Balancer a annoncé un plan d'indemnisation de 8 millions de dollars : le chemin du bail-in après un incident de vulnérabilité de 110 millions de dollars.

Après avoir subi une énorme attaque de faille de 110 millions de dollars, le Balancer DAO lance officiellement un plan de remboursement d'actifs de 8 millions de dollars, couvrant des actifs multichaînes tels qu'Ethereum, Polygon, Base et Arbitrum. Cet incident a entraîné une chute de la valeur totale des positions de verrouillée (TVL) du protocole, passant de 775 millions de dollars à 258 millions de dollars, le prix du jeton BAL ayant diminué d'environ 30 %. C'est le troisième incident de sécurité majeur dans l'histoire de Balancer et l'un des cinq principaux incidents de sécurité en termes de pertes dans le domaine de la Finance décentralisée en 2024, exposant la vulnérabilité continue des smart contracts des plateformes d'échange centralisées.

Analyse du cadre de compensation : sauvetage des chapeaux blancs et mécanisme de remboursement aux utilisateurs

La proposition de compensation soumise par le contributeur de Balancer DAO, Xeonus, montre que les 8 millions de dollars d'actifs récupérés seront répartis proportionnellement en fonction des données de snapshot de la position du pool au moment de la vulnérabilité. Cette proposition suit le « protocole de zone de sécurité » précédemment adopté par le protocole, précisant que la récompense pour les hackers éthiques est limitée à 1 million de dollars par événement, et que les participants doivent compléter un KYC complet et un contrôle des sanctions. Il est à noter que plusieurs sauveteurs anonymes sur le réseau Arbitrum ont choisi de renoncer à la demande de prime, démontrant l'esprit d'autodiscipline de la communauté crypto.

Les actifs de compensation couvrent plusieurs types de jetons tels que WETH, rETH, WPOL et MaticX, les utilisateurs recevront une compensation totalement conforme à la nature de leurs actifs déposés à l'origine. Le DAO développe un mécanisme de demande spécifique qui devra être approuvé par vote communautaire avant sa mise en œuvre. Sur le plan technique, ce mécanisme exigera que les utilisateurs acceptent les conditions de service mises à jour, assurant ainsi la légalité et la conformité du processus de compensation. Ce design protège à la fois les droits des utilisateurs et établit un filet de protection pour d'éventuels litiges juridiques futurs.

En plus de la distribution de 8 millions de dollars dirigée par le DAO, il y a également 19,7 millions de dollars d'actifs osETH et osGNO qui ont été récupérés avec succès par le hacker éthique StakeWise, qui seront traités par des canaux indépendants. De plus, l'équipe interne de Balancer a collaboré avec la société de sécurité Certora pour récupérer 4,1 millions de dollars, mais cela ne respecte pas les conditions d'attribution de la prime pour hackers éthiques en raison d'un accord de service préalable. Cette approche par niveaux illustre la flexibilité des organisations décentralisées dans la réponse aux crises.

Données clés pour le recouvrement des actifs dans l'incident de vulnérabilité

• Montant total des pertes : plus de 110 millions de dollars
• Montant alloué au DAO : 8 millions de dollars (représentant environ 7,3 % des pertes)
• Montant de l'aide des chapeaux blancs : 19,7 millions de dollars (StakeWise)
• Montant récupéré en interne : 4,1 millions de dollars (en collaboration avec Certora)
• Réseau de couverture : Ethereum, Polygon, Base, Arbitrum
• Jetons affectés : WETH, rETH, WPOL, MaticX, etc.

Évaluation de la profondeur de l'impact des vulnérabilités et des protocoles

La vulnérabilité du 3 novembre provient d'un défaut de contrôle d'accès du contrat intelligent de la bibliothèque de Balancer v2, permettant à l'attaquant de contourner les permissions et d'extraire illégalement une grande quantité de fonds de liquidité. Les experts en sécurité blockchain ont noté que cette vulnérabilité relève d'une erreur logique typique, et non d'une attaque cryptographique complexe, ce qui indique qu'il y a des lacunes évidentes dans l'audit de code et les tests sur le réseau de test du protocole. En tant qu'ancienne plateforme d'échange décentralisée parmi les cinq premières, cet incident de sécurité de Balancer suscite à nouveau des doutes sur la fiabilité de l'infrastructure DeFi sur le marché.

D'après les données du protocole, l'impact causé par la vulnérabilité est extrêmement grave. La valeur totale verrouillée a chuté de 66,7 % après l'incident, passant d'un sommet de 775 millions de dollars à 258 millions de dollars, de nombreux fournisseurs de liquidités choisissant de retirer leurs fonds. La performance du jeton natif BAL est également médiocre, environ 30 % de sa valeur a été évaporée, entraînant une double perte pour les détenteurs. La réparation de cette crise de confiance prendra du temps, d'autant plus que c'est déjà le troisième incident de sécurité majeur dans l'histoire de Balancer.

