Un faisceau d’indices on-chain pointe vers un siphonnage massif de pools Balancer. Des jetons stakés en ETH ont quitté des coffres vers une adresse toute neuve, laissant derrière eux un marché groggy.
Par Emmanuel Roux
Dernière mise à jour
4 mins de lecture
Les transferts incriminés portent sur des actifs très spécifiques : de l’osETH, du WETH et du wstETH, autrement dit des représentations d’ETH qui servent de briques dans les stratégies de rendement.
La séquence est classique du point de vue forensique : agrégation rapide, centralisation sur un portefeuille créé pour l’occasion, puis immobilisation en attente d’opportunité.
À ce stade, deux hypothèses dominent les discussions techniques. Soit un vecteur logique au niveau d’un pool ou d’un routeur a permis de drainer des soldes sans contrepartie réelle.
#PeckShieldAlert @balancer has been drained ~$70.8M worth of cryptos, including 6,851.12 $osETH (~$27M), 6,587.44 $WETH (~$24.5M) & 4,259.84 $wstETH (19.3M) https://t.co/mcmlPnJDaM pic.twitter.com/j3KJXV7pd3
— PeckShieldAlert (@PeckShieldAlert) November 3, 2025
Soit un enchaînement d’appels a exploité un décalage de prix entre le jeton représentatif et son sous-jacent, en jouant sur l’ordre des opérations.
Dans les deux cas, l’idée n’est pas de casser une clé privée, mais de pousser un contrat à faire exactement ce qu’il a été programmé à faire dans un contexte anormal.
C’est toute la différence entre un hack au sens commun et un exploit au sens DeFi.
Dès qu’un protocole accepte des dérivés de staking, il hérite d’une arithmétique plus subtile qu’un simple swap. Les ratios évoluent avec le temps, les « rate providers » doivent refléter un rendement, les wrappers ne s’actualisent pas tous au même rythme.
Ajoutez à cela des oracles qui ne lisent pas tous la même chose au même moment, des conversions internes qui s’empilent, et vous avez un système qui fonctionne très bien tant que chaque maillon reste synchronisé. Le jour où un maillon prend une demi-seconde de retard, la fenêtre s’ouvre.
Le résultat reste le même : les soldes des pools se vident pendant que la logique pense encore équilibrer des parts.
Une fuite de 70 M$ n’est pas qu’une ligne de ledger. C’est un signal qui reconfigure les priorités des fournisseurs de liquidité.
Quand des LP voient des flux anormaux, ils retirent, même si leur pool n’est pas directement touché. La profondeur se réduit, les spreads s’élargissent, l’arbitrage devient plus coûteux.
Dans ce vide, les acteurs MEV guettent la moindre tentative de « panic exit » pour intercaler des transactions et capturer de la valeur supplémentaire. Les agrégateurs réagissent en dépriorisant certaines routes, ce qui crée parfois l’illusion que rien ne marche alors qu’ils évitent juste des chemins risqués.
Absolutely insane — the total stolen funds from the Balancer exploit have now surged to $116.6M. 💀https://t.co/mZSf2EK7K5 pic.twitter.com/yZIC6H9NB3
— Lookonchain (@lookonchain) November 3, 2025
Côté prix, l’impact sur les sous-jacents reste souvent limité à court terme, mais la confiance se dégrade plus vite que la capitalisation. On le sait maintenant : la DeFi ne se remet pas d’un gros incident par un simple communiqué.
La première règle, c’est l’abstinence ciblée. Si vous utilisez des pools Balancer liés à des dérivés d’ETH, évitez toute interaction tant que l’origine exacte n’est pas décortiquée.
Inutile d’empirer un état incohérent avec une transaction supplémentaire. La deuxième, c’est l’hygiène : vérifiez vos approvals sur les contrats concernés et révoquez ceux qui ne sont plus nécessaires.
On oublie souvent que des autorisations trop larges transforment un incident ponctuel en perte définitive. La troisième règle, c’est la patience intelligente.
Les équipes sérieuses publient un timeline précis, expliquent la faille en termes compréhensibles, et livrent un patch vérifiable. Un protocole qui se contente de dire « incident clos » sans expliquer le chemin d’exécution n’a pas réparé la confiance. Enfin, gardez un œil sur les routes de sortie.
Cela ne rend pas l’argent, mais cela complique la vie de l’attaquant et augmente les chances d’une négociation de type whitehat quand la pression devient trop forte.
Le fond du sujet dépasse Balancer. La DeFi a choisi l’élégance de la composabilité pour gagner en efficacité, au prix d’un empilement d’hypothèses techniques.
Les utilisateurs, eux, n’achètent pas des promesses. Ils achètent des garanties lisibles dans le code et des réflexes de transparence quand ça déraille.
Si cette affaire débouche sur un rapport détaillé, des tests unitaires publics et des garde-fous copiés par d’autres, l’écosystème sortira paradoxalement plus robuste. Dans le cas contraire, on aura juste ajouté 70 M$ de plus à la facture pédagogique de la finance programmable.
À lire aussi :
Issu de la finance traditionnelle, j’ai naturellement basculé vers l’univers crypto, attiré par son potentiel. Je souhaite y apporter mon approche analytique et rationnelle, tout en conservant ma curiosité. En dehors de l’écran, je lis beaucoup (économie, essais, un peu de science-fiction) et je prends plaisir à bricoler. Le DIY, pour moi, c’est comme la crypto : comprendre, tester, construire soi-même.