Balancer piraté pour plus de 100 millions de dollars — Les projets dérivés également visés

La société de cybersécurité @HashDit a annoncé que Balancer, l’une des principales plateformes d’échange et protocoles de liquidité du monde décentralisé, a été victime d’un piratage de plus de 100 millions de dollars. L’attaque a également touché plusieurs projets dérivés, notamment @beets_fi (Beethoven X) et @berachain, suscitant une vive inquiétude au sein de la communauté DeFi.

🚨 HashDit BREAKING Alert@Balancer has been compromised for >$100M worth of funds now. Several forked projects like @beets_fi and @berachain have also been targeted.

Based on our scans, no notable BNBchain projects have been affected at the moment, but any forked projects… pic.twitter.com/d4RQzwImGx

— HashDit | now with Pro Extension (@HashDit) November 3, 2025

À 09 h 18 UTC, le 3 novembre 2025, l’incident a été signalé. Les outils de surveillance de HashDit ont par ailleurs identifié trois principales adresses Ethereum contenant un total de 117 461 646 dollars. Ces adresses appartiendraient à l’attaquant ou à des portefeuilles compromis.

Ampleur et détails de l’attaque

Les premières données on-chain indiquent que l’attaquant a siphonné d’importantes quantités de WETH, osETH et wstETH, des actifs régulièrement utilisés dans les pools de liquidité de Balancer V2.

0xaa76…8e3f : environ 100 millions de dollars, majoritairement en WETH (63,98 %), osETH (26,92 %) et wstETH (9 %).

Adresse 2 (0x827…80f4) : 13,5 millions de dollars, répartis entre ETH, osETH et wstETH.

Adresse 3 (0x0453…941c) : environ 3,7 millions de dollars, incluant principalement un jeton non identifié, probablement un stablecoin.

L’attaque a visé les contrats intelligents V2 de Balancer, qui gèrent les pools de liquidité en ETH staké. Les experts estiment que l’exploitation provient d’un bug logique dans le code du smart contract, permettant à l’attaquant de manipuler les soldes des pools. Des vulnérabilités open source héritées du code partagé ont également touché les versions dérivées de Balancer, notamment Beats.fi (Fantom) et Berachain.

Antécédents et historique

Ce n’est pas la première fois que Balancer subit une violation de sécurité :

2020 : perte d’environ 500 000 dollars due à l’exploitation d’un jeton déflationniste.
2023 : environ 900 000 dollars perdus à cause d’une vulnérabilité accrue dans un pool.

Cependant, ce piratage est de loin le plus important, et l’un des plus massifs de l’année dans le secteur DeFi.

Selon les données publiées par CoinDesk, le jeton BAL a immédiatement réagi à la nouvelle, chutant de 5 % quelques heures après l’annonce.

Les projets dérivés passent en alerte rouge

Plusieurs projets dérivés ont mis leurs systèmes hors ligne après l’avertissement de HashDit. Beets.fi a confirmé sur Discord que ses pools faisaient l’objet d’un audit. Berachain a suspendu temporairement son activité de minage de liquidité pour mener des vérifications. Aucun projet de la BNB Chain n’a été affecté, mais les équipes utilisant le code de Balancer ont été invitées à procéder à des audits d’urgence.

L’équipe de Balancer n’avait pas encore publié de communiqué officiel à 14 h 53 IST (09 h 23 UTC).
Les analystes on-chain surveillent activement les portefeuilles liés à l’attaquant afin de tracer les fonds. Des échanges centralisés pourraient geler les actifs associés s’ils apparaissent sur leurs plateformes.

Même si le mois d’octobre a enregistré une baisse de 85 % des piratages dans l’écosystème crypto, cet incident rappelle que les menaces demeurent sérieuses, en particulier pour les protocoles de liquidité complexes.