balancer vient d'être vidé pour environ 116 millions de dollars ce n'était pas sophistiqué. c'était un bug de contrôle d'accès basique dans leur contrat de coffre-fort voici comment cela s'est produit, ce que cela révèle - et pourquoi cela devrait effrayer chaque protocole defi en vie : 1/

l'exploit a touché balancer v2 aujourd'hui sur ethereum, arbitrum, polygon, base, optimism, et plus encore over 116 millions de dollars disparus. 6 590 WETH. 6 851 osETH. 4 260 wstETH tous retirés du coffre principal à 0xBA1...BF2C8 2/

le bug était dans "manageUserBalance" - une fonction censée valider qui peut déplacer des fonds au lieu de cela, elle a confondu msg.sender avec un champ op.sender fourni par l'utilisateur les attaquants ont utilisé des opérations WITHDRAW_INTERNAL pour vider des tokens qu'ils n'ont jamais déposés 3/

qu'est-ce qui rend cela pire ? Balancer V2 utilise un seul coffre pour tout. chaque pool, chaque chaîne. touche le coffre, touche-les tous. de nombreux forks sont également à risque. 4/

c'est le troisième grand hack de Balancer en cinq ans 2021, 2023, et maintenant 2025 : plus de 116 millions de dollars et ça continue 5/

élargissons notre perspective. Balancer n'est pas une simple expérience. 750 millions de dollars de TVL. audité. En activité depuis des années. Et pourtant : une faille de contrôle d'accès basique était en production, les audits l'ont manquée, pas de validation appropriée de l'expéditeur, des fonds mélangés dans un seul coffre central. 6/

c'est le troisième grand hack de Balancer en cinq ans 2021 : millions perdus 2023 : 238K $ après avoir été averti 2025 : plus de 116M $ ce n'est pas seulement un problème de Balancer. c'est un problème d'illusion de defi "audité" =/= sûr. "testé en conditions réelles" =/= sécurisé 7/

à retenir : les bugs de contrôle d'accès de base continuent de détruire les protocoles de premier plan. si vous construisez : vérifiez chaque contrôle de permission deux fois. si vous êtes un utilisateur : "audité" signifie que quelqu'un a regardé une fois, pas que c'est à l'épreuve des balles. ce n'était pas avancé. nous sommes juste négligents. 8/

le defi peut faire mieux. mais d'abord, nous devons admettre : les bases comptent encore plus que le battage médiatique. je publierai plus au fur et à mesure que la trace onchain évolue 9/

il y a quelques rapports selon lesquels l'attaquant n'a pas seulement exploité les permissions. il a manipulé le prix du BPT par une perte de précision dans les calculs de StableSwap. - vider un token jusqu'à un bord d'arrondi - exploiter les erreurs d'arrondi pour dégonfler le prix du BPT - racheter le BPT à bas prix, profit /10

plus de détails ici sur la façon dont la manipulation des prix a été effectuée[1] j'attends toujours la réponse officielle du balancer. je mettrai à jour le fil au fur et à mesure que les choses évoluent. [1]