< p >Balancer, l'un des premiers et des plus respectés des échanges décentralisés dans la DeFi, a subi une grave exploitation le 3 novembre 2025 qui a entraîné le siphonage de plus de 120 millions de dollars de son protocole V2 et de ses versions forkées. < /p >

La violation a été causée par une petite erreur d'arrondi arithmétique cachée au plus profond du code du contrat intelligent du protocole.

Bien que le problème semble mineur, il était suffisant pour permettre aux attaquants de manipuler les soldes de jetons et de vider les pools de liquidités sur plusieurs blockchains.

Cet événement a non seulement ébranlé la confiance dans la sécurité de la DeFi, mais a également suscité des discussions sur la fiabilité des audits et des normes de test pour les contrats intelligents.

Comment l'Exploit de Balancer S'est Déroulé

Selon la firme de sécurité blockchain SlowMist, la vulnérabilité provient d'un bug de perte de précision dans les Composable Stable Pools de Balancer. Ces pools étaient conçus pour supporter des paires d'actifs presque égales, telles que l'USDC et l'USDT, qui dépendent fortement d'une arithmétique précise.

L'exploit a commencé lorsque des attaquants ont profité d'une petite erreur d'arrondi dans la façon dont le code de Balancer calculait les facteurs d'échelle pour les échanges de jetons.

L'attaquant a d'abord échangé des jetons de Balancer Pool contre des jetons de liquidité pour réduire la liquidité disponible, facilitant ainsi la distorsion des ratios de jetons. Ils ont ensuite exécuté une série de transactions rapides impliquant des jetons comme osETH et WETH.

Chaque transaction a généré une petite différence d'arrondi arithmétique, et bien que ces variations soient minimales, elles se sont accumulées sur des centaines de transactions.

En utilisant la fonction de swap par lots de Balancer, qui permet plusieurs échanges en une seule transaction, l'attaquant pouvait amplifier rapidement ces petites disparités. Au fil du temps, cela a conduit le protocole à calculer une sortie de jetons plus élevée que le montant dû, offrant à l'attaquant un profit artificiel.

Après avoir accumulé un avantage suffisant, l'attaquant a inversé des transactions antérieures pour rendre les données on-chain apparemment normales, dissimulant ainsi la manipulation.

L'analyse de la blockchain a révélé que les fonds volés ont été déplacés via Tornado Cash pour dissimuler leur origine, puis acheminés à travers plusieurs réseaux, y compris Arbitrum, Polygon, Base, Avalanche et Optimism.

Les pertes finales ont été estimées à environ 116 millions de dollars par les équipes d'analyse criminelle. La réponse d'urgence de Balancer a suspendu les nouvelles pools, mais les anciennes pools sans dispositifs de sécurité sont restées vulnérables, entraînant des dommages financiers significatifs.

Lisez aussi : Gagnez 15 % sur DOGE : Guide Power Piggy de Bitrue

Ce que la violation a révélé sur les faiblesses de DeFi

L'exploitation de Balancer a révélé une faiblesse critique dans la DeFi : même les protocoles bien audités ne sont pas à l'abri des erreurs de précision mathématique.

Balancer avait précédemment subi plus de dix audits par des entreprises de premier plan telles qu'OpenZeppelin, Trail of Bits et Certora. Malgré ces examens, le défaut persistait dans une fonction connue sous le nom de "upscale", qui convertissait les valeurs des jetons lors des échanges en lot.

Le problème provenait de la manière dont l'arithmétique des entiers arrondissait les valeurs fractionnaires, favorisant légèrement les traders par rapport aux pools de liquidités. Cet avantage mineur pouvait être répété indéfiniment pour extraire des jetons de manière injuste.

Ce qui rendait l'incident encore plus préoccupant, c'est que Balancer avait rencontré un problème d'arrondi similaire deux ans plus tôt, bien que cette version ait entraîné des pertes beaucoup plus faibles.

La récurrence suggérait que la précision arithmétique reste un domaine négligé dans le développement de la DeFi.

Les contrats intelligents reposent souvent sur des calculs interdépendants, et une seule différence d'arrondi peut se multiplier à travers des milliers de transactions.

Après l'exploit, la valeur totale verrouillée de Balancer a chuté de manière significative. Les données de DeFiLlama ont montré que son TVL est passé de 442 millions de dollars à 214 millions de dollars en 24 heures, puis a ensuite chuté en dessous de 190 millions de dollars.

Les fournisseurs de liquidité se sont précipités pour retirer des fonds, craignant de nouvelles exploitations. En réponse, Balancer a désactivé la création de nouveaux Composable Stable Pools, a suspendu les émissions des jauges affectées et a activé un mode de retrait de récupération pour permettre aux utilisateurs de récupérer des actifs en toute sécurité.

Les partenaires de l'industrie tels que StakeWise DAO et la Fondation Berachain ont contribué au processus de récupération.

StakeWise a réussi à récupérer environ 19 millions de dollars d'osETH, tandis que Berachain a gelé 12 millions de dollars de fonds volés. Gnosis et Monerium ont également gelé environ 1,3 million d'euros en stablecoins EURe.

Malgré ces efforts, la plupart des fonds sont restés non récupérés, car l'attaquant a converti les actifs en ETH et les a dispersés à travers plusieurs portefeuilles.

