Le 3 novembre 2025, Balancer, un échange décentralisé (DEX) basé sur Ethereum, a subi un exploit qui a entraîné la fuite de fonds d’une valeur estimée à 128 millions de dollars en actifs numériques.
Cet incident est l’un des plus grands piratages sur les plateformes de finance décentralisée (DeFi) cette année et le pire de l’histoire de Balancer. L’attaque aurait affecté une partie des liquidités déposées en bourse.
D’après le compte de X, l’équipe DEX a confirmé l’attaque :
Nous sommes conscients d’un possible exploit affectant les pools Balancer V2. Nos équipes d’ingénierie et de sécurité enquêtent en priorité. Nous partagerons les mises à jour vérifiées et les prochaines étapes dès que nous aurons plus d’informations.
Équipe d’équilibrage.
Dans ces DEX, les « pools » sont des contrats intelligents qui fonds des utilisateurs du pool pour faciliter l’échange de tokens sans intermédiaires.
Qu’un exploit ait affecté ces pools signifie qu’un acteur malveillant aurait trouvé une vulnérabilité dans le code du contrat, vous permettant de modifier son fonctionnement normal et retirer des actifs.
Selon les données de la société de sécurité PeckShield, les fonds drainés comprennent, entre autres, des versions enveloppées d’Ether :
- 6 587 WETH (24,4 millions de dollars).
- 6 851 osETH (près de 27 millions de dollars).
- 4 260 wstETH (19,3 millions de dollars).
- Stablecoins et plus de 60 000 jetons standard ERC-20.
Les premières estimations réalisées par Nansen, une société dédiée à l’analyse en chaîne, en collaboration avec le négociant de crypto-monnaie Ted Pillows, estimaient la valeur volée à 116 millions de dollars.
Cependant, au fil des heures, le chiffre a été mis à jour à 120 millions, selon les données de la plateforme de surveillance BlockSec Phalcon, tandis que Dori, un représentant des validateurs Cardano (DRep), J’élève le montant engagé à 128 millions de dollars.
De même, Dori a assuré que l’attaque s’est propagée à travers différentes chaînes de l’écosystème Ethereum. Parmi eux : le capa base d’Ethereum, Arbitrum, Base, Polygon, entre autres.
D’autre part, comme le rapporte CriptoNoticias, le prix du jeton natif du DEX, BAL, s’est effondré après le hack Balancer.
Comment l’attaque contre Balancer, le DEX basé sur Ethereum, a-t-elle été exécutée ?
Conformément à l’analyse du chercheur en chaîne connue dans X sous le nom d’AdiFlipsl’attaque dirigé vers le coffres-forts (coffres) et pools de liquidités de la version 2 (V2) de Balancer.
Dans ce protocole, le coffres-forts Ce sont des contrats intelligents qui stockent les fonds de tous les pools et coordonnent les opérations d’échange entre eux.
Lors de la création ou de l’initialisation d’un pool, ces contrats exécutent une série d’« appels » qui servent à communiquer des ordres (par exemple, enregistrer un nouvel actif ou définir des paramètres de liquidité) entre différents composants du système.
L’attaquant aurait déployé un contrat malveillant qui intercepté et manipulé ces appels pendant le processus de configuration, réussir à modifier le comportement attendu du sauter.
L’échec aurait été dans comment le protocole a géré les autorisations d’interaction entre les contrats et les fonctions automatiques dites «rappels» (callback), qui permettent à un contrat de répondre ou d’exécuter des tâches lorsqu’un autre l’invoque.
En exploitant une faiblesse de ce mécanisme, l’attaquant a pu amener son contrat à exécuter des opérations non autorisées, telles que des échanges ou des transferts de jetons, sans validation appropriée.
Cela lui a permis déplacer des fonds entre les pools de manière chaînée et rapidedrainant une partie des actifs stockés avant que le système ou les validateurs puissent réagir.
Les analystes enquêtent sur le piratage de Balencer : l’IA aurait pu l’aider
En plus de cette vulnérabilité dans les autorisations et les fonctions automatiques, les analystes ont détecté des indices qui pourraient aider à comprendre plus précisément comment l’attaque a été exécutée.
Quelques heures après sa première attaque, AdiFlips a noté que le code malveillant incluait les journaux de la console (console.log) visible sur le réseau, quelque chose d’inhabituel dans les attaques sophistiquées.
Los console.log sont des extraits de code que les développeurs utilisent pendant les tests pour afficher des messages explicatifs (par exemple, « Étape 1 terminée ») et suivre le fonctionnement d’un programme.
Cependant, ces journaux sont supprimés avant la publication du code final. Par conséquent, le fait qu’ils apparaissent dans une transaction réelle suggère que l’attaquant aurait pu utiliser un outil d’intelligence artificielle (IA) ou avoir directement copié le code généré par l’un d’entre eux, selon AdiFlips.
Un autre analyste a quant à lui pointé du doigt une faille dans la fonction « gérer le solde utilisateur » (« gérer le solde utilisateur ») du protocole Balancer.
Selon l’analyse, le système Balancer fait une erreur en comparant deux paramètres clés.
D’une part, msg.expéditeurqui identifie l’adresse qui exécute réellement une action dans le contrat. D’autre part, en haut. émetteurune donnée que l’utilisateur lui-même pourrait établir manuellement.
Cette confusion dans la validation aurait permis à n’importe quelle adresse de se faire passer pour une autre et d’exécuter des opérations de retrait internes (dites WITHDRAW_INTERNAL), c’est-à-dire des mouvements de fonds au sein du protocole lui-même, sans avoir l’autorisation correspondante.
Les deux observations renforcent l’hypothèse selon laquelle l’attaque ccombiné un échec de vérification d’autorisation avec un code improvisé ou assisté par l’IAce qui a facilité le drainage des fonds des coffres concernés.
