# Hack de Balancer du 03/11/2025

**Published by:** [MxFund](https://paragraph.com/@mxfund/)
**Published on:** 2025-11-10
**URL:** https://paragraph.com/@mxfund/hack-de-balancer-du-03-11-2025

## Content

Voici l'explication en français du rapport préliminaire sur l'exploit Balancer v2. L’article original en anglais est dispo ici :Balancer on X (formerly Twitter): "https://t.co/a1cyWETmhC / X"https://t.co/a1cyWETmhChttps://twitter.comOn y apprends notamment que :Malgré de nombreux audits réalisés par des boites sérieuses, une faille a pu se glisser dans le code.Après plusieurs années d’utilisation intensive, une faille peut toujours être découverte.La blockchain Sonic n’est pas décentralisée. C’est une néoBanque qui utilise la technologie blockchain comme backend mais l’équipe garde un contrôle total sur ce qui s’y passe.Exploit Balancer v2 : Rapport d'Incident Préliminaire Contexte : Le lundi 3 Novembre 2025, à 07h46 UTC, un système de surveillance (Hypernative) a détecté un exploit ciblant les Composable Stable Pools (CSP) de Balancer V2. L'attaque a touché ces pools sur 9 blockchains : Ethereum, Base, Avalanche, Gnosis, Berachain, Polygon, Sonic, Arbitrum et Optimism. Seuls les CSP V2 et leurs forks (comme BEX et Beets) étaient vulnérables ; Balancer V3 et tous les autres types de pools sont restés intacts. Cause Racine (Préliminaire)Balancer V2 permet des batch swaps (échanges groupés) avec un mécanisme de « règlement différé », similaire à un flashloan.Problème critique : Une erreur d'arrondi dans la fonction upscale lors d'échanges EXACT_OUT sur les CSP. Cette fonction arrondit vers le bas lorsque les facteurs d'échelle ne sont pas entiers (cas des pools stables intégrant des taux de change).Exploitation : Les attaquants ont combiné cette faille avec les batch swaps pour manipuler les soldes des pools, extraire de la valeur, et laisser les fonds volés dans le Vault (portefeuille interne) avant de les retirer ultérieurement.ImpactPools concernés :CSP V5 sans pause active (principalement touchés).CSP V6 protégés (mis en pause automatiquement par Hypernative).Estimations :Aucun chiffre définitif n'est disponible (vérification en cours).Des fonds ont été récupérés ou gelés (ex: 73,5% des osETH volés à StakeWise, soit ~19M$).Avertissement : Tous les montants circulant publiquement sont non officiels.Mesures d'UrgencePause immédiate :À 08h07 UTC, tous les CSP V6 ont été mis en Recovery Mode (mode récupération) sur toutes les blockchains.Désactivation de l'usine de création de nouveaux pools vulnérables.Gel des fonds :Monerium a gelé ~1,3M d'EURe dans le Vault.Gnosis a restreint les ponts sortants pour limiter la propagation inter-chaînes.Sonic Labs a gelé les adresses des attaquants sur Beets (fork Balancer sur Sonic).Récupération par des whitehats :BitFinding a récupéré ~600k$ sur Ethereum.Un bot MEV sur Base a rapporté ~150k$.Berachain a arrêté son réseau pour un hard fork d'urgence.Autres actions :Arrêt des émissions de récompenses (BAL) pour les pools affectés.Activation du SEAL Safe Harbor (cadre légal pour les interventions whitehat).Conséquences pour les Utilisateurs✅ Pools non concernés (V3, autres types de pools V2) : Opérations normales.⚠️ CSP V6 en pause : Retraits proportionnels des actifs sous-jacents autorisés via Recovery Mode.❌ CSP V5 affectés : Éviter toute interaction jusqu'à confirmation officielle.Prochaines ÉtapesFinalisation de la récupération des fonds avec les partenaires (SEAL, zeroShadow, équipes de sécurité).Publication d'un post-mortem complet avec :Explication technique détaillée.Montants validés et flux de récupération.Recommandations pour migrer vers Balancer V3.Aucune mise à jour officielle ne sera communiquée en dehors des canaux Balancer vérifiés.RemerciementsBalancer souligne la collaboration exceptionnelle avec :Les équipes de sécurité (SEAL, Hypernative, BitFinding).Les protocoles impactés (StakeWise, Berachain, Sonic).La communauté DeFi pour sa rapidité et sa solidarité.Message Clé« Bien que l'exploit soit grave, les mesures rapides ont limité les pertes. La priorité absolue reste la récupération des fonds et la protection des utilisateurs. »Note : Ce rapport est préliminaire. Les chiffres définitifs et les détails techniques complets seront publiés après vérification multi-parties.

## Publication Information

- [MxFund](https://paragraph.com/@mxfund/): Publication homepage
- [All Posts](https://paragraph.com/@mxfund/): More posts from this publication
- [RSS Feed](https://api.paragraph.com/blogs/rss/@mxfund): Subscribe to updates