Comment 11 audits n'ont pas pu empêcher le hack de 128 millions de dollars de Balancer, redéfinissant les risques de la DeFi

Pendant des années, Balancer a été considéré comme l’une des institutions les plus fiables de la DeFi, un protocole ayant survécu à plusieurs marchés baissiers, audits et intégrations sans scandale.

Cependant, cette crédibilité s’est effondrée le 3 novembre, lorsque la société de sécurité blockchain PeckShield a signalé que Balancer et plusieurs de ses forks étaient la cible d’une attaque active se propageant sur plusieurs blockchains.

En quelques heures, plus de 128 millions de dollars avaient disparu, laissant derrière eux des pools vidés, des protocoles gelés et des investisseurs ébranlés.

Les données de PeckShield ont montré que le protocole de la plateforme sur Ethereum avait subi les pertes les plus importantes, soit environ 100 millions de dollars. Berachain suivait avec 12,9 millions de dollars, tandis qu’Arbitrum, Base et des forks plus petits comme Sonic, Optimism et Polygon ont enregistré des vols moindres mais néanmoins significatifs.

Total Funds Stolen from Balancer Hack (Source: Peckshield)

Au fur et à mesure que la fuite se déroulait, Balancer a reconnu une « potentielle exploitation affectant les pools Balancer v2 », déclarant que ses équipes d’ingénierie et de sécurité enquêtaient sur le problème en priorité absolue.

Cependant, cette reconnaissance n’a guère ralenti les retraits sur les intégrateurs et forks.

À la fin de la journée, les données de DeFiLlama montraient que la valeur totale verrouillée (TVL) de Balancer avait chuté de 46 %, passant d’environ 770 millions de dollars à 422 millions de dollars au moment de la publication.

Balancer DeFi Hack (Source: DeFiLlama)

Que s’est-il passé ?

Les premières analyses médico-légales de la société de sécurité blockchain Phalcon ont indiqué que l’attaquant avait ciblé les Balancer Pool Tokens (BPT), qui représentent les parts des utilisateurs dans les pools de liquidité.

Selon la société, la vulnérabilité provenait de la manière dont Balancer calculait les prix des pools lors des échanges groupés (batch swaps). En manipulant cette logique, l’attaquant a faussé le flux de prix interne, créant un déséquilibre artificiel qui lui a permis de retirer des tokens avant que le système ne se corrige.

How Attacker Exploited Balancer Code (Source: Phalcon)

L’analyste crypto Adi a écrit :

« Une autorisation inadéquate et une gestion incorrecte des callbacks ont permis à l’attaquant de contourner les protections. Cela a permis des échanges non autorisés ou des manipulations de soldes à travers des pools interconnectés, vidant les actifs en succession rapide (en quelques minutes). »

Pendant ce temps, l’architecture de coffre-fort composable de Balancer, longtemps saluée pour sa flexibilité, a amplifié les dégâts. Parce que les coffres-forts pouvaient se référencer dynamiquement les uns les autres, la distorsion s’est propagée à travers les pools interconnectés.

Fait intéressant, Conor Grogan de Coinbase a souligné que la méthode de l’attaquant suggérait un niveau de professionnalisme élevé.

Grogan a noté que l’adresse de l’attaquant avait initialement été financée avec 100 ETH provenant de Tornado Cash, ce qui implique que les fonds provenaient probablement d’exploits antérieurs.

« Les gens ne déposent généralement pas 100 ETH sur Tornado Cash pour s’amuser », a-t-il écrit, suggérant que le schéma de transaction reflétait un hacker expérimenté et déjà actif.

Effondrement de la confiance dans la DeFi

Si l’exploit était technique, son impact était psychologique.

Balancer était depuis longtemps considéré comme une plateforme conservatrice pour les fournisseurs de liquidité, un endroit où placer des actifs et gagner un rendement modeste et stable. Sa longévité, ses audits et ses intégrations sur les principales plateformes DeFi ont entretenu l’illusion que la durée de vie équivalait à la sécurité. La faille du 3 novembre a détruit ce récit du jour au lendemain.

Lefteris Karapetsas, fondateur de la plateforme crypto Rotki, a qualifié cela de « collapse de la confiance » et pas seulement d’un hack de la plateforme DeFi.

