L’écosystème DeFi est une nouvelle fois au centre de la tempête.
Le 3 novembre (UTC), plusieurs projets basés sur Balancer V2 ont subi une attaque sophistiquée, occasionnant des pertes cumulées de plus de 120 millions de dollars. L’incident a touché non seulement le réseau principal d’Ethereum, mais aussi Arbitrum, Sonic et Berachain, illustrant une nouvelle crise majeure de sécurité pour la filière après les piratages d’Euler Finance et Curve Finance.
Selon l’analyse préliminaire de BlockSec, il s’agit d’une attaque de manipulation de prix d’une complexité élevée. L’assaillant a détourné la logique de calcul du prix du BPT (Balancer Pool Token), profitant d’erreurs d’arrondi dans l’invariant pour fausser les prix et réaliser des arbitrages répétés dans une seule opération groupée.
Sur Arbitrum, par exemple, l’attaque s’est déroulée en trois temps :
- L’attaquant a d’abord échangé des BPT contre les actifs sous-jacents, ajustant précisément le solde de cbETH au seuil d’arrondi (environ 9 unités) afin de créer les conditions propices à une perte de précision ;
- Ensuite, une quantité fixe (=8) a été échangée entre wstETH et cbETH. Au moment de la mise à l’échelle, un arrondi à la baisse a fait légèrement diminuer le Δx calculé, entraînant une sous-estimation du Δy, une réduction de l’invariant D du pool stable, et une baisse du prix théorique du BPT ;
- Enfin, l’attaquant a rééchangé les actifs sous-jacents en BPT, récoltant les profits générés par ce prix artificiellement abaissé.
En somme, l’attaque reposait sur la précision mathématique au croisement du code et des chiffres.
L’équipe officielle de Balancer a confirmé l’exploitation des Composable Stable Pools V2. Elle collabore actuellement avec les meilleurs chercheurs en sécurité, s’est engagée à publier une analyse complète de l’incident, et a gelé en urgence tous les pools affectés pouvant être suspendus. La faille ne concerne que les Composable Stable Pools V2 et n’impacte ni Balancer V3 ni les autres types de pools.
À la suite de l’incident, tous les projets ayant forké Balancer ont été gravement perturbés. Selon DeFiLlama, au 4 novembre (UTC), la valeur totale verrouillée (TVL) des projets concernés est tombée à environ 49,34 millions de dollars, soit une chute de 22,88 % en une journée. BEX, le DEX natif de Berachain, a vu sa TVL baisser de 26,4 % à 40,27 millions de dollars—soit encore 81,6 % de la TVL de l’écosystème—mais les sorties se sont poursuivies en raison des arrêts de chaîne et du gel des liquidités. Beets DEX a été encore plus durement touché, avec une TVL en chute de 75,85 % sur 24 heures et près de 79 % sur 7 jours.
D’autres DEX basés sur Balancer ont également connu des retraits massifs : PHUX a perdu 26,8 % en une journée, Jellyverse 15,5 %, et Gaming DEX 89,3 % avec une quasi-totalité de la liquidité évaporée. Même les plus petits projets non directement impactés—tels que KLEX Finance, Value Liquid et Sobal—ont enregistré des sorties typiques de 5 à 20 %.
Effet domino : Berachain lance un hard fork d’urgence
La faille de Balancer V2 a rapidement engendré des conséquences en chaîne.
Berachain, jeune blockchain publique fondée sur Cosmos SDK, a été touchée à son tour en quelques heures, son DEX natif BEX utilisant les contrats Balancer V2. La fondation a aussitôt annoncé l’arrêt complet du réseau après détection d’activités suspectes.
Le Tripool USDe de BEX et d’autres pools de liquidité ont été exposés, avec près de 12 millions de dollars à risque. L’attaquant a exploité la même faille logique que sur Balancer, siphonnant les fonds via plusieurs interactions de smart contracts. Des actifs non natifs étant impliqués, l’équipe a dû procéder à un hard fork pour revenir sur les blocs touchés et faciliter la récupération et la traçabilité.
Simultanément, plusieurs protocoles de l’écosystème Berachain—including Ethena, Relay et HONEY—ont déployé des mesures défensives :
- Blocage des transferts cross-chain d’USDe ;
- Suspension des dépôts sur le marché de prêt ;
- Arrêt de la création et du rachat de HONEY ;
- Signalement aux exchanges centralisés pour blacklister les adresses suspectes.
