Auteur : ChandlerZ, Foresight News
Le monde de la DeFi est à nouveau au cœur de la tempête.
Plusieurs projets basés sur l’architecture Balancer V2 ont subi, le 3 novembre, une attaque soigneusement orchestrée, avec des pertes cumulées dépassant 120 millions de dollars. Cet incident a touché non seulement le réseau principal Ethereum, mais aussi Arbitrum, Sonic, Berachain et d’autres blockchains, devenant ainsi, après les affaires Euler Finance et Curve Finance, un nouvel événement de sécurité qui secoue toute l’industrie.
Selon l’analyse préliminaire de BlockSec, il s’agit d’une « attaque de manipulation de prix à haute complexité », dont le cœur réside dans la distorsion par l’attaquant de la logique de calcul du prix du BPT (Balancer Pool Token), exploitant les erreurs d’arrondi dans l’invariant pour créer une distorsion des prix et réaliser des arbitrages répétés lors d’un échange en lot.
À titre d’exemple, pour la transaction d’attaque sur Arbitrum, l’attaque se déroule en trois étapes :
-
L’attaquant échange d’abord des BPT contre des actifs de base, ajustant précisément le solde de cbETH à la limite d’arrondi (environ 9 unités), créant ainsi les conditions pour une perte de précision ultérieure ;
-
Ensuite, il effectue un échange d’une quantité spécifique (=8) entre un autre actif de base, wstETH et cbETH. Lors de la mise à l’échelle, un arrondi à la baisse se produit, ce qui réduit légèrement le Δx calculé, sous-estime le Δy, diminue l’invariant D du pool stable, et fait ainsi baisser le prix théorique du BPT ;
-
Enfin, l’attaquant échange les actifs de base à nouveau contre des BPT, réalisant un profit d’arbitrage sur le prix artificiellement abaissé.
En résumé, il s’agit d’une attaque de précision fondée sur les limites des mathématiques et du code.
Balancer a confirmé officiellement que les V2 Composable Stable Pools ont été victimes d’une faille. L’équipe collabore actuellement avec des chercheurs en sécurité de premier plan pour enquêter et s’est engagée à partager rapidement un rapport d’analyse complet. Tous les pools affectés pouvant être suspendus ont été gelés en urgence et sont passés en mode récupération. Cette faille n’affecte que les V2 Composable Stable Pools, et non Balancer V3 ou d’autres types de pools.
Après la révélation de la faille Balancer V2, les projets forkés de Balancer ont tous connu de fortes turbulences. Selon les données de DeFiLlama, au 4 novembre, la valeur totale verrouillée (TVL) des projets concernés n’était plus que d’environ 49,34 millions de dollars, en baisse de 22,88 % en une seule journée. Parmi eux, BEX, DEX natif de Berachain, a vu sa TVL chuter de 26,4 % à 40,27 millions de dollars, représentant toujours 81,6 % de l’écosystème, mais en raison de l’arrêt de la chaîne et du gel de la liquidité, les sorties de capitaux se poursuivent. Un autre projet touché, Beets DEX, a connu une chute encore plus dramatique, avec une TVL en baisse de 75,85 % en 24 heures et une perte cumulée de près de 79 % sur les 7 derniers jours.
En plus des protocoles mentionnés ci-dessus, d’autres DEX basés sur l’architecture Balancer ont également connu des retraits paniqués. PHUX a chuté de 26,8 % en une journée, Jellyverse de 15,5 %, et Gaming DEX s’est effondré de 89,3 %, la liquidité ayant été presque entièrement vidée. Même les projets de taille moyenne ou petite non directement touchés, tels que KLEX Finance, Value Liquid, Sobal, etc., ont généralement enregistré des sorties de fonds de 5 % à 20 %.
La réaction en chaîne commence, Berachain procède à un hard fork d’urgence
Cette faille issue de Balancer V2 a rapidement déclenché une réaction en chaîne de plus grande ampleur.
Berachain, une blockchain émergente construite sur Cosmos SDK, a également été attaquée en quelques heures, car BEX utilisait la même architecture de contrat que Balancer V2. Dès la détection de l’anomalie, la fondation a rapidement annoncé « l’arrêt complet de la chaîne ».
Il est rapporté que les pools de liquidité de BEX, tels que USDe Tripool, ont été menacés, avec environ 12 millions de dollars d’actifs affectés. Les attaquants ont exploité la même faille logique que sur Balancer, détournant des fonds via de multiples interactions de contrats intelligents. Comme certains actifs n’étaient pas des tokens natifs, l’équipe a dû recourir à un hard fork pour revenir en arrière sur certains blocs afin de restaurer et de tracer les fonds.
En parallèle, plusieurs protocoles de l’écosystème Berachain, dont Ethena, Relay, HONEY, etc., ont également pris des mesures de défense :
-
Interdiction du transfert cross-chain de USDe ;
-
Suspension des dépôts sur les marchés de prêts ;
-
Arrêt de la frappe et du rachat de HONEY ;
-
Notification aux exchanges centralisés pour blacklister les adresses suspectes.