L'analyse comparative montre que la résilience de Balancer sera mise à l'épreuve. En se référant à la trajectoire de récupération de Curve après des vulnérabilités similaires en juillet 2023, son TVL a mis 6 mois à revenir à 70 % de son niveau d'avant l'incident. Les défis auxquels Balancer est confronté sont encore plus complexes, car il doit non seulement corriger les vulnérabilités techniques, mais aussi reconstruire la confiance de la communauté et se repositionner en termes de valeur sur un marché DEX de plus en plus concurrentiel.

Historique des vulnérabilités de sécurité et évolution de la gouvernance

Les problèmes de sécurité de Balancer ne sont pas accidentels. En juin 2021, le protocole a perdu 500 000 dollars en raison d'une vulnérabilité de réentrance dans les smart contracts ; en août 2022, une attaque frontale a entraîné une perte de 238 000 dollars. Trois incidents de sécurité majeurs consécutifs forment un schéma clair : à mesure que les fonctionnalités du protocole se complexifient, la surface d'attaque s'élargit en conséquence, tandis que les mesures de sécurité n'ont pas réussi à être mises à jour en parallèle. L'accumulation de cette dette technique a finalement culminé dans cette vulnérabilité de 110 millions de dollars.

D'un point de vue de la gouvernance, le mécanisme de réponse aux problèmes de sécurité du Balancer DAO devient progressivement plus mature. Le plan d'indemnisation proposé s'inspire des expériences antérieures du protocole de sécurité, établissant un processus standard de collaboration avec des hackers éthiques. Comparé à la mise en place d'un plan d'indemnisation qui a pris trois mois après les événements de 2022, cette réponse a clairement été plus rapide, montrant la capacité d'apprentissage de la gouvernance décentralisée en matière de gestion de crise.

Cependant, l'équilibre entre l'efficacité de la gouvernance et les investissements en sécurité reste un problème non résolu. Les enregistrements de la blockchain montrent qu'avant la survenue de la vulnérabilité, la communauté avait discuté d'une proposition d'augmentation du budget de sécurité, mais celle-ci n'a finalement pas été adoptée en raison de considérations de coût. Ce phénomène de “sous-investissement en sécurité” est assez répandu dans le domaine de la Finance décentralisée, où les équipes de projet sous-estiment souvent la vitesse d'accumulation des risques systémiques tout en poursuivant l'innovation fonctionnelle et l'expansion de l'écosystème.

Avertissements et leçons de l'écosystème de sécurité DeFi

L'événement Balancer est l'un des plus grands incidents de sécurité dans le domaine de la Finance décentralisée en 2024, dont l'impact dépasse largement le cadre d'un seul protocole. Selon les statistiques des agences de sécurité, les pertes dans le domaine de la Finance décentralisée causées par des vulnérabilités ont dépassé 1,8 milliard de dollars au cours des 11 premiers mois de 2024, soit une augmentation de 27 % par rapport à la même période l'année dernière. Cette tendance montre que, bien que les technologies de sécurité continuent de progresser, les techniques des attaquants s'améliorent également, créant ainsi un rapport de compétition où chacun cherche à surpasser l'autre.

D'un point de vue des meilleures pratiques de l'industrie, la gestion multi-signatures, les mécanismes de verrouillage temporel et les programmes de récompense pour les vulnérabilités sont devenus des configurations de sécurité standard pour les protocoles de Finance décentralisée. Cependant, le cas de Balancer montre que même avec ces mesures, il est impossible d'éliminer complètement les risques. Les nouvelles solutions de sécurité comme la vérification formelle et les systèmes de surveillance continue attirent de plus en plus d'attention, mais le coût élevé de mise en œuvre rend difficile pour les protocoles de petite et moyenne taille de les supporter.

Le protocole d'assurance a joué un rôle limité mais important dans cet événement. Certains fournisseurs de liquidités affectés ont été indemnisés par des plateformes d'assurance décentralisées telles que Nexus Mutual, mais il existe encore un énorme fossé entre la couverture d'assurance et les pertes réelles. Ce phénomène de couverture insuffisante reflète que la profondeur et la liquidité du marché d'assurance DeFi restent limitées, ne pouvant pas entièrement répondre aux besoins d'indemnisation des événements de vulnérabilité à grande échelle.

Pierre de touche pour la gestion de crise et la résilience sectorielle

Le plan d'indemnisation de 8 millions de dollars de Balancer, bien qu'il ne puisse pas compenser totalement les pertes des utilisateurs, établit une nouvelle norme pour la réponse aux crises dans l'écosystème DeFi. Après avoir connu trois événements de sécurité majeurs, l'expérience d'urgence accumulée par le protocole est devenue un atout précieux pour le secteur. Avec la pression réglementaire croissante et la sensibilisation accrue des utilisateurs à la sécurité, la capacité de la sécurité à passer d'un avantage concurrentiel à un seuil de base déterminera l'espace de survie des prochains protocoles DeFi. Pour l'ensemble du domaine de la finance décentralisée, le chemin de rétablissement de Balancer n'est pas seulement une auto-rédemption pour un protocole, mais aussi un test pour savoir si DeFi peut réellement assumer la responsabilité des infrastructures financières futures.