Le 27 août 2023, les Boosted Pools de Balancer ont été exploités pour environ 2,1 millions de dollars — cinq jours après que Balancer ait publiquement divulgué la vulnérabilité et exhorté les utilisateurs à se retirer. Il s'agissait d'un incident distinct et antérieur à l'exploit Balancer v2 de novembre 2025, bien plus grand.
Ce qui s'est passé
Le 22 août 2023, Balancer a publiquement divulgué une vulnérabilité critique affectant plusieurs Boosted Pools — une réentrance en lecture seule dans la logique de prix du rate provider des pools. Balancer a atténué 95 %+ de la TVL à risque en mettant en pause les pools affectés et a exhorté les LPs des pools à risque restants à retirer immédiatement.
Toute la liquidité n'est pas sortie à temps. Le 27 août, un attaquant a exploité les pools encore à risque desquels les LPs ne s'étaient pas retirés :
- Utilisé la réentrance en lecture seule dans le calcul de taux du Boosted Pool — le même schéma structurel que dForce et EraLend plus tôt dans l'année.
- Manipulé le prix BPT (Balancer Pool Token) rapporté par le pool pendant une fenêtre de mutation intermédiaire.
- Extrait de la valeur des pools mal tarifés — environ 2,1 M$ sur les pools vulnérables restants.
Conséquences
- La divulgation-et-pause proactive de Balancer avait déjà protégé la grande majorité des fonds — la perte réalisée n'était qu'une petite fraction de la TVL totale à risque.
- Les LPs affectés restants ont absorbé les pertes ; le protocole a coordonné une atténuation partielle.
- L'incident est fréquemment cité comme un cas de « divulgation bien faite, mais les utilisateurs n'ont pas agi à temps ».
Pourquoi c'est important
L'incident Balancer d'août 2023 est un cas inhabituel et instructif parce que le protocole a presque tout fait correctement et a quand même subi une perte :
- La vulnérabilité a été trouvée et divulguée de manière proactive (pas découverte via exploit).
- 95 %+ de la TVL à risque a été protégée en mettant en pause les pools et en avertissant les utilisateurs.
- La perte réalisée n'était qu'une petite fraction de ce qu'aurait coûté un exploit non divulgué.
Et pourtant, 2,1 M$ ont quand même été perdus — parce que tous les LPs ne se sont pas retirés des pools à risque restants à temps. Cela illustre une vérité dure sur la réponse aux incidents DeFi : même une divulgation parfaitement exécutée ne peut pas pleinement protéger les utilisateurs qui n'agissent pas dessus. Le protocole peut mettre en pause ce qu'il contrôle, mais il ne peut pas forcer les LPs à sortir des pools, et une fraction significative d'utilisateurs ne verra pas l'avertissement, ne le comprendra pas, ou n'agira pas dans la fenêtre disponible.
La cause racine technique — réentrance en lecture seule dans un rate provider de DEX/pool — est la même classe de bug qui s'est répétée chez dForce (févr. 2023), EraLend (juil. 2023), Conic Finance (juil. 2023) et Balancer (août 2023) tous dans la même année. Le schéma était bien compris à mi-2023 ; la récurrence reflète combien de protocoles avaient intégré des lectures de taux de pool écrites avant que la leçon de la réentrance en lecture seule ne soit largement intériorisée. Le résultat relativement bon de Balancer ici — versus son incident catastrophique de novembre 2025 — montre que même une équipe mature en sécurité opérant l'un des protocoles DeFi les plus audités reste exposée lorsque la surface de vulnérabilité est large et que les intégrations dépendantes sont nombreuses.
Sources & preuves on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-balancer-hack-august-2023
- [02]coinpaper.comhttps://coinpaper.com/2096/exploiter-steals-over-2-million-from-balancer-with-flashloan-attacks
- [03]rekt.newshttps://rekt.news/balancer-rekt