Exploit Balancer : 8M$ Remboursés aux LP Après le Hack

Imaginez-vous réveiller un matin et découvrir que plus de 128 millions de dollars se sont volatilisés de vos pools de liquidité en l’espace de quelques minutes. C’est exactement ce qui est arrivé le 3 novembre 2025 à des milliers d’utilisateurs de Balancer. Aujourd’hui, un espoir renaît : le protocole s’apprête à redistribuer 8 millions de dollars de fonds récupérés. Une opération complexe, pleine de détails techniques et de décisions cruciales pour l’avenir de la DeFi.

Un exploit qui a secoué tout l’écosystème DeFi

Le 3 novembre restera gravé dans les mémoires comme l’un des jours les plus noirs de l’année 2025 pour la finance décentralisée. En quelques transactions seulement, un attaquant a réussi à vider des dizaines de pools Balancer V2 sur Ethereum et plusieurs layer-2. Le montant total ? Plus de 128 millions de dollars. Un chiffre qui donne le vertige.

Le vecteur d’attaque ? Une faille de précision dans l’invariant des pools V2. En manipulant subtilement les balances de tokens, l’attaquant a créé une boucle d’arbitrage infiniment rentable. Le résultat : des pools vidés à la vitesse de l’éclair, avant même que quiconque ne puisse réagir.

Mais dans la DeFi, la communauté a appris à répondre vite. Très vite.

La riposte immédiate des white hats et des équipes internes

Dès les premières alertes, une course contre la montre s’est engagée. Des white hats anonymes ont commencé à drainer les pools vulnérables… mais pour les mettre en sécurité, pas pour les voler. En parallèle, les équipes de Balancer et leurs partenaires (notamment Certora) ont gelé ce qu’il était possible de geler.

Résultat concret : environ 8 millions de dollars ont été sauvés directement par ces interventions héroïques. À cela s’ajoutent 19,7 millions en osETH et osGNO récupérés séparément par StakeWise. Au total, près de 28 millions de dollars ont échappé à l’attaquant ou aux mixers dans lesquels il tentait de disparaître.

C’est sur ces 8 millions que porte essentiellement la proposition de remboursement déposée le 27 novembre sur le forum de gouvernance.

Comment va fonctionner le remboursement ?

Le plan est à la fois précis et équitable. Voici les grandes lignes :

• Les white hats qui ont récupéré des fonds toucheront 10 % de bounty sur les actifs qu’ils ont sauvés, payés dans les mêmes tokens.
• Ces récompenses passent par le Safe Harbor Agreement : KYC complet, vérification sanctions OFAC, etc. Tout est déjà validé pour les intervenants connus.
• Les fonds récupérés en interne (via Certora notamment) retournent directement dans les pools concernés, sans bounty.
• Les fournisseurs de liquidité seront remboursés pro-rata selon leur part de BPT au moment du snapshot (juste avant les premières transactions malveillantes).
• Distribution non socialisée : chaque pool récupère uniquement ses propres actifs sauvés.
• Les remboursements se font in-kind : vous recevez exactement les tokens qui ont été sauvés dans votre pool.

Une interface de claim sera mise en place. Les utilisateurs devront accepter les conditions de Balancer pour recevoir leurs fonds. Tout ce qui ne sera pas réclamé dans le délai sera soumis à un nouveau vote de gouvernance.

Pourquoi seulement 8 millions sur 128 ?

C’est la question que tout le monde se pose. La réponse est brutale : la majorité des fonds volés ont transité par des mixers très efficaces. Une fois dans Tornado Cash ou ses successeurs, les traçages deviennent quasi impossibles, même pour les meilleurs analystes on-chain.

Les 8 millions représentent donc ce qui a pu être intercepté avant le mélange. C’est peu par rapport au total, mais c’est énorme par rapport à ce qu’on voit habituellement dans ce genre d’attaques. Pour vous donner une idée : dans beaucoup d’exploits, le taux de récupération tourne autour de… 0 %.

Ajoutez à cela les 19,7 millions gérés séparément par StakeWise, et on arrive à un taux de récupération global d’environ 22 %. Dans le monde impitoyable des hacks DeFi, c’est presque un miracle.

« Ce n’est pas la fin idéale, mais c’est une démonstration exceptionnelle de résilience communautaire. »

Un membre anonyme du Discord Balancer, le soir du 3 novembre

Les leçons techniques d’un exploit sophistiqué

Derrière le drame, il y a une attaque d’une rare élégance technique. L’assaillant a exploité une perte de précision dans les calculs d’invariant quand certains tokens à faible décimale étaient présents dans des pools complexes. Le bug existait depuis longtemps, mais il nécessitait une configuration très précise pour être exploitable.

En pratique, l’attaque fonctionnait comme ceci :

1. Dépôt d’une quantité minuscule d’un token précis pour déséquilibrer les calculs de précision.
2. Swap répété qui profite d’une lecture erronée de l’invariant.
3. Retrait massif avant que le pool ne se rééquilibre.
4. Répétition sur des dizaines de pools en parallèle.

Le tout en moins de dix minutes. Une démonstration glaçante de ce que peut faire un attaquant bien préparé avec une bonne compréhension mathématique des smart contracts.

L’impact sur le token BAL et la confiance des utilisateurs

Depuis l’exploit, le token BAL a perdu environ 60 % de sa valeur. Un choc violent, mais finalement dans la moyenne de ce qui arrive après ce genre d’événement. Ce qui est plus intéressant, c’est la réaction de la communauté.

Contrairement à certains protocoles qui se sont effondrés après des hacks similaires, Balancer conserve une base d’utilisateurs et de développeurs particulièrement solide. La transparence de la communication et la rapidité de réaction ont joué un rôle déterminant.

Le fait de proposer un plan de remboursement clair moins d’un mois après l’attaque envoie un signal fort : le protocole assume ses responsabilités et travaille activement à limiter les dégâts.

Et maintenant ? Les prochaines étapes

La proposition est actuellement en phase de discussion sur le forum de gouvernance. Si tout se passe bien, le vote on-chain devrait intervenir dans les prochains jours. Ensuite :

• Déploiement du contrat de distribution.
• Ouverture de l’interface de claim.
• Distribution effective des fonds (probablement début 2026).
• Nouveau vote pour les fonds non réclamés.

En parallèle, Balancer continue l’audit complet de tout le code V2 et accélère la migration vers des versions plus sécurisées de ses pools.

Ce que cela nous dit sur l’état de la DeFi en 2025

Cet exploit arrive dans une année où les hacks DeFi ont franchi un nouveau pallier en termes de sophistication. Les attaquants ne sont plus seulement des opportunistes : ce sont des équipes structurées, parfois avec des financements conséquents, capables de repérer des bugs théoriques dans des codes audités plusieurs fois.

Mais en face, la réponse communautaire n’a jamais été aussi rapide et coordonnée. Les white hats disposent d’outils de plus en plus performants, les équipes de protocole réagissent en quelques minutes, et les mécanismes de gouvernance permettent des décisions rapides.

En quelque sorte, la DeFi est en train de passer à l’âge adulte. Les drames existent toujours, mais la capacité de résilience s’améliore à chaque incident.

Le cas Balancer en est la preuve parfaite : même après un hack à neuf chiffres, le protocole est toujours debout, rembourse ce qu’il peut, et prépare l’avenir.

Une histoire finalement plus optimiste qu’il n’y paraît au premier abord.

La page n’est pas encore tournée, mais elle est en train de s’écrire. Et pour une fois, c’est une page qui parle de reconstruction plutôt que de simple survie.