Yearn Finance a signalé qu’un ancien produit yETH était affecté par un exploit qui permettait à un attaquant de créer une grande quantité de faux jetons et de les échanger contre des actifs réels.
Lecture connexe
Selon les alertes en chaîne et les déclarations de protocole, l’attaquant a créé une quantité presque infinie de yETH en une seule transaction, puis a utilisé ces jetons pour extraire de l’ETH et des dérivés de jalonnement liquide à partir de pools de liquidité.
L’incident a été détecté pour la première fois le 30 novembre 2025 et l’impact total s’élèverait à environ 9 millions de dollars.
L’exploit impliquait la création d’une quantité presque infinie de jetons yETH, épuisant ainsi le pool en une seule transaction.
~1K $ETH (d’une valeur d’environ 3 millions de dollars) a été envoyé à #TornadoCashtandis que celui de l’exploiteur… pic.twitter.com/IXNygpwoWa
Comment l’exploit a fonctionné
L’attaquant aurait exploité une faille dans la logique de frappe de yETH et aurait produit des jetons de l’ordre de 235 000 milliards en une seule fois.
Ces jetons sans valeur ont ensuite été échangés contre des actifs réels des pools Balancer et Curve liés au produit, vidant ainsi les liquidités en quelques minutes. Les moniteurs de chaîne et les chercheurs en sécurité ont montré que la monnaie et les échanges ultérieurs se développaient très rapidement sur la blockchain.
À 21 h 11 UTC le 30 novembre, un incident s’est produit impliquant le pool d’échange stable yETH, qui a entraîné la création d’une grande quantité de yETH. Le contrat concerné est une version personnalisée du code stableswap populaire, sans rapport avec les autres produits Yearn. Les coffres-forts Yearn V2/V3 ne sont pas menacés.
Quels actifs ont été saisis ?
Des rapports ont révélé qu’environ 8 millions de dollars ont été retirés du principal pool d’échange stable yETH, tandis qu’environ 0,9 million de dollars ont été retirés d’un pool yETH-WETH.
De plus, environ 1 000 ETH, d’une valeur d’environ 3 millions de dollars au moment du déménagement, ont été envoyés à Tornado Cash pour tenter de brouiller les pistes. L’attaquant a converti le faux yETH en une combinaison d’ETH et de jetons de jalonnement liquide avant de tenter de blanchir des fonds.
La capitalisation boursière totale de la cryptographie s’élève actuellement à 2 920 milliards de dollars. Graphique : Impact de TradingView sur les produits de base de Yearn
Selon les responsables de Yearn et la couverture médiatique qui a suivi, la violation était limitée à une implémentation antérieure et héritée du produit yETH et n’a pas affecté les principaux coffres-forts V2 et V3 de Yearn.
Les dépôts dans le pool concerné ont été isolés tandis que l’équipe et des experts externes ont lancé une enquête. Cet isolement aurait empêché la plupart des fonds des utilisateurs dans les coffres actifs d’être touchés.
Réaction du marché et préoccupations plus larges
Lecture connexe
Yearn Finance a déclaré qu’elle travaillait avec des équipes de sécurité tierces pour effectuer une autopsie et corriger la vulnérabilité. Les équipes nommées dans la couverture comprendraient des auditeurs tiers et des enquêteurs blockchain qui suivent les fonds volés et conseillent sur les options de récupération.
L’avis de protocole a averti les utilisateurs du produit existant concerné et a exhorté à la prudence pendant que l’examen se poursuit.
Image en vedette d’Unsplash, graphique de TradingView
