DeFi subit un nouveau choc ! Plus de 116 millions de dollars volés à Balancer, les pertes continuent de s’aggraver !

Vers 15h48, heure GMT+8, la plateforme de surveillance des données on-chain a soudainement détecté : Balancer, une ancienne adresse de trésorerie du protocole DeFi, a effectué un transfert anormalement important.

Selon Etherscan, des actifs multi-chaînes, dont 6 587 WETH (environ 24,5 millions de dollars), 6 851 osETH (environ 26,9 millions de dollars) et 4 260 wstETH (environ 19,3 millions de dollars), ont été transférés vers un portefeuille externe.

Plusieurs analystes on-chain estiment qu'il s'agit probablement d'une exploitation de faille potentielle ou d'un retrait non autorisé, plutôt que d'une migration de liquidité de routine. Plusieurs fournisseurs d'analyse blockchain, dont Nansen, ont également marqué ces transactions comme suspectes.

Selon la surveillance de l'organisation de sécurité blockchain PeckShield, l'attaque se poursuit sur plusieurs réseaux, dont Ethereum.

À 16h48, heure GMT+8, l'adresse de l'attaquant (0x54B5…30d) a effectué une nouvelle transaction en appelant la fonction 0x8a4f75d6, et Lookonchain a confirmé que la perte totale dépassait déjà 116 millions de dollars.

Mikko Ohtamaa, cofondateur de Trading Strategy, a indiqué qu'une analyse préliminaire montre que la faille provient d'un défaut dans le mécanisme de vérification du smart contract. Bien que toutes les versions de Balancer ne soient pas affectées, si le fork V2 ancien présente la même faille, la perte totale pourrait encore augmenter.

La sécurité DeFi reste un défi

Ce n'est pas la première fois que Balancer rencontre des problèmes de sécurité.

• Dès 2020, le protocole avait subi une perte d'environ 500 000 dollars, car il n'avait pas pris en compte le comportement particulier des tokens avec "frais de transfert", permettant à un attaquant de manipuler les actifs du pool via un flash loan.

• En août 2023, une faille a été découverte dans le Boosted Pool de Balancer V2. Malgré une alerte officielle, une attaque a eu lieu, entraînant une perte d'environ 1 million de dollars.

• En septembre de la même année, le domaine front-end de Balancer a été victime d'un détournement DNS, et les utilisateurs ont perdu près de 240 000 dollars après avoir signé des transactions sur un site de phishing.

Aujourd'hui, cette nouvelle vague d'attaques remet une fois de plus la question de la sécurité DeFi sur le devant de la scène. De la conception des contrats à la mise en œuvre du front-end, de la logique des pools de liquidité à la gestion des actifs cross-chain, les défis de sécurité auxquels Balancer est confronté semblent ne jamais avoir été véritablement résolus.

De plus, Balancer est un protocole pivot de liquidité : s'il rencontre un problème, ce n'est pas seulement lui qui est affecté. Les LP piégés, les agrégateurs qui en dépendent, les pools d'actifs, les Vaults stratégiques... tous sont impactés.

Le monde DeFi prône "l'absence de confiance", mais face à des exploitations de failles répétées, en quoi les utilisateurs peuvent-ils réellement avoir confiance ? Après cinq ans de développement, DeFi n'est plus un jeu de niche pour geeks, mais une infrastructure financière gérant des milliards de dollars. Malheureusement, même les protocoles majeurs comme Balancer ne peuvent échapper à la fatalité des anciennes failles non résolues et des nouvelles blessures qui s'ajoutent.

Réponse de Balancer deux heures plus tard

À 17h50, heure GMT+8, soit deux heures après l'incident, Balancer a mis à jour son compte Twitter officiel : une faille potentielle affectant les pools Balancer v2 a été identifiée. Nos équipes d'ingénierie et de sécurité enquêtent en priorité, et dès que nous aurons plus d'informations, nous partagerons immédiatement les mises à jour confirmées et les prochaines étapes.

Bitpush continue de suivre l'évolution de l'incident et nous vous tiendrons informés des dernières actualités dès qu'elles seront disponibles. Restez à l'écoute.