- Les actifs déplacés comprenaient StakeWise Staked Ether (OSETH), Wrapped Ether (WETH) et Lido wstETH (wSTETH).
- En septembre 2023, Balancer a subi une attaque de phishing qui a entraîné une perte d'environ 238 000 $.
- Un autre exploit en août a vidé près de 1 million de dollars après la découverte d'une vulnérabilité dans les pools de liquidité de Balancer.
Un exploit suspect impliquant près de 70 millions de dollars d'actifs numériques a de nouveau placé Balancer, l'un des principaux échanges décentralisés d'Ethereum, sous le feu des projecteurs.
L'incident a ravivé le débat sur la sécurité de la finance décentralisée (DeFi), où la transparence et l'automatisation coexistent souvent avec de profondes vulnérabilités structurelles.
Il montre également comment les caractéristiques fondamentales de la DeFi telles que l'accès sans permission, le code open-source et les smart contracts composables peuvent rapidement devenir des faiblesses lorsqu'elles sont ciblées par des attaquants expérimentés.
Pour Balancer, cette faille s'ajoute à une série croissante d'incidents cybernétiques qui redéfinissent la perception du risque dans la finance numérique et incitent à des appels pour des défenses plus fortes et coordonnées dans tout l'écosystème DeFi.
70 millions de dollars d'actifs liés à l'Ether transférés vers un nouveau portefeuille
Les registres blockchain sur Etherscan montrent que 70,9 millions de dollars d'actifs ont été déplacés des pools de liquidité de Balancer vers un portefeuille nouvellement créé via trois transactions.
Les données de la société d'analyse Nansen ont identifié les actifs transférés comme étant 6 850 StakeWise Staked Ether (OSETH), 6 590 Wrapped Ether (WETH) et 4 260 Lido wstETH (wSTETH).
Les analystes on-chain ont commencé à suivre le comportement du portefeuille, observant des similitudes avec des schémas de drainage DeFi précédents.
La société de sécurité blockchain Cyvers a rapporté que jusqu'à 84 millions de dollars de transactions suspectes sur plusieurs chaînes pourraient être liées à Balancer.
La société analyse actuellement si les transferts ont été coordonnés via des vulnérabilités de smart contracts ou facilités par un exploit externe exploitant les flux de liquidité inter-protocoles.
Historique des attaques sur Balancer
En septembre 2023, le site web du protocole a été compromis via un détournement du système de noms de domaine (DNS) qui a redirigé les utilisateurs vers une interface de phishing.
Des hackers ont exécuté des smart contracts malveillants conçus pour capturer des clés privées et vider les fonds, entraînant des pertes d'environ 238 000 dollars, selon l'enquêteur blockchain ZachXBT.
Un mois plus tôt, en août, Balancer a signalé un exploit de stablecoin qui a coûté près de 1 million de dollars aux fournisseurs de liquidité.
Cet incident est survenu peu de temps après que l'équipe a révélé une « vulnérabilité critique » affectant certains pools de liquidité, qui avait été partiellement atténuée mais restait exploitable dans certaines configurations.
La récurrence de ces incidents dans un laps de temps aussi court suggère que la nature open-source de la DeFi, tout en favorisant l'innovation, offre également aux attaquants une feuille de route évolutive pour cibler les faiblesses des protocoles.
Ces failles démontrent que les audits de sécurité seuls sont insuffisants sans une surveillance continue on-chain et des systèmes d'atténuation des risques en temps réel.
Le paradoxe de la sécurité dans la DeFi
Le cas de Balancer illustre un paradoxe au cœur de la finance décentralisée.
En supprimant les intermédiaires, les protocoles atteignent la transparence et l'autonomie, tout en éliminant la possibilité d'intervention lorsque des fonds sont détournés.
Contrairement aux exchanges centralisés qui peuvent geler ou annuler des transactions, les protocoles DeFi fonctionnent sur des smart contracts immuables.
Une fois exploités, les pertes sont permanentes et généralement irrécupérables.
Cette rigidité structurelle a attiré les critiques des investisseurs institutionnels qui considèrent ces vulnérabilités comme des obstacles à une adoption à grande échelle.
En réponse, certains projets DeFi ont introduit des défenses en couches telles que des pools d'assurance décentralisés, des cadres d'audit avancés et la vérification formelle du code des contrats.
Cependant, ces mesures restent incohérentes à travers l'écosystème.
Les problèmes de sécurité répétés de Balancer pourraient donc servir d'étude de cas sur la façon dont les incitations à la liquidité et la composabilité peuvent amplifier l'exposition systémique.
À mesure que les protocoles DeFi deviennent plus interconnectés via des standards de tokens partagés et des ponts cross-chain, un seul smart contract compromis peut déclencher des risques financiers en cascade sur plusieurs plateformes.