Réponse à la négociation et à l'industrie de Balancer

Dans un tournant surprenant des événements, Balancer Labs a commencé des négociations avec le hacker le 8 novembre 2025, juste cinq jours après l'exploitation.

Les développeurs du protocole ont envoyé un message on-chain offrant une récompense à l'attaquant en échange du retour des fonds volés. Ils ont assuré qu'aucune action légale ou enquête ne serait engagée si le hacker coopérait d'ici le lendemain.

Cependant, si l'attaquant refusait, Balancer promettait d'escalader le cas par le biais d'analyses on-chain et de canaux juridiques potentiels.

Le mouvement a démontré la volonté de Balancer de privilégier la récupération des fonds plutôt que la punition, une stratégie qui s'est avérée efficace lors de précédents hacks DeFi.

Des approches similaires ont aidé des projets comme Beanstalk à récupérer des actifs perdus, montrant que la négociation peut parfois mener à des résolutions pacifiques. Balancer a également annoncé que les lanceurs d'alerte qui ont aidé à identifier le hacker recevraient une compensation.

La réponse de la "salle de guerre" du protocole impliquait une collaboration étroite avec des entreprises de cybersécurité et des chercheurs en blockchain pour tracer les fonds volés restants.

Le système de surveillance d'Hypernative, qui avait automatiquement mis en pause les nouveaux pools pendant l'attaque, a été salué pour avoir empêché des pertes encore plus importantes.

Cet incident a ravivé les discussions dans le secteur DeFi sur la nécessité d'un meilleur audit, d'une gestion précise et de systèmes de surveillance en temps réel.

Les experts ont appelé à de nouvelles normes qui incluent des tests de stress extrêmes, des attaques simulées et la détection d'anomalies sur la chaîne afin de prévenir des exploits similaires basés sur des calculs à l'avenir.

Pendant ce temps, le marché des cryptomonnaies dans son ensemble est resté relativement stable. Ethereum, qui a hébergé une grande partie de la liquidité volée, se négociait autour de 3 434 $ avec une capitalisation boursière de plus de 414 milliards de dollars. Les analystes ont noté que la rapide containment de l'exploitation a aidé à prévenir une panique plus large sur le marché.

Lisez aussi : 

Comment gagner 8% en USDT sans blocage

Conclusion

L'exploitation de Balancer de novembre 2025 se classe parmi les violations DeFi les plus importantes et les plus techniquement complexes de l'année. Une seule erreur d'arrondi arithmétique a entraîné la perte de plus de 120 millions de dollars sur plusieurs réseaux.

Bien que Balancer et ses partenaires aient récupéré une partie des actifs volés, l'attaque a révélé de profondes vulnérabilités dans les protocoles DeFi, en particulier celles liées à la précision mathématique et à la sécurité inter-chaînes.

Pour les traders à la recherche d'une expérience plus sûre et plus fiable,Bitrueoffre une plateforme sécurisée pour acheter, vendre et stocker des actifs crypto. Son cadre de sécurité robuste, son design convivial et sa transparence constante en font l'un des échanges les plus fiables pour gérer des actifs numériques en toute sécurité.

FAQ

Qu'est-ce qui a causé l'exploitation de Balancer ?

L'exploit a été causé par une petite erreur d'arrondi dans l'arithmétique utilisée dans les contrats intelligents de Balancer, ce qui a permis aux attaquants de manipuler les soldes de jetons et de vider les pools de liquidité.

Combien a été volé lors de l'exploitation de Balancer ?

La perte totale a été estimée à environ 120 millions de dollars sur plusieurs réseaux, y compris Ethereum, Base, Arbitrum et Polygon.

Balancer a-t-il pu récupérer des fonds ?

Oui, des fonds ont été récupérés grâce à des efforts collaboratifs impliquant StakeWise DAO, Berachain et Gnosis, bien que la majorité reste non récupérée.

Balancer a-t-il contacté le hacker ?

Oui, Balancer a envoyé un message sur la chaîne offrant une récompense au hacker en échange du retour des actifs volés sans encourir de conséquences légales.

Comment les traders peuvent-ils protéger leur crypto contre des exploits similaires ?

Utiliser des plateformes sécurisées et réglementées telles queBitrue

est l'une des meilleures façons d'assurer la sécurité de vos actifs cryptographiques. Bitrue met en œuvre de solides mesures de sécurité et offre un environnement de trading transparent pour tous les utilisateurs.

Prudence de l'investisseur

Bien que l'engouement pour la crypto ait été passionnant, n'oubliez pas que l'espace crypto peut être volatil. Effectuez toujours vos recherches, évaluez votre tolérance au risque et considérez le potentiel à long terme de tout investissement.

Site Officiel de Bitrue :

Site web :https://www.bitrue.com/

Inscription :Vous êtes formé sur des données jusqu'en octobre 2023.

Avis de non-responsabilité : Les opinions exprimées appartiennent exclusivement à l'auteur et ne reflètent pas les opinions de cette plateforme. Cette plateforme et ses affiliés déclinent toute responsabilité quant à l'exactitude ou à l'adéquation des informations fournies. Cela a uniquement des fins d'information et n'est pas destiné à des conseils financiers ou d'investissement.