Il a déploré le fait que :

« Un protocole en ligne depuis 2020, audité et largement utilisé, puisse encore subir une perte quasi totale de TVL. C’est un signal d’alarme pour quiconque pense que la DeFi est ‘stable’. »

Cette réaction reflète le sentiment général. Sur un marché qui valorise l’auto-garde et le code vérifiable, la confiance a silencieusement remplacé la foi comme fondation cachée de la DeFi.

L’échec de Balancer a montré que même des systèmes mathématiquement solides sont vulnérables à une complexité imprévue.

Robdog, le développeur pseudonyme de Cork Protocol, a déclaré :

« Alors que les fondations [de la DeFi] deviennent de plus en plus sûres, la triste réalité est que le risque des smart contracts nous entoure. »

Implications pour la DeFi

L’exploit de Balancer est survenu à un moment délicat pour la finance décentralisée, brisant une brève période de calme. En octobre, les pertes totales dues aux hacks étaient tombées à un plus bas annuel de seulement 18 millions de dollars, selon PeckShield.

Cependant, avec un seul incident en novembre, ce chiffre a déjà dépassé les 120 millions de dollars, faisant de ce mois le troisième pire pour les failles DeFi en 2025.

Monthly DeFi Hacks Losses in 2025 (Source: DeFiLlama)

Par ailleurs, cette attaque met en lumière un paradoxe fondamental au cœur de la DeFi : la composabilité, la fonctionnalité qui permet aux protocoles de se connecter et de se construire les uns sur les autres, amplifie également le risque systémique.

Lorsqu’un protocole central comme Balancer tombe en panne, l’impact se répercute instantanément à travers les réseaux qui en dépendent.

Sur Berachain, les validateurs ont suspendu la production de blocs pour éviter la contagion. D’autres protocoles ont suivi avec des suspensions temporaires des fonctions de prêt et de bridge.

Ces réactions rapides ont limité les pertes, mais elles ont également souligné une vérité plus large : la DeFi fonctionne sans les mécanismes de coordination qui stabilisent la finance traditionnelle.

Dans cet espace, il n’y a ni régulateurs, ni banques centrales, ni garanties obligatoires. Au lieu de cela, la gestion de crise repose fortement sur la collaboration entre développeurs et auditeurs, souvent en quelques minutes, pour contenir les conséquences.

À ce sujet, Robdog a déclaré :

[C’est] un bon rappel de pourquoi nous devons développer une meilleure infrastructure de gestion des risques. »

Au-delà de la perte technique immédiate, le dommage à la confiance pourrait être plus difficile à réparer.

Chaque exploit majeur érode la confiance dans la promesse de la DeFi d’un code auto-régulé. Pour les investisseurs institutionnels envisageant une exposition à l’industrie, les échecs répétés signalent que les marchés décentralisés restent expérimentaux.

Karapetsas a noté :

« Aucun capital sérieux n’est alloué à des systèmes aussi fragiles. »

Cette perception façonne déjà la politique dans les principales économies mondiales.

Suhail Kakar, un développeur web3 de renom, a souligné une réalité inquiétante dans le sillage de l’exploit Balancer : même de multiples audits de sécurité de haut niveau ne peuvent garantir la sécurité dans la DeFi.

Comme il l’a noté, Balancer a subi plus de dix audits, avec son contrat de coffre-fort principal examiné par plusieurs sociétés indépendantes ; pourtant, le protocole a tout de même subi une faille majeure.

Le point de Kakar met en lumière un sentiment croissant dans l’industrie selon lequel « audité par X » n’est plus un gage d’infaillibilité ; cela reflète plutôt la complexité inhérente et l’imprévisibilité des systèmes décentralisés où même un code bien testé peut receler des vulnérabilités invisibles.

Balancer V2 Audits (Source: Balancer docs via Suhail Kakar)

Les autorités aux États-Unis développent des cadres qui introduiraient des réglementations sur les protocoles DeFi. Les observateurs de l’industrie s’attendent à ce que l’exploit Balancer accélère ces efforts, alors que les décideurs politiques s’efforcent de gérer le risque croissant d’une intégration continue entre la crypto et l’industrie financière traditionnelle.