Community Trust ScoreVérifié
Le 30 novembre 2025, Yearn Finance a découvert qu’un produit ancien, le yETH, avait été ciblé par une attaque exploitant une vulnérabilité dans son système de création de tokens. L’attaquant a généré un nombre astronomique de tokens fictifs, qu’il a ensuite échangés contre des actifs réels, entraînant une perte d’environ 9 millions de dollars.
Le mécanisme de l’attaque repose sur une faille dans le code de création des yETH. L’assaillant a réussi à produire environ 235 trillions de tokens en une seule transaction. Ces tokens, bien que dépourvus de valeur intrinsèque, ont été utilisés pour vider les pools de liquidité de Balancer et Curve associés au yETH, en échangeant ces faux tokens contre des actifs réels. Cette opération a été réalisée en un temps record, ne laissant que peu de temps aux observateurs pour réagir.
La situation a été détectée grâce à des alertes sur la chaîne et des déclarations du protocole, notamment de la part de PeckShieldAlert. Environ 1 000 ETH, d’une valeur estimée à 3 millions de dollars, ont été transférés vers Tornado Cash, un service de mélange de cryptomonnaies, dans le but de brouiller les pistes de l’attaque.
Selon les rapports, la majorité des pertes provient du pool principal de yETH, avec environ 8 millions de dollars dérobés, tandis qu’un pool yETH-WETH a subi une perte supplémentaire de 0,9 million de dollars. Les fonds volés ont été convertis en ETH et en tokens de staking liquide avant d’être blanchis.
Les produits principaux de Yearn, notamment les coffres V2 et V3, n’ont pas été affectés par cette attaque, car ils fonctionnent sur des versions plus récentes du protocole. Les dépôts dans le pool compromis ont été isolés, ce qui a permis de préserver l’intégrité des autres fonds utilisateurs. Une enquête a été lancée en collaboration avec des experts en sécurité externes pour analyser et corriger la faille.
Sur le marché, la nouvelle de l’attaque a provoqué une pression à la vente, les investisseurs s’inquiétant des risques associés à l’utilisation de tokens de staking liquide combinés à un code de swap personnalisé. Yearn Finance travaille activement avec des équipes de sécurité externes pour mener une enquête approfondie et récupérer les fonds volés. Des audits externes et des enquêteurs spécialisés en blockchain sont mobilisés pour surveiller les fonds et proposer des solutions de récupération.
Cette attaque sur Yearn Finance soulève des préoccupations plus larges concernant la sécurité des produits DeFi, en particulier ceux qui reposent sur des codes personnalisés. Bien que les nouvelles versions des produits Yearn ne soient pas affectées, il est essentiel pour l’industrie de renforcer les audits de sécurité des protocoles plus anciens.
Historiquement, le secteur des cