Close Menu
    InfoCryptofr Exploit Yearn Finance 3M$ volés via yETH
    #post_seo_title
    Actualités

    Exploit Yearn Finance : 3M$ volés via yETH

    Steven SoarezDe Aucun commentaire6 Mins de Lecture

    Imaginez : vous vous couchez tranquille un dimanche soir, convaincu que vos ETH stakés dans Yearn Finance sont en sécurité… et vous vous réveillez avec 3 millions de dollars qui ont disparu dans le mixeur Tornado Cash. C’est exactement ce qui vient d’arriver à la communauté Yearn le 30 novembre 2025.

    Un exploit aussi brutal que sophistiqué a frappé un ancien contrat yETH, permettant à l’attaquant de minter une quantité astronomique de tokens et de vider les pools de liquidité Balancer en quelques minutes. Retour sur l’un des hacks les plus rapides de cette fin d’année.

    Yearn Finance de nouveau victime : le cauchemar se répète

    Yearn Finance n’en est malheureusement pas à son premier incident. Le protocole pionnier du yield farming traîne depuis 2020 une réputation contrastée : génie technique d’un côté, série d’exploits de l’autre. 2021 avait déjà vu le célèbre exploit yDAI (11 millions $), 2023 une erreur de trésorerie… et voilà 2025 qui s’ouvre sur un nouveau chapitre douloureux.

    Cette fois, la cible n’était pas les vaults principaux V3, mais un produit plus ancien et moins surveillé : le token yETH et son pool stableswap sur Balancer.

    Comment l’attaque s’est déroulée minute par minute

    Tout commence dans la nuit du 30 novembre vers 23h UTC. Un adresse inconnue déploie plusieurs contrats « helpers » qui ne vivront que quelques minutes.

    À 23h12 précises, l’attaquant déclenche la faille : une fonction de mint mal protégée dans l’ancien contrat yETH. Résultat ? Une seule transaction mint 235 482 794 567 123 456 yETH… soit plus de 235 trillions de tokens. Autant dire l’infini pour un pool qui n’en contenait que quelques millions.

    Avec cette masse colossale, l’exploitant swap instantanément contre tous les actifs réels du pool Balancer : ETH, rETH (Rocket Pool), stETH (Lido), cbETH (Coinbase), etc. En moins de cinq minutes, le pool passe de 11 millions $ de liquidité à pratiquement zéro.

    « Nous enquêtons sur un incident concernant le pool stableswap yETH LST. Les vaults Yearn (V2 et V3) ne sont PAS affectés. »

    – Compte officiel @yearnfi, 30 novembre 2025

    Tornado Cash entre immédiatement en scène

    Dès la fin du drain, l’adresse de l’attaquant commence à fractionner les fonds. En moins de deux heures, plus de 1 000 ETH (environ 2,8 millions $ au cours actuel) transitent par Tornado Cash en lots de 100 ETH – la méthode classique pour brouiller les pistes.

    L’analyste on-chain Togbe a été le premier à sonner l’alarme en direct sur X :

    « Des mouvements suspects de 100 ETH vers Tornado Cash en lien direct avec Yearn, Rocket Pool, Balancer… ça sent l’exploit massif. »

    – Togbe, 30 novembre 2025

    À l’heure où j’écris ces lignes, l’attaquant détient encore plusieurs millions en LST (liquid staking tokens) dans différents wallets, pour une valeur estimée entre 4 et 6 millions $ supplémentaires.

    Pourquoi cet ancien contrat yETH était-il encore vulnérable ?

    La réponse est simple et cruelle : héritage technique. Le contrat yETH exploité date de 2021-2022, époque où Yearn expérimentait différents designs de tokens représentant du ETH staké. Contrairement aux vaults V3 ultra-audités et immutables, ces vieux contrats n’avaient pas bénéficié des mêmes standards de sécurité modernes.

    Le bug précis ? Une fonction de mint accessible sans restriction suffisante, combinée à l’absence de plafond d’émission. Un classique que l’on croyait éradiqué… mais qui dormait tranquillement dans un coin.

    Les failles similaires déjà vues dans le passé

    • 2020 – Cream Finance : mint infini sur le token CREAM
    • 2021 – yDAI Yearn : reentrancy sur ancien vault
    • 2022 – Rari Capital/Fuse : mint arbitraire
    • 2025 – yETH Yearn : retour du mint infini

    Les vaults Yearn sont-ils vraiment safe ?

    Oui… et non. Yearn a tenu à répéter que ses vaults V2 et surtout V3 – qui représentent plus de 900 millions $ de TVL – n’ont absolument pas été touchés. Les protocoles construits dessus (Katana, Sommelier, etc.) non plus.

    Mais cet incident rappelle une vérité dure en DeFi : même les projets les plus respectés gardent parfois des squelettes dans le placard sous forme de vieux contrats oubliés. Un pool de 11 millions $, même petit à l’échelle Yearn, reste une cible juteuse.

    Quel impact sur le token YFI et la confiance ?

    Le token YFI a immédiatement réagi : chute de près de 5 % dans les heures qui ont suivi, passant sous les 4 000 $. Il se négocie actuellement autour de 3 999 $ avec un volume 24h en hausse de 150 %, signe que le marché digère mal la nouvelle.

    Mais le vrai dommage est immatériel : la confiance. Yearn reste l’un des noms les plus respectés de la DeFi, mais chaque incident ravive le souvenir des hacks passés et ralentit l’arrivée de nouveaux capitaux institutionnels.

    Yearn peut-il récupérer les fonds ?

    Peu probable. Une partie est déjà mixée via Tornado Cash, rendant toute récupération légale quasi impossible. Yearn dispose d’un bug bounty allant jusqu’à 200 000 $ pour les découvertes critiques, mais l’attaquant n’a évidemment pas signalé la faille avant de l’exploiter.

    Certains espèrent encore un « white hat » qui rendrait les fonds restants, comme cela arrive parfois… mais le rythme des transferts vers Tornado Cash laisse peu d’espoir.

    Leçons à tirer pour toute la DeFi

    Cet exploit, bien que limité, envoie un signal fort à tout l’écosystème :

    • Audit ne veut pas dire « sécurisé à vie » – les vieux contrats doivent être surveillés ou désactivés
    • Les fonctions de mint doivent toujours avoir des plafonds ou des accès stricts
    • Les pools de liquidité isolés restent des cibles faciles même avec peu de TVL
    • Tornado Cash reste l’outil privilégié des attaquants malgré les sanctions

    Des projets comme Lido ou Rocket Pool, dont les tokens étaient dans le pool, ont immédiatement vérifié leurs propres contrats. Aucun problème signalé pour l’instant.

    Et maintenant ?

    Yearn a promis un rapport post-mortem complet dans les prochains jours. On peut s’attendre à :

    • Migration ou fermeture définitive des vieux produits yETH
    • Renforcement des audits sur les contrats legacy
    • Peut-être une proposition de compensation via la trésorerie YFI (peu probable vu les précédents)

    En attendant, la communauté DeFi retient son souffle. Car si même Yearn, avec ses années d’expérience et ses centaines d’audits, peut encore se faire avoir sur un vieux contrat… qui est vraiment à l’abri ?

    Une chose est sûre : 2025 commence fort. Trop fort.

    Partager

    Passionné et dévoué, je navigue sans relâche à travers les nouvelles frontières de la blockchain et des cryptomonnaies. Pour explorer les opportunités de partenariat, contactez-nous.

    D'autres Articles

    Ajouter un Commentaire
    Laisser une réponse