Balancer, l’une des bourses les plus anciennes du secteur de la finance décentralisée (DeFi), a subi un piratage continu de contrats intelligents, avec des pertes totalisant jusqu’à présent 129 millions de dollars.
L’exploit, qui a touché les pools de liquidités v2 de la bourse sur plusieurs blockchains, aurait également affecté les projets qui avaient « forké » le code de Balancer.
Un peu plus de deux heures après le début de l’attaque, Balancer a reconnu l’incident, déclarant qu’il était « au courant d’un exploit potentiel affectant les pools Balancer v2 ».
Lancé pour la première fois à l’approche de l’été DeFi 2020, la version 2 de Balancer a ensuite étendu le modèle de « produit constant » existant des teneurs de marché automatisés (tels que Uniswap et Bancor) en introduisant des pools de liquidités multi-actifs et pondérés.
D’autres grands projets DeFi tels que Aave et Lido ont rassuré les utilisateurs : leurs pools de jetons ne sont pas affectés.
Hasu de Lido et Flashbots a fait remarquer que la version 2 de Balancer « est l’un des contrats intelligents les plus regardés et les plus fourchus depuis. C’est très effrayant. »
Selon une analyse préliminaire de l’auditeur de sécurité Blockchain Decurity, la fonction « manageUserBalance » contient un « contrôle d’accès défectueux » qui permet au pirate informatique de retirer des fonds.
Il note que, en outre, « le solde interne du coffre-fort (_internalTokenBalance) a été manipulé avant le retrait ».
Anton Bukov de 1inch soupçonne l’exploitation d’une erreur d’arrondi.
Balancer avait déjà été victime d’un piratage de 2 millions de dollars en août 2023 en raison d’une vulnérabilité de « manipulation de taux » dans ses pools boostés.
Le mois suivant, il a averti les utilisateurs d’une compromission frontale. En mars 2023, 11 millions de dollars des fonds du pool Balancer ont été drainés lors du piratage du protocole de prêt Euler.
Catastrophe inter-chaînes
L’exploit a affecté les pools Balancer sur plusieurs blockchains, avec des pertes signalées sur Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism et Polygon.
Berachain a annoncé que « les validateurs se sont coordonnés pour arrêter délibérément le réseau Berachain alors que l’équipe principale effectue un hard fork d’urgence ».
Le tableau de bord de données DeFi DeFiLlama répertorie 27 projets comme forks du code v2 de Balancer, avec une valeur totale verrouillée (TVL) combinée de 78 millions de dollars. Beets, une fourchette Balancer sur Sonic, aurait été piratée pour 3,4 millions de dollars.
Alors que les pertes augmentaient, un pari de Polymarket sur la question de savoir si la communauté crypto connaîtrait un autre piratage avec plus de 100 millions de dollars de pertes avant la fin de l’année est passé d’environ 25 % de probabilité à plus de 99 %.
L’incident est en cours et cet article sera mis à jour pour refléter tout développement majeur.
