Si l’univers de la finance décentralisée (DeFi) est un terrain fertile pour l’innovation, il est également exposé à des défis considérables, dont la sécurité demeure au premier plan. Balancer est l’une des dernières victimes de ce fait. Le 27 août dernier, le DEX Balancer a subi un hack entraînant le vol de près de 900 000 $.
Cette faille, qui a frappé Balancer de plein fouet, survient seulement quelques jours après que le protocole ait publiquement admis l’existence d’une vulnérabilité affectant plusieurs de ses pools.
La faille de Balancer devient une opportunité pour les hackers
La plateforme d’échange décentralisée Balancer a confirmé durant le week-end l’exploitation de sa plateforme par des individus mal intentionnés. Une attaque réussie qui survient environ une semaine après que l’équipe ait publiquement révélé l’existence d’une vulnérabilité critique touchant certains de ses pools V2.
Malgré les tentatives de l’équipe pour minimiser les risques et les recommandations adressées aux utilisateurs afin qu’ils retirent leurs fonds, Balancer n’a pas pu mettre en pause les pools vulnérables avant que le hack ait lieu.
The attacker continues with his operation, approx $900K affected, more than $600K moved to this address
0xB23711b9D92C0f1c7b211c4E2DC69791c2df38c1 pic.twitter.com/inNqH4zel2— Meir Dolev (@Meir_Dv) August 27, 2023
L’adresse Ethereum prétendument associée à l’attaquant a été identifiée par l’expert en sécurité blockchain Meier Dolev. Selon les détails de son poste publié sur X (anciennement Twitter), cette adresse a reçu deux transferts de 636 812 $ et de 257 527 $ sous la forme du stablecoin Dai suite au piratage. Son solde actuel se porterait ainsi à plus de 893 978 $.
L’équipe de Balancer a publié une alerte sur X, précisant que malgré les mesures qu’ils ont mises en place, ils ne pouvaient pas mettre les pools affectés en pause. Ils ont fortement incité les utilisateurs à retirer leurs fonds des pools en question.
Un message sur le forum de gouvernance de Balancer indique qu’environ 4 % des fonds totaux de la plateforme étaient encore vulnérables au moment de l’alerte initiale du 22 août.
Les origines de cette vulnérabilité
Pour rappel, la DEX Balancer avait déployé son protocole sur le réseau Optimism en juin de l’année précédente, dans l’objectif d’améliorer la fonctionnalité des utilisateurs tout en réduisant les frais.
Balancer avait initialement divulgué la vulnérabilité critique touchant ses pools boostés le 22 août, incitant les utilisateurs à retirer leurs fonds des fournisseurs de liquidités (LPs) et à mettre en pause les pools afin d’atténuer les dommages potentiels.
Balancer has received a critical vulnerability report affecting a number of V2 Pools.
Emergency mitigation procedures have been executed to secure a majority of TVL, but some funds remain at risk.
Users are advised to withdraw affected LPs immediately.https://t.co/PDzX32gqeS pic.twitter.com/F1f649Wz3L
— Balancer (@Balancer) August 22, 2023
Cette vulnérabilité avait des répercussions non seulement sur Ethereum, mais aussi sur d’autres réseaux tels que Polygon, Arbitrum, Optimism, Avalanche, Gnosis, Fantom, et zkEVM.
Au moment de la découverte de cette vulnérabilité, seuls 1,4 % des actifs totaux étaient à risque, équivalant à plus de 5 millions de dollars d’exposition des actifs. Cependant, deux jours plus tard, le 24 août, au moins 2,8 millions de dollars 0,42 % de la valeur totale verrouillée, demeuraient en danger.
Les responsables de la plateforme considéraient les fonds dans les pools étiquetés “atténués” comme hors de danger. Toutefois, ils ont vivement conseillé aux utilisateurs de migrer vers des pools plus sécurisés ou de retirer leurs fonds.
En revanche, les pools identifiés comme “à risque” n’avaient reçu aucune mesure d’atténuation et les responsables ont vivement encouragé les utilisateurs exposés à ces pools à les quitter immédiatement.
Source : The Block
Sur le même sujet :
- Le DEX PancakeSwap intègre le layer 2 Linea
- Base : le DEX LeetSwap suspend le trading après avoir perdu 630 000 dollars
- L’ancien PDG de Binance.US rejoint le conseil d’administration de Hashdex