La Fondation Berachain précise que la suspension du réseau est volontaire et que le retour à la normale est imminent. L’exploitation a principalement visé le tripool Ethena/Honey via des interactions complexes de smart contracts. Comme des actifs non natifs étaient concernés (pas uniquement BERA), le retour en arrière/avancement s’avère plus complexe qu’un hard fork classique, d’où la prolongation de la pause jusqu’à la finalisation d’une solution globale.
Le 4 novembre (UTC), la fondation a indiqué que les binaires du hard fork avaient été distribués et que certains validateurs avaient mis à jour leur système. Avant de relancer la production de blocs et les opérations, elle souhaite s’assurer que tous les partenaires d’infrastructure essentiels (liquidation, oracles, etc.) ont mis à jour leurs RPC, étape cruciale pour la reprise du réseau. Une fois les services de base opérationnels, l’équipe se coordonnera avec bridges, CEX, dépositaires et autres parties prenantes pour rétablir l’ensemble des prestations.
Pendant ce temps, un opérateur de bot MEV sur Berachain a contacté la fondation après l’arrêt, affirmant avoir récupéré des fonds en tant que hacker éthique et transmis un message on-chain. Il se dit prêt à pré-signer les transactions nécessaires à la restitution des fonds dès la reprise de la blockchain.
Sécurité ou décentralisation ?
« Nous savons que c’est controversé, mais avec près de 12 millions de dollars d’actifs utilisateurs menacés, protéger les utilisateurs reste la seule option », a expliqué Smokey The Bera, cofondateur de Berachain, en réponse aux critiques sur la centralisation.
Il reconnaît que Berachain n’a pas atteint le degré de décentralisation d’Ethereum et que la coordination des validateurs relève davantage d’une gestion de crise que d’un consensus automatisé. En pratique, les nœuds on-chain ont été stoppés en moins d’une heure après l’attaque, illustrant l’efficacité d’une gouvernance centralisée—mais révélant aussi ses limites.
La communauté s’est immédiatement divisée.
Les partisans jugent la mesure responsable pour la sécurité des utilisateurs—une forme de « décentralisation pragmatique ». Les opposants estiment qu’elle bafoue le principe « Le code fait loi » et nuit à l’immutabilité on-chain.
L’enquêteur on-chain ZachXBT a commenté : « Avec des fonds utilisateurs en danger imminent, cette décision était difficile mais appropriée. »
Des développeurs ont répliqué : « Si une blockchain peut être arrêtée par des humains à tout moment, en quoi diffère-t-elle d’un système financier classique ? »
Le spectre de l’incident DAO ressurgit
Cette crise évoque le hack du DAO Ethereum en 2016, où le réseau avait annulé des transactions via hard fork pour récupérer 50 millions de dollars, divisant la communauté entre Ethereum (ETH) et Ethereum Classic (ETC).
Neuf ans plus tard, un dilemme similaire revient.
Cette fois, l’acteur principal est une jeune blockchain publique—sans le niveau de décentralisation ni le consensus mondial d’un réseau majeur.
L’intervention de Berachain a limité les pertes, mais ravive le débat philosophique : la blockchain peut-elle être réellement autonome ?
En somme, l’écosystème DeFi se retrouve face au même miroir : sécurité, efficacité, décentralisation—l’équilibre parfait n’a jamais été atteint.
Quand des hackers peuvent faire disparaître des dizaines de millions de dollars en quelques secondes, les « idéaux » cèdent souvent la place à la « réalité ».
L’équipe Balancer collabore avec des experts en sécurité et prévoit de publier une analyse complète, tout en mettant en garde les utilisateurs contre les tentatives de phishing de faux experts.
Berachain prévoit une reprise progressive de la production de blocs et des transactions une fois le hard fork achevé.
Mais restaurer la confiance s’avère plus difficile que corriger le code. Pour une blockchain publique émergente, l’arrêt du réseau constitue une solution d’urgence, mais peut laisser des séquelles durables. Les utilisateurs s’interrogent sur la décentralisation, les développeurs sur la promesse d’immutabilité.
Le monde DeFi semble ainsi redéfinir la décentralisation—non comme un laissez-faire absolu, mais comme une recherche de consensus minimal en situation de crise.
Déclaration :
- Ce contenu est reproduit depuis [Foresight News] et les droits d’auteur appartiennent à l’auteur original [ChandlerZ, Foresight News]. Pour tout litige concernant la reproduction, veuillez contacter l’équipe Gate Learn pour une prise en charge rapide.
- Avertissement : Les opinions exprimées dans cet article n’engagent que l’auteur et ne constituent en aucun cas un conseil en investissement.
- Les autres versions linguistiques sont traduites par l’équipe Gate Learn. Sans mention de Gate, toute copie, distribution ou plagiat des articles traduits est interdite.