La fondation Berachain a déclaré que cette suspension du réseau était planifiée et que le réseau reprendra bientôt son fonctionnement normal. La faille Balancer a principalement affecté les pools Ethena/Honey via des transactions de contrats intelligents relativement complexes. Puisque la faille a touché des actifs non natifs (pas seulement BERA), le processus de rollback/rollforward n’est pas un simple hard fork, d’où la suspension du réseau en attendant une solution complète.
Le 4 novembre, la fondation Berachain a indiqué que le binaire du hard fork avait été distribué et que certains validateurs avaient déjà effectué la mise à jour. Avant de remettre la chaîne en ligne et de générer de nouveaux blocs, elle souhaite s’assurer que les partenaires d’infrastructure essentiels (comme les oracles de liquidation) ont mis à jour leur RPC, ces derniers étant le principal obstacle à la reprise du fonctionnement de la chaîne. Une fois les requêtes RPC des services principaux terminées, l’équipe coordonnera la reprise des services avec les bridges cross-chain, les CEX et les institutions de garde.
En même temps, un opérateur de bot MEV sur Berachain a contacté la fondation après la suspension de la chaîne, se présentant comme un « white hat » ayant extrait des fonds, et a envoyé un message on-chain. Il a déclaré être prêt à pré-signer une série de transactions pour restituer les fonds après la remise en ligne de la blockchain.
Sécurité ou décentralisation ?
« Nous savons que c’est controversé, mais lorsque 12 millions de dollars d’actifs utilisateurs sont menacés, protéger les utilisateurs est le seul choix possible. » C’est ce qu’a déclaré Smokey The Bera, cofondateur de Berachain, face aux interrogations de la communauté sur la « centralisation ».
Dans sa déclaration, il reconnaît que Berachain n’a pas encore atteint le niveau de décentralisation d’Ethereum, le mécanisme de coordination entre validateurs ressemblant davantage à un « état-major de crise » qu’à un réseau de consensus automatisé. En réalité, les nœuds de la chaîne se sont arrêtés en moins d’une heure après la découverte de la faille, démontrant l’efficacité de la prise de décision centralisée, mais révélant aussi le degré de centralisation de la gouvernance.
La communauté s’est immédiatement divisée.
Les partisans estiment que cette décision reflète la responsabilité de l’équipe envers la sécurité des utilisateurs, incarnant une « décentralisation réaliste » ; les opposants accusent cette démarche de trahir le principe « Code is Law », une violation flagrante de l’irréversibilité on-chain.
Le détective on-chain ZachXBT a commenté : « Lorsque les fonds des utilisateurs sont en danger, c’est une décision difficile mais correcte. »
Mais certains développeurs radicaux n’ont pas mâché leurs mots : « Si une blockchain peut être mise en pause à tout moment par intervention humaine, en quoi diffère-t-elle du système financier traditionnel ? »
L’ombre de l’affaire DAO ressurgit
Cette crise a rappelé à de nombreux professionnels l’affaire du hack du DAO Ethereum en 2016. À l’époque, pour récupérer 50 millions de dollars volés, Ethereum avait décidé de revenir en arrière via un hard fork, ce qui avait divisé la communauté entre Ethereum (ETH) et Ethereum Classic (ETC).
Neuf ans plus tard, un choix similaire se présente à nouveau.
La différence, c’est que cette fois, le protagoniste est une blockchain encore en phase de développement, sans un niveau de décentralisation suffisant ni la masse critique d’un consensus mondial.
L’intervention humaine de Berachain a certes empêché des pertes plus importantes, mais relance le débat philosophique sur la capacité réelle de la blockchain à s’auto-gouverner.
En un sens, c’est aussi le miroir de l’écosystème DeFi : sécurité, efficacité, décentralisation — l’équilibre entre ces trois éléments n’a jamais vraiment été atteint.
Lorsque des hackers peuvent détruire des dizaines de millions de dollars en quelques secondes, « l’idéal » doit souvent céder la place à la « réalité ».
Balancer a indiqué officiellement que l’équipe travaille avec des chercheurs en sécurité de premier plan, prévoit de publier un rapport d’analyse complet, et rappelle aux utilisateurs de se méfier des messages frauduleux de faux membres de l’équipe de sécurité.
Du côté de Berachain, on prévoit une reprise progressive de la production de blocs et des fonctions de transaction après la finalisation du hard fork.
Cependant, restaurer la confiance est plus difficile que corriger une faille. Pour une blockchain émergente, suspendre la chaîne est une solution d’urgence à court terme, mais peut laisser des cicatrices durables dans la communauté. Les utilisateurs remettront en question la réalité de sa décentralisation, et les développeurs s’inquiéteront de la garantie d’immutabilité.
Le monde de la DeFi est peut-être en train de redéfinir la décentralisation, non pas comme un laisser-faire absolu, mais comme la recherche d’un consensus minimal de compromis en temps de crise.
