Le protocole DeFi Balancer a été la cible d'une attaque et a perdu plus de 110 millions de dollars d'actifs.

• Une faille dans les smart contracts vide les coffres V2 de Balancer.
• Le vol dépasse 110 millions de dollars américains sur plusieurs blockchains.
• Les auditeurs enquêtent sur une attaque exploitant la conception compostable du protocole.

Balancer a subi une nouvelle attaque grave, avec des pertes estimées entre 110 et 116 millions de dollars américains sur différentes blockchains. L’incident a principalement touché les coffres V2 et les pools de liquidité du protocole, exploitant une vulnérabilité dans les interactions des smart contracts.

Selon une analyse on-chain publiée par des experts, dont l’analyste Adi (@AdiFlips), l’attaque a commencé par le déploiement d’un contrat malveillant qui manipulait les appels internes du Vault lors de l’initialisation du pool. Cette manipulation a permis à l’attaquant de contourner les mécanismes de sécurité et d’effectuer des échanges non autorisés entre pools interconnectés, vidant les fonds en quelques minutes.

Voici tout ce que vous devez savoir sur le piratage de Balancer :

1. L’attaque a ciblé les coffres V2 et les pools de liquidité de Balancer, exploitant une vulnérabilité dans les interactions des smart contracts. Une analyse préliminaire des enquêteurs on-chain pointe vers un contrat malveillant déployé qui… pic.twitter.com/udAM4hB0OD

— Adi (@AdiFlips) 3 novembre 2025

Le vecteur d’attaque impliquait des failles d’autorisation et une gestion incorrecte des callbacks, ouvrant des failles pour la manipulation des soldes et des swaps en cascade. Une transaction clé sur le réseau Ethereum — identifiée comme 0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569 — a dirigé les actifs vers un nouveau portefeuille contrôlé par l’attaquant. Les fonds ont ensuite été consolidés et potentiellement transférés vers des services de mixage ou des bridges cross-chain, rendant leur traçabilité difficile.

L’architecture compostable de Balancer, dans laquelle les pools interagissent fortement entre eux, a fini par amplifier la vulnérabilité. Des attaques similaires ont déjà touché d’autres automated market makers (AMMs), en particulier lorsqu’ils impliquent des tokens déflationnistes ou des mécanismes de rééquilibrage des pools.

Des auditeurs tels que PeckShield et Nansen mènent des enquêtes forensiques détaillées et ont confirmé que l’attaque était purement technique, sans preuve de compromission de clés privées. Les pertes incluent d’importantes quantités de WETH, wstETH, osETH, frxETH, rsETH et rETH — avec Ethereum étant le plus touché, environ 70 millions de dollars américains ayant été drainés.

L’impact s’est également étendu aux réseaux Base, Sonic et Polygon, totalisant environ 9 millions de dollars américains de dommages supplémentaires. Des protocoles dérivés tels que Beets.fi et Berachain ont été compromis en raison de l’utilisation de composants de code similaires.

Le token BAL a chuté de 5 % à 8 % après la confirmation de l’attaque. À ce jour, Balancer n’a pas publié de détails sur les mesures d’atténuation ou une éventuelle compensation pour les utilisateurs, tandis que les recommandations d’urgence incluent le retrait immédiat des fonds, la révocation des autorisations et la surveillance active des portefeuilles affectés.