Imaginez : vous vous couchez tranquille, votre argent dort sagement dans un vault Yearn Finance censé être parmi les plus solides de la DeFi. Et le lendemain matin, 9 millions de dollars se sont évaporés en une seule transaction. C’est exactement ce qui est arrivé le 30 novembre 2025 aux utilisateurs du pool legacy yETH.
Mais l’histoire ne s’arrête pas à la catastrophe habituelle « hack → fonds perdus → on pleure ». Moins de 48 heures plus tard, Yearn annonce avoir récupéré 2,4 millions de dollars. Et surtout, sans négocier avec l’attaquant, sans white-hat bounty, sans attendre une décision de justice. Comment ont-ils fait ? C’est ce que nous allons décortiquer ensemble.
Exploit yETH : quand une ligne de code oubliée coûte 9 millions
Pour bien comprendre la violence du choc, il faut revenir quelques jours en arrière. Le 30 novembre à 21h11 UTC précises, un attaquant a exploité une faille arithmétique dans l’ancien pool yETH de Yearn Finance. Ce pool n’utilisait pas la version standard de Curve, mais un contrat custom écrit il y a plusieurs années.
En une seule transaction, l’attaquant a réussi à mint une quantité astronomique de yETH, puis à vider les réserves : environ 8 millions dans le pool stableswap principal et 900 000 dollars supplémentaires dans le pool yETH-WETH. Le tout en quelques secondes.
« Une erreur subtile d’arrondi dans le calcul des parts a permis de créer des yETH quasiment gratuitement. »
Un ingénieur proche du dossier, sous couvert d’anonymat
Le prix du token YFI a immédiatement plongé de plus de 30 %. Les réseaux sociaux s’enflammaient, les comparaisons avec The DAO ou Parity Wallet refaisaient surface. Pourtant, cette fois, la réponse allait être différente.
La réaction immédiate : war room et transparence totale
Dès la détection de l’attaque, les équipes Yearn, SEAL 911 et ChainSecurity ont lancé une war room. Pas de silence radio, pas de « on enquête ». Dès le lendemain matin, un thread Twitter ultra-détaillé expliquait la situation et les premières pistes de récupération.
Pourquoi cette transparence ? Parce que Yearn sait que la confiance est la seule vraie collateralisation en DeFi. Un silence aurait été fatal.
Chronologie des 12 premières heures :
- 21h11 : transaction d’exploit
- 21h30 : alerte automatique + pause des dépôts
- 22h00 : war room lancée
- 00h30 : identification des wallets attaquants
- 06h00 : premier thread public
La traque des fonds : Tornado Cash n’a pas tout emporté
L’attaquant a été rapide : une partie des fonds (environ 3 millions en ETH) a filé directement vers Tornado Cash. Ces fonds-là sont, pour l’instant, irrécupérables. Mais le reste ? L’attaquant avait encore des positions ouvertes en pxETH (le token de Plume Network) et d’autres LST.
C’est là que l’histoire devient intéressante. Ces tokens n’étaient pas encore mixés. Ils étaient toujours dans les wallets de l’attaquant, visibles par tout le monde.
Yearn a donc contacté les équipes de Plume et Dinero (ex-Redstone) qui contrôlent les smart contracts derrière pxETH. Et là, miracle de la composabilité DeFi : ces protocoles ont la capacité technique de neutraliser des positions spécifiques.
857 pxETH récupérés sans négociation : le coup de génie
Le 1er décembre en fin de journée, Yearn annonce la nouvelle : grâce à la coordination avec Plume et Dinero, 857,49 pxETH (soit environ 2,39 millions de dollars) ont été récupérés. Comment ? Les équipes ont tout simplement fermé les positions de l’attaquant et redirigé les fonds vers Yearn.
Pas de négociation à 10 % comme on le voit habituellement. Pas de white-hat qui rend les fonds contre une prime. Juste une coopération entre protocoles qui a permis de reprendre ce qui avait été volé.
« Avec l’aide des équipes Plume et Dinero, une récupération coordonnée de 857,49 pxETH (2,39M$) a été réalisée. Les efforts continuent. »
Yearn Finance – 1er décembre 2025
Cette opération est historique à plus d’un titre : c’est la première fois qu’on voit une récupération aussi massive sans passer par un négociateur ou une juridiction.
Ce qui reste à récupérer et les prochaines étapes
Sur les 9 millions volés :
- 2,4 millions déjà récupérés et qui seront redistribués
- 3 millions passés par Tornado Cash → très probablement perdus
- 3,6 millions encore en attente (autres LST, positions ouvertes)
Yearn a annoncé que les efforts continuent et que d’autres récupérations sont possibles tant que les fonds n’ont pas été mixés.
Les utilisateurs impactés peuvent déjà se signaler sur le Discord officiel. La redistribution se fera sans attendre un éventuel procès ou une négociation longue.
Les leçons pour toute la DeFi
Cet incident, bien que douloureux, apporte plusieurs enseignements cruciaux :
- Les vieux contrats custom sont des bombes à retardement
- La composabilité peut aussi servir à récupérer des fonds
- La coopération inter-protocoles change la donne
- La transparence immédiate sauve la confiance
On retiendra surtout que la DeFi mûrit. Là où il y a cinq ans on aurait tout perdu en silence, aujourd’hui des équipes coordonnent en temps réel pour limiter les dégâts.
Le post-mortem complet est en cours avec ChainSecurity. Il sera publié dès que possible. En attendant, Yearn passe en revue tous ses anciens contrats pour éviter qu’une telle faille ne se reproduise.
Et maintenant ?
Le token YFI a repris plus de 20 % depuis l’annonce de la récupération. Les vaults V2 et V3 (qui représentent plus de 600 millions de TVL) n’ont jamais été menacés. La vie continue.
Cet épisode montre que même quand tout semble perdu, la DeFi a désormais les outils et la maturité pour réagir. Ce n’est plus le Far West. C’est une industrie qui apprend, corrige, et protège ses utilisateurs.
Et quelque part, c’est plutôt rassurant.
