Révélation de l'attaque de 116 millions de dollars contre Balancer : identification de la vulnérabilité « fonction d'arrondi », le signal d'alarme pour la sécurité DeFi retentit à nouveau

Protocoles décentralisées Balancer confirme qu’un incident récent ayant entraîné le vol de plus de 116 millions de dollars d’actifs trouve sa cause fondamentale dans une erreur de logique d’arrondi (Rounding) dans la fonction « upscale » interne au protocole. Cette attaque a touché plusieurs réseaux, dont Ethereum, Arbitrum, Base et Polygon, causant d’importantes pertes sur des actifs tels que WETH, osETH et wstETH.

Bien que le protocole StakeWise, affecté, ait réussi à récupérer environ 19 millions de dollars d’osETH, les équipes de sécurité ont immédiatement suspendu les pools de fonds concernés et effectué un suivi des actifs sur toutes les transactions suspectes, soulignant l’urgence d’une réponse sécuritaire dans la gouvernance inter-chaînes DeFi.

Analyse approfondie de la « racine technique » de la perte de Balancer

Vol de 116 millions de dollars : du bug logique dans l’EVM à l’arbitrage multi-chaînes

L’incident survenu sur le protocole Balancer le 3 novembre 2025 illustre une catastrophe typique causée par un problème de précision dans les contrats intelligents. Selon le rapport préliminaire de l’équipe du projet, la vulnérabilité résidait dans la logique d’arrondi de la fonction « upscale » utilisée lors des échanges de tokens (Token Swaps).

Dans les pools de tokens en DeFi, la précision mathématique est cruciale. L’attaquant a exploité la manière dont le code traitait les facteurs de mise à l’échelle non entiers (Non-integer Scaling Factors), en manipulant habilement les transactions pour systématiquement déstabiliser le solde des pools, puis siphonner la liquidité sur plusieurs réseaux. La subtilité de cette attaque réside dans la capacité de l’attaquant à transférer discrètement des actifs dans les coffres du protocole (Vaults) avant de révéler la fuite massive de valeur.

Au total, la valeur des actifs volés s’élève à 116 millions de dollars, avec des pertes majeures sur 6587 WETH, 6851 osETH et 4260 wstETH. Cela indique que l’attaque ciblait principalement des tokens de staking à rendement complexe (LST), mettant en évidence le risque accru lors de l’intégration de protocoles LST avec des DEX.

Défense collaborative : comment l’écosystème répond-il à la perte de fonds ?

Suite à l’incident, l’écosystème DeFi a montré une capacité de réaction rapide.

StakeWise, l’un des protocoles les plus touchés, a rapidement agi pour récupérer près de 19 millions de dollars d’osETH, représentant environ 73,5 % de la perte totale, illustrant une réponse efficace en termes de contrôle interne et de partenariat sécuritaire.

Balancer et ses partenaires de sécurité ont mis en place plusieurs mécanismes de défense :

• Suspension (Paused) de tous les pools affectés.
• Interdiction de créer de nouveaux pools pour éviter une exploitation supplémentaire.
• Suspension des récompenses sur tous les pools identifiés comme risqués, pour geler les comportements malveillants motivés par des incitations.

Plus largement, des protocoles comme Sonic Labs ont effectué des congelations d’urgence ; Berachain a même temporairement suspendu le réseau pour empêcher le transfert de fonds par les attaquants. Cette coopération inter-protocoles et inter-réseaux, qualifiée de « quasi-arrêt » (quasi shutdown), témoigne de la maturité du domaine de la sécurité DeFi et de la réaction collective face aux risques systémiques.

Feuille de route de la récupération et leçons pour les acteurs du secteur

Suivi des actifs et rapport final : la transparence, clé pour restaurer la confiance

Actuellement, l’équipe de Balancer collabore étroitement avec des experts en sécurité pour auditer l’incident et vérifier les actifs perdus. Après validation de tous les contrats et transactions affectés, une rapport final sera publié, confirmant le montant total des pertes et l’état de la récupération des actifs.

Pour les développeurs et constructeurs DeFi, cet incident doit servir d’avertissement :

1. Vérification de la précision des fonctions : les opérations d’arrondi et la gestion des facteurs de multiplication sont des « trous noirs » dans le déploiement EVM, nécessitant une validation formelle rigoureuse pour toutes les logiques mathématiques impliquant des actifs.
2. Isolation des risques : si l’intégration profonde entre protocoles augmente l’efficacité du capital, elle peut aussi étendre l’impact d’une seule vulnérabilité à plusieurs blockchains.

Avant la finalisation du travail de restitution des actifs, il est conseillé à tous les utilisateurs d’éviter d’interagir avec les contrats affectés et de suivre attentivement les canaux officiels pour se prémunir contre d’éventuelles tentatives de phishing ou de fraude.

Conclusion

La perte massive de 116 millions de dollars sur Balancer, causée par une erreur d’arrondi, souligne une fois de plus la nécessité d’une rigueur extrême dans la vérification du code en DeFi. Si cette perte est douloureuse, la réponse rapide, la suspension des fonds et la récupération partielle démontrent que l’infrastructure DeFi devient plus résiliente face aux crises. À l’avenir, la communauté doit continuer à insister sur l’audit et la mise à niveau du code pour garantir la robustesse des logiques fondamentales des AMM, qui sont la pierre angulaire du maintien de leur position de leader sur le marché.