Hack de Balancer : plus de 100 millions de dollars dérobés lors d’une attaque contre la plateforme DeFi

La bourse crypto décentralisée Balancer a été victime d’un piratage d’ampleur, au cours duquel plus de 100 millions de dollars d’actifs numériques ont été dérobés. L’attaque cible spécifiquement des composants plus anciens de la plateforme et a secoué la communauté crypto.

Seule la V2 de Balancer touchée

Selon une déclaration de Balancer sur X, l’attaque s’est limitée aux V2 Composable Stable Pools. Les versions plus récentes, telles que Balancer V3, n’auraient pas été affectées. Balancer souligne que la plateforme a été auditée à plusieurs reprises par des sociétés de sécurité reconnues et qu’un programme de bug bounty est en place depuis longtemps. Malgré cela, un attaquant est parvenu à siphonner des millions en crypto.

Les audits DeFi remis en question

L’attaque a relancé le débat sur la fiabilité des audits dans le secteur DeFi.

« Balancer a fait réaliser plus d’une dizaine d’audits », déclare Suhail Kakar, responsable des relations avec les développeurs chez TAC blockchain. « Pourtant, 110 millions de dollars ont été volés. Le secteur doit accepter que “audité par X” ne signifie pas que tout est sûr. Le code est complexe, la DeFi l’est encore plus. »

D’après les données publiées sur GitHub, les smart contracts de Balancer ont été examinés onze fois par quatre sociétés de sécurité différentes : OpenZeppelin, Trail of Bits, Certora et ABDK. Le dernier audit remonte à septembre 2022. OpenZeppelin comme Trail of Bits n’ont pas encore souhaité commenter le fond du dossier.

Des centaines de millions en jetons se sont volatilisés

Les données de la blockchain montrent que, pendant l’attaque, plus de 116 millions de dollars de tokens Ethereum stakés ont été transférés vers un nouveau wallet. Parmi eux : StakeWise Staked ETH (OSETH), Wrapped Ether (WETH) et Lido wstETH (wSTETH). Le cabinet d’analyse Nansen soupçonne que l’attaque a pu être rendue possible par une faille dans le contrôle d’accès des smart contracts, permettant à l’attaquant d’exécuter des transactions sans autorisation.

Balancer propose une prime au hacker

Pour tenter de limiter les dégâts, Balancer a offert à l’attaquant une prime “white hat” de 20 %. Le hacker doit restituer l’intégralité des fonds sous 48 heures pour y prétendre. À défaut, Balancer affirme collaborer avec des spécialistes de l’analyse forensique sur la blockchain et des services d’enquête internationaux.

Incertitudes sur la suite

À ce stade, Balancer n’a pas communiqué de nouvelles informations sur l’enquête ni sur l’état de la prime. L’attaque souligne la vulnérabilité des projets DeFi, même lorsqu’ils ont été largement audités.

Le piratage de Balancer figure parmi les plus gros incidents de la DeFi ces derniers mois et accentue la pression sur les développeurs pour renforcer la sécurité des smart contracts.