Le hacker de Balancer a préparé son attaque pendant plus de trois mois, utilisant Tornado Cash pour brouiller les pistes et éviter la détection.

L’exploitation a visé une fonction interne de DEX Balancer, permettant un siphonnage rapide des fonds.

Ce piratage remet en cause la sécurité globale de la DeFi, même après des audits multiples et des protections avancées.

Un hacker méthodique et incroyablement patient

D’après les enquêtes sur la blockchain après le piratage en début de semaine, rien n’a été laissé au hasard. Le hacker de Balancer aurait préparé son coup depuis plus de trois mois.

Il a financé son compte d’une extrême prudence en déposant de petits montants de 0,1 ETH via Tornado Cash pour brouiller les pistes et éviter toute détection. Ces dépôts minuscules paraissaient anodins, mais ils servaient en réalité à établir un historique « propre » avant le grand jour.

Selon Conor Grogan, directeur chez Coinbase, l’attaquant détenait déjà plus de 100 ETH sur Tornado Cash avant le piratage. De quoi penser qu’il ne s’agissait pas d’un simple amateur. Certains analystes vont même plus loin : ils soupçonnent un lien avec d’autres hacks récents.

Balancer was hacked for ~$100M. Hacker seems experienced:

1. Seeded account via 100 ETH and 0.1 Tornado Cash deposits. No opsec leaks

2. Since there were no recent 100 ETH Tornado deposits, likely that exploiter had funds there from previous exploits pic.twitter.com/OQOpfKwzxv — Conor (@jconorgrogan) November 3, 2025

Et ce qui frappe le plus, c’est la minutie. L’agresseur n’a pas exploité une simple faiblesse du protocole. Il a plutôt réussi à manipuler les soldes d’actifs directement. Pour cela, il a contourné les contrôles de sécurité, un mode opératoire très audacieux. Autrement dit, il connaissait Balancer mieux que beaucoup de ses propres développeurs.

Face à l’utilisation de Tornado Cash dans des piratages, avec Oxbow, le mélangeur a même introduit une fonction dédiée. Cette dernière permet aux utilisateurs de prouver la légitimité de leurs fonds sans révéler leur identité.

Une attaque chirurgicale, menée à la seconde près

L’exploitation s’est déroulée en un éclair. En quelques minutes, plusieurs pools de liquidité ont été siphonnés, notamment ceux liés à WETH, osETH et wstETH. Les fonds ont ensuite été déplacés sur différentes chaînes, rendant le traçage presque impossible.

Selon plusieurs spécialistes en cybersécurité, l’attaque s’est appuyée sur une fonction mal protégée appelée “manageUserBalance”. En manipulant ce mécanisme, l’assaillant a pu transférer des actifs sans déclencher les alertes prévues. Une véritable opération chirurgicale.

Today, around 7:48 AM UTC, an exploit affected Balancer V2 Composable Stable Pools. Our team is working with leading security researchers to understand the issue and will share additional findings and a full post-mortem as soon as possible. Because these pools have been live… pic.twitter.com/LRLNNXogt3 — Balancer (@Balancer) November 3, 2025

Balancer, sous le choc, a rapidement réagi. L’équipe a suspendu plusieurs contrats et proposé une prime de 20 % au hacker s’il rendait les fonds. Une tentative de « négociation éthique » devenue quasiment courante dans le monde DeFi. Mais pour l’instant, silence radio du côté du pirate.

Une claque pour tout l’écosystème DeFi

Cet épisode a ébranlé la confiance de toute la communauté. Balancer avait pourtant passé plus de 10 audits indépendants, preuve que la sécurité ne garantit pas l’immunité. Et cela remet clairement sur la table une question dérangeante : peut-on vraiment sécuriser des protocoles aussi complexes ?

Au-delà des millions envolés, le hack de Balancer rappelle une vérité simple : personne n’est intouchable. La DeFi avance à toute vitesse, parfois plus vite que sa propre sécurité. Et malheureusement, les hackers, eux, ont tout le temps du monde.

Un rappel amer, tout comme celui d’exploit d’Astra Nova à 10 millions de dollars, qui a, lui aussi, mis en lumière la fragilité des projets DeFi face à des attaques toujours plus sophistiquées.

Un co-fondateur de Cyvers considère même cet exploit comme le plus sophistiqué de l’année. Ce type d’attaque rappelle d’ailleurs les opérations du célèbre groupe Lazarus.

De même, on raconte que le célèbre groupe de hackers nord-coréen, Lazarus, a pris une longue pause stratégique avant de frapper à nouveau en mars. Leur retour a été fracassant : ils auraient orchestré un piratage massif contre Bybit, s’emparant 1,4 milliard de dollars !

