Le rapport préliminaire de Balancer est publié ! La vulnérabilité de la fonction de mise en jeu a causé une catastrophe de 116 millions de dollars

DeFi Protocole de Finance Décentralisée Balancer publie un rapport préliminaire d’analyse post-incident, détaillant les vulnérabilités ayant permis le vol de 116 millions de dollars de fonds. Cette semaine, Balancer a été la cible d’une attaque complexe exploitant du code, affectant les pools stables v2 et le pool Composable Stable v5, tandis que tous les autres types de pools sont restés indemnes. L’attaquant a combiné l’utilisation de BatchSwaps et l’exploitation d’une faiblesse dans la fonction d’arrondi (rounding) EXACT_OUT pour dérober des fonds dans un pool de stablecoins.

Vulnérabilité de la fonction d’arrondi et combinaison fatale avec BatchSwaps

(Source : X)

Au début de la semaine, Balancer a subi une attaque sophistiquée ciblant spécifiquement les pools stables v2 et le pool Composable Stable v5, sans affecter les autres pools. La précision de cette attaque indique une compréhension approfondie du code de Balancer, permettant à l’attaquant d’identifier des vulnérabilités spécifiques tout en évitant les pools plus sécurisés.

L’attaquant a exploité la fonctionnalité BatchSwaps — qui permet de regrouper plusieurs opérations dans une seule transaction, y compris des prêts flash (flash loans), permettant d’emprunter et de rembourser des fonds dans la même transaction — combinée à une faiblesse dans la fonction d’arrondi lors des échanges EXACT_OUT. La synergie de ces techniques est au cœur de la complexité de l’attaque.

La fonction d’arrondi, dans les systèmes financiers, est une étape critique. Elle arrondit à la baisse (floor) lors de la conversion de prix ou de montants, afin d’éviter des erreurs de précision. Cependant, l’attaquant a manipulé ces valeurs d’arrondi, et en combinant cela avec la capacité de batcher des échanges, il a pu dérober des fonds dans le pool de stablecoins. L’équipe de Balancer indique dans son rapport : « Dans de nombreux cas, les fonds volés restent en solde interne, puis sont extraits via des transactions ultérieures. »

Ce qui rend cette attaque particulièrement astucieuse, c’est qu’elle exploite de petites erreurs d’arrondi qui, en somme, peuvent s’accumuler. Une seule transaction peut ne générer qu’une erreur de quelques cents, mais en regroupant des milliers de swaps via BatchSwaps, ces erreurs s’accumulent en montants significatifs. L’utilisation de prêts flash amplifie encore cet effet, permettant à l’attaquant de manipuler de grandes sommes sans capital initial, en empruntant massivement, en réalisant des arbitrages, puis en remboursant et en retirant le profit dans la même transaction.

Analyse technique de l’attaque

BatchSwaps : regroupement de milliers d’opérations mineures pour accumuler une erreur d’arrondi significative

Prêts flash : levier pour manipuler de gros montants sans capital initial, multipliant l’impact de l’attaque

Vulnérabilité EXACT_OUT : exploitation ciblée de la faiblesse dans la fonction d’arrondi lors des échanges spécifiques

Sur le plan technique, cette attaque met en lumière un risque systémique dans la gestion de la précision numérique par les protocoles DeFi. Les smart contracts doivent équilibrer efficacité de calcul et précision numérique, mais cet équilibre peut devenir une faille exploitable. La conception de la fonction d’arrondi de Balancer fonctionne bien en conditions normales, mais en cas d’opérations extrêmes — comme de très gros batchs —, la vulnérabilité apparaît.

Identité de l’attaquant et processus de préparation

Ces hackers sont probablement des professionnels très compétents, ayant préparé leur attaque sur plusieurs mois. Ils ont utilisé une série de dépôts Tornado Cash de 0,1 ETH pour financer leurs opérations, afin d’éviter la traçabilité. Tornado Cash est un service de mixage de cryptomonnaies qui brise la chaîne de traçage des fonds sur la blockchain, ce qui en fait un outil privilégié pour les criminels.

Les petits dépôts de 0,1 ETH constituent une stratégie de contre-tracking. Plutôt que de transférer une grosse somme d’un seul coup (ce qui attirerait l’attention des outils d’analyse blockchain), ils ont dispersé leurs fonds en centaines ou milliers de petites transactions. Cette stratégie de « poussiérisation » rend la traçabilité extrêmement difficile, même pour des sociétés spécialisées en analyse blockchain.

Le fait que l’attaque ait été préparée sur plusieurs mois montre une planification méticuleuse. Les hackers ont probablement étudié en profondeur le code de Balancer, testé leurs vecteurs d’attaque en environnement local, et conçu un chemin pour l’extraction des fonds. Ce niveau de préparation requiert une expertise technique avancée, une compréhension approfondie des protocoles DeFi, ainsi qu’une maîtrise des techniques d’analyse et de traçage blockchain.

Selon Deddy Lavid, CEO de la société de sécurité blockchain Cyvers, cette attaque est l’une des plus « complexes » à ce jour en 2025. Cyvers, spécialisée dans la surveillance des transactions blockchain et la détection d’activités anormales, souligne que cette attaque atteint un nouveau sommet en termes d’innovation technique, de discrétion et de précision.

Ce type d’attaque rappelle que les portefeuilles exposés, pools de liquidité et fonds en chaîne sont vulnérables face à des menaces de plus en plus évolutives. La transparence et l’audit open-source des protocoles offrent certes une visibilité, mais permettent aussi aux attaquants d’étudier le code pour y déceler des failles. C’est une arme à double tranchant, obligeant les développeurs à supposer que les attaquants disposent de compétences équivalentes ou supérieures.

Progrès dans la récupération et collaboration communautaire

(Source : X)

Balancer, en partenariat avec des acteurs de la sécurité et d’autres protocoles, a réussi à récupérer ou à geler une partie des fonds volés, notamment environ 19 millions de dollars en 5041 ETH stakés via StakeWise (osETH), ainsi que 2 millions de dollars en 13495 tokens osGNO. Au total, environ 21 millions de dollars ont été récupérés, représentant 18 % du montant total volé. Bien que cela ne compense pas entièrement la perte, c’est une réussite notable dans le contexte des attaques DeFi.

La capacité à récupérer ou geler des fonds montre l’importance de la coopération dans l’écosystème crypto. Les tokens osETH et osGNO sont liés à des protocoles spécifiques, dont les équipes peuvent identifier et geler les adresses suspectes. Cette collaboration est essentielle dans un environnement décentralisé, où il n’existe pas d’autorité centrale pour imposer des gels. Les protocoles doivent volontairement partager des informations et coordonner leurs actions.

L’équipe a suspendu tous les pools affectés et désactivé la création de nouveaux pools vulnérables, jusqu’à ce que la faille soit corrigée. Bien que cette décision soit douloureuse pour les utilisateurs légitimes, elle est nécessaire pour éviter que la vulnérabilité ne cause davantage de dégâts. La suspension des pools empêche leur utilisation, ce qui peut nuire à l’expérience utilisateur et à la réputation du protocole, mais c’est une étape responsable face à une menace grave.

Balancer offre une récompense de 20 % aux hackers ou aux acteurs ayant aidé à la récupération des fonds, mais à ce jour, personne n’a réclamé cette récompense. Ce taux de 20 %, soit environ 23 millions de dollars, est conséquent, mais l’absence de réponse peut s’expliquer par plusieurs raisons : réticence à révéler leur identité, volonté de continuer à laver l’argent, ou appartenance à des groupes organisés ou étatiques pour qui la réputation prime sur la récompense.

Résumé des mesures de réponse de Balancer

Réaction immédiate : suspension des pools affectés pour limiter les pertes

Collaboration communautaire : partenariat avec StakeWise, Gnosis, et autres pour geler les tokens volés

Communication transparente : publication rapide d’un rapport initial pour expliquer l’attaque et les mesures prises

Incitations économiques : offre de 20 % de récompense pour la récupération, sans réponse à ce jour

Cet incident souligne une fois de plus la vulnérabilité de la sécurité en DeFi et l’importance des audits pour prévenir de telles attaques.