protocole avait été victime d’une attaque par prêt flash impliquant les tokens déflationnistes Statera (STA), entraînant la perte d’environ 500 000 dollars en Ether et autres tokens.
Berachain déclenche un hard fork d’urgence après l’exploit de Balancer
Les validateurs du réseau Berachain ont décidé de suspendre temporairement la blockchain afin de procéder à une mise à jour d’urgence (hard fork) en réaction à l’exploit de Balancer.
L’objectif de ce hard fork est de corriger les vulnérabilités liées à certains actifs sur le DEX natif de Berachain, a indiqué la Berachain Foundation sur X, précisant :
« Cette suspension a été volontairement exécutée, et le réseau redeviendra opérationnel dès que tous les fonds concernés auront été récupérés. »
La fondation ajoute que, puisque l’exploit a affecté des actifs non natifs (et pas seulement le token BERA), le processus de restauration dépasse un simple hard fork, justifiant ainsi l’interruption complète du réseau pendant la résolution du problème.