De Balancer à Berachain : Quand la blockchain marque une pause

Le secteur DeFi attire de nouveau toute l'attention.

Le 3 novembre (UTC), plusieurs projets reposant sur l’architecture Balancer V2 ont été la cible d’une attaque sophistiquée, avec des pertes cumulées dépassant 120 millions de dollars. La faille a touché le réseau principal Ethereum, Arbitrum, Sonic, Berachain et d’autres chaînes, constituant l’un des incidents de sécurité les plus marquants depuis ceux d’Euler Finance et Curve Finance.

L’analyse initiale de BlockSec qualifie l’incident d’« exploitation complexe de manipulation de prix ». Les attaquants ont manipulé le calcul du prix du BPT (Balancer Pool Token), profitant d’erreurs d’arrondi dans l’invariant pour provoquer des distorsions et effectuer à plusieurs reprises des opérations d’arbitrage dans un même échange groupé.

À titre d’exemple, l’attaque sur Arbitrum s’est déroulée en trois étapes :

• L’attaquant a d’abord échangé des BPT contre l’actif sous-jacent, ajustant avec précision le solde de cbETH au seuil d’arrondi (environ 9 unités), préparant une perte de précision pour les étapes suivantes ;
• Ensuite, il a transféré un montant précis (=8 unités) entre wstETH et cbETH. L’arrondi à la baisse lors de la mise à l’échelle a réduit le Δx calculé, sous-estimant Δy et diminuant l’invariant D du pool stable, déprimant ainsi le prix théorique du BPT ;
• Enfin, l’attaquant a inversé l’opération, reconvertissant l’actif sous-jacent en BPT et réalisant des profits grâce au prix artificiellement bas.

En définitive, il s’agissait d’une attaque de précision à l’intersection des mathématiques et du code.

Balancer a confirmé l’exploitation de ses « Composable Stable Pools V2 ». L’équipe collabore avec les meilleurs experts en sécurité pour mener une enquête approfondie et s’engage à publier un post-mortem détaillé. Tous les pools concernés disposant de la fonction pause ont été gelés en urgence et les procédures de récupération ont démarré. La vulnérabilité est circonscrite aux « Composable Stable Pools V2 » et n’impacte ni Balancer V3 ni les autres catégories de pools.

Suite à l’attaque sur Balancer V2, les projets ayant adopté son architecture ont été fortement secoués. D’après DeFiLlama, au 4 novembre (UTC), la valeur totale bloquée (TVL) dans les projets liés est tombée à environ 49,34 millions de dollars, soit une baisse de 22,88 % en un jour. BEX, le DEX natif de Berachain, a vu sa TVL plonger de 26,4 % à 40,27 millions de dollars, ce qui représente toujours 81,6 % de l’écosystème. Les interruptions de chaîne et la liquidité gelée continuent pourtant d’entraîner des sorties de capitaux. Beets DEX a été encore plus affecté, sa TVL s’effondrant de 75,85 % en 24 heures et de près de 79 % sur la semaine.

D’autres plateformes DEX basées sur Balancer ont également connu des retraits massifs : PHUX a chuté de 26,8 % en une journée, Jellyverse de 15,5 % et Gaming DEX de 89,3 %, la liquidité étant presque épuisée. Même les plateformes de taille moyenne ou petite non directement touchées — telles que KLEX Finance, Value Liquid et Sobal — ont généralement subi des sorties de fonds de 5 % à 20 %.

Réaction en chaîne : Berachain procède à un hard fork d’urgence

La faille de Balancer V2 a provoqué une réaction en chaîne immédiate.

Berachain, nouvelle blockchain publique bâtie sur Cosmos SDK, a été attaquée dans la foulée, BEX utilisant aussi des contrats Balancer V2. Dès la détection d’anomalies, la fondation a annoncé l’arrêt total de la chaîne.

Des actifs présents dans le Tripool USDe de BEX et d’autres pools de liquidité ont été compromis, avec des pertes estimées à 12 millions de dollars. Les attaquants ont exploité la même faille logique que sur Balancer, multipliant les interactions de smart contracts pour détourner les fonds. Certains actifs affectés étant des tokens non natifs, l’équipe a dû effectuer un hard fork pour restaurer les blocs et faciliter le suivi et la récupération.

Plusieurs protocoles de l’écosystème Berachain — notamment Ethena, Relay et HONEY — ont également adopté des mesures défensives :

• Interdiction des transferts cross-chain USDe ;
• Suspension des dépôts sur le marché du lending ;
• Arrêt de la création et du rachat de HONEY ;
• Notification aux exchanges centralisés pour bloquer les adresses suspectes.

La fondation Berachain a précisé que la suspension du réseau était anticipée et que la reprise des opérations était imminente. L’exploit sur Balancer a principalement touché les pools Ethena/Honey via des transactions complexes de smart contracts. Comme des actifs non natifs (et pas seulement BERA) ont été impactés, la restauration des blocs a exigé plus qu’un simple hard fork, d’où la mise en pause du réseau en attendant une solution globale.

Le 4 novembre (UTC), la fondation Berachain a annoncé la distribution des binaires du hard fork et la mise à jour de certains nœuds validateurs. Avant le redémarrage et la production de nouveaux blocs, l’objectif est d’assurer que les partenaires d’infrastructure stratégiques (oracles de liquidation, par exemple) ont bien mis à jour leurs points d'accès RPC. Ce sont les principaux obstacles à la reprise de l’activité on-chain. Une fois les services RPC centraux opérationnels, l’équipe coordonnera la reprise avec les ponts inter-chaînes, les partenaires CEX et les custodians.

Un opérateur de bot MEV sur Berachain a contacté la fondation après l’arrêt de la chaîne, affirmant avoir extrait des fonds selon une démarche de chapeau blanc et envoyé un message on-chain, proposant de présigner des transactions pour restituer les fonds dès le retour du réseau.

Sécurité ou décentralisation ?

« Nous savons que c’est controversé, mais quand près de 12 millions de dollars d’actifs utilisateurs sont menacés, protéger la communauté est la seule option », a déclaré Smokey The Bera, cofondateur de Berachain, face aux inquiétudes sur la centralisation.

Il admet que Berachain n’a pas atteint le niveau de décentralisation d’Ethereum, et que la coordination des validateurs tient davantage du « centre de gestion de crise » que d’un réseau à consensus automatisé. En pratique, les nœuds ont été stoppés en moins d’une heure après l’attaque, illustrant une efficacité centralisée mais révélant une gouvernance fortement concentrée.

La communauté est profondément divisée.

Les soutiens estiment que l’équipe a démontré sa priorité envers la sécurité des utilisateurs — une forme de « décentralisation pragmatique ». Les détracteurs jugent que cela viole le principe du « Code is Law » et compromet l’irréversibilité on-chain.

L’enquêteur on-chain ZachXBT résume : « Quand les fonds des utilisateurs sont en danger immédiat, c’est une décision difficile mais justifiée. »

Certains développeurs restent critiques : « Si une blockchain peut être mise en pause à tout instant, en quoi diffère-t-elle de la finance traditionnelle ? »

Le spectre du hack DAO ressurgit

La crise rappelle aux vétérans le hack DAO d’Ethereum en 2016, lorsque la chaîne avait recouru à un hard fork pour annuler des transactions et récupérer 50 millions de dollars volés, divisant la communauté entre Ethereum (ETH) et Ethereum Classic (ETC).

Neuf ans plus tard, une problématique similaire refait surface.

Cette fois, le cas concerne une blockchain publique émergente, sans forte décentralisation ni consensus planétaire.

L’intervention de Berachain a limité les pertes, mais relance le débat sur l’autonomie réelle des blockchains.

Cet épisode est révélateur pour la DeFi : sécurité, efficacité, décentralisation — un équilibre parfait n’a jamais été trouvé.

Quand des hackers peuvent dérober des dizaines de millions en quelques secondes, le pragmatisme prend le dessus sur l’idéalisme.

L’équipe Balancer collabore avec des experts en sécurité, prévoit un post-mortem et alerte les utilisateurs contre les messages frauduleux d’imposteurs.

Après le hard fork, Berachain devrait progressivement rétablir la production de blocs ainsi que les fonctionnalités transactionnelles.

Mais retrouver la confiance des utilisateurs est nettement plus difficile que corriger le code. Pour toute nouvelle blockchain publique, un arrêt du réseau peut offrir une solution temporaire, mais entraîne des conséquences durables — les utilisateurs peuvent douter de la décentralisation, les développeurs de l’immutabilité de la chaîne.

La DeFi redéfinit peut-être la décentralisation — non plus comme un laissez-faire total, mais comme le minimum de consensus obtenu en temps de crise.

Déclaration :

1. Cet article est une republication de [Foresight News] et le copyright appartient à l’auteur original [ChandlerZ, Foresight News]. Pour toute question relative à cette republication, veuillez contacter l’équipe Gate Learn pour un traitement selon la procédure adaptée.
2. Avertissement : Les opinions exprimées dans cet article sont celles de l’auteur et ne constituent pas un conseil en investissement.
3. Les autres versions linguistiques sont traduites par l’équipe Gate Learn. Sauf mention expresse de Gate, la copie, la distribution ou le plagiat des articles traduits sont interdits.