InfoCryptofr Piratage Yearn Finance 9M$ Volés en un Bloc
#post_seo_title
Actualités

Piratage Yearn Finance : 9M$ Volés en un Bloc

De Aucun commentaire6 Mins de Lecture

Imaginez déposer vos ETH dans un protocole réputé comme Yearn Finance, convaincu que votre argent travaille en toute sécurité… et vous réveiller avec 9 millions de dollars évaporés en une seule transaction. C’est exactement ce qui vient d’arriver le 1er décembre 2025.

Un attaquant anonyme a exploité une faille oubliée dans un ancien contrat yETH, minté des quantités quasi illimitées de tokens, vidé les pools de liquidité et transféré une partie du butin vers Tornado Cash. Retour sur l’un des hacks DeFi les plus spectaculaires de cette fin d’année.

Yearn Finance victime d’un « infinite mint » sur son vault yETH

Le produit visé s’appelle yETH. Il s’agit d’un token qui regroupe plusieurs liquid staking tokens (LST) d’Ethereum : mETH de Mantle, rsETH de Kelp, ou encore pxETH de Dinero. L’idée est simple : offrir aux utilisateurs un rendement optimisé en rééquilibrant automatiquement entre les meilleurs protocoles de staking liquide.

Malheureusement, le contrat déployé était une vieille version datant de plusieurs années, jamais mise à jour vers les vaults V3 ultra-sécurisés qui gèrent aujourd’hui la majorité de la TVL de Yearn.

Le pirate a découvert une faille critique dans la fonction de calcul des parts. En déposant une infime quantité de LST via une série d’opérations complexes (probablement un flash loan), il a pu recevoir des yETH en quantité astronomique alors que son dépôt réel était ridicule.

« C’est un classique infinite mint exploit sur un contrat déprécié. Le code était public, audité à l’époque, mais personne n’imaginait qu’il contenait encore une telle bombe à retardement. »

Banteg, core developer Yearn Finance

Chronologie précise de l’attaque (heure par heure)

  • 14h32 UTC – Première transaction suspecte détectée par PeckShield
  • 14h34 UTC – Mint de plusieurs centaines de milliers de yETH en une seule opération
  • 14h35 UTC – Retrait massif sur les pools Balancer et Curve (plus de 9 000 ETH de perte de liquidité)
  • 14h40 UTC – Premiers transferts de 100 ETH vers Tornado Cash (10 transactions successives)
  • 15h10 UTC – Yearn publie son premier communiqué officiel sur X
  • 17h00 UTC – Récupération coordonnée de 857 pxETH (2,39 M$) grâce aux équipes Plume et Dinero

Comment le pirate a-t-il pu mint des yETH à l’infini ?

La vulnérabilité se situait dans une ancienne implémentation de StableSwap utilisée uniquement par ce vault yETH. Le calcul des parts ne prenait pas correctement en compte les dons ou les pertes réalisées (profit/loss). En combinant :

  • Un don initial artificiel au contrat (via self-destruct)
  • Un flash loan massif de LST
  • Une réentrance avant que les ratios ne se rééquilibrent

…l’attaquant a pu tromper le contrat et recevoir 100 à 1000 fois plus de yETH que prévu. Une fois les yETH en poche, il les a immédiatement échangés contre les sous-jacents réels dans les pools Curve et Balancer, provoquant un drain total de la liquidité.

Perte totale estimée au 1er décembre 2025 :

  • 3,1 millions $ en ETH déjà blanchis via Tornado Cash
  • 3,5 millions $ en divers LST encore sur les adresses de l’attaquant
  • 2,4 millions $ récupérés et sécurisés par Yearn et ses partenaires
  • Total : ~9 millions de perte brute

Tornado Cash, l’éternel refuge des pirates DeFi

Malgré les sanctions américaines de 2022 et l’arrestation de plusieurs de ses développeurs, Tornado Cash reste le mixeur préféré des hackers. Le protocole utilise des zero-knowledge proofs (zk-SNARK) pour casser le lien on-chain entre adresse d’entrée et sortie.

Le pirate a envoyé ses 1 000 ETH en 10 lots de 100 ETH exactement – la taille maximale autorisée sans déclencher trop d’alertes. À l’heure actuelle, seuls 3 ETH ont été retirés du mixeur vers une nouvelle adresse, le reste dort encore dans les pools.

Cette utilisation récurrente pose toujours la même question philosophique : doit-on tenir pour responsables les créateurs d’un outil open-source neutre ? La justice américaine a répondu oui. La communauté crypto, majoritairement non.

Yearn Finance était-il négligent ?

La réponse est nuancée. Le vault yETH représentait moins de 0,5 % de la TVL totale de Yearn. Il était clairement marqué comme « deprecated » depuis 2023 et redirigeait vers les nouvelles stratégies V3.

Cependant, le contrat contenait encore plusieurs millions de dollars de liquidité fournie par des utilisateurs qui n’avaient jamais migré. Yearn avait publié plusieurs annonces, mais une partie de la communauté accuse le protocole de ne pas avoir forcé la migration ou désactivé totalement l’ancien vault.

« Laisser 9 millions dormir dans un contrat obsolète pendant 2 ans, c’est une faute. Un bouton “emergency withdraw” ou une migration forcée aurait évité ça. »

Utilisateur anonyme sur le governance forum Yearn

Les précédents hacks de Yearn Finance

Ce n’est hélas pas la première fois :

  • Février 2021 – Hack du vault yDAI : 11 millions $ perdus (remboursés intégralement par la trésorerie)
  • 2023 – Perte de 1,4 million $ dans la trésorerie à cause d’un script Arbitrum défaillant
  • 2024 – Plusieurs petits exploits sur des stratégies partenaires
  • Décembre 2025 – Exploit yETH : 9 millions $

Ces incidents répétés fragilisent la réputation d’un des piliers historiques de la DeFi.

Conséquences immédiates sur le marché

Le token YFI a chuté de 8 % dans l’heure qui a suivi l’annonce, avant de se reprendre partiellement. Les LST impliqués (pxETH, rsETH…) ont subi des décotes temporaires sur leurs pools Curve.

Plus globalement, cet hack relance le débat sur la sécurité des protocoles « zombie » : ces vieux contrats abandonnés mais toujours actifs qui représentent des centaines de millions de dollars de valeur dormante dans la DeFi.

Leçons à retenir pour les utilisateurs DeFi

  • Vérifiez toujours si le vault que vous utilisez est encore maintenu officiellement
  • Préférez les stratégies V3 de Yearn ou les nouveaux produits clairement mis en avant
  • Migrez vos fonds dès qu’un protocole annonce une dépréciation
  • Utilisez des outils comme DeFiLlama ou Yearn Watch pour suivre l’état des vaults
  • Ne laissez jamais des sommes importantes dans des contrats anciens, même audités

La DeFi reste un Far West technologique. Les rendements élevés ont un prix : une vigilance de tous les instants.

Yearn Finance a promis un post-mortem complet dans les prochains jours et s’est engagé à rembourser les victimes avec sa trésorerie si les fonds restants ne peuvent être récupérés. Affaire à suivre.

En attendant, une chose est sûre : ce hack du 1er décembre 2025 restera dans les annales comme un rappel brutal que dans la DeFi, le temps ne pardonne pas les contrats oubliés.

Partager

Passionné et dévoué, je navigue sans relâche à travers les nouvelles frontières de la blockchain et des cryptomonnaies. Pour explorer les opportunités de partenariat, contactez-nous.

D'autres Articles

Laisser une réponse

Exit mobile version