Dans un secteur où chaque faille de code peut coûter des millions, le récent hack de 116 millions de dollars contre Balancer vient raviver les craintes autour de la sécurité des protocoles DeFi. Ce n’est pas seulement l’ampleur de l’attaque qui interpelle, mais sa sophistication technique et la manière dont elle a contourné des mécanismes supposés sûrs. Balancer, acteur central de la finance décentralisée, vient de publier un rapport préliminaire détaillant les causes de cette attaque. Décryptage d’un piratage d’une rare complexité.

Autopsie d’un exploit chirurgical

Le 4 novembre, Balancer a été victime d’un des piratages les plus sophistiqués jamais recensés, selon Deddy Lavid, PDG de Cyvers, société spécialisée dans la cybersécurité blockchain. Le rapport publié mercredi par Balancer identifie une faille dans la fonction de rounding liée aux swaps de type EXACT_OUT dans ses pools v2 Stable et Composable Stable v5. Grâce à une série d’opérations de BatchSwaps combinées à des prêts flashs, le pirate a exploité cette vulnérabilité pour siphonner progressivement les fonds crypto.

Plus précisément, le système était censé arrondir à la baisse la valeur des cryptos lors des transactions. Cependant, cette logique d’arrondi a été manipulée afin de créer un déséquilibre artificiel dans les calculs de valeur des tokens lors des swaps. Le pirate a alors pu exécuter des échanges lui étant systématiquement favorables, drainant ainsi les fonds sans déclencher d’alerte immédiate. À noter que seuls les pools affectés par cette fonction vulnérable ont été touchés, les autres types de pools de Balancer sont restés intacts.

Réaction en chaîne : réponse de Balancer et ramifications du hack crypto

Face à l’ampleur des pertes, Balancer n’a pas tardé à mobiliser ses partenaires et experts en cybersécurité. La plateforme a immédiatement suspendu tous les pools vulnérables et empêché la création de nouveaux pools du même type, le temps de corriger la faille. Avec l’aide de l’écosystème crypto, Balancer est parvenu à geler une partie des fonds volés, notamment 5 041 osETH (équivalent à environ 19 millions de dollars) et 13 495 osGNO (jusqu’à 2 millions de dollars), selon les données de BitFinding.

L’origine des fonds utilisés pour financer l’attaque laisse peu de doutes sur le professionnalisme des pirates. Ces derniers ont utilisé plusieurs dépôts de 0.1 ETH via Tornado Cash, probablement pour brouiller les pistes et éviter toute traçabilité. Balancer a également offert une prime de 20 % sous forme de white hat bounty au pirate, ou à tout hacker éthique qui faciliterait le retour des fonds crypto. À ce jour, aucune réponse n’a été reçue.

Cette attaque rappelle brutalement les risques systémiques que représentent les bugs de smarts contract et la complexité croissante des menaces dans la DeFi. Alors que le code fait foi dans cet univers, les failles de logique, même minimes, peuvent conduire à des pertes majeures. La question reste en suspens : les audits, même multipliés, suffisent-ils encore à garantir la sécurité des protocoles crypto à l’heure où les pirates affinent leurs armes avec une précision quasi chirurgicale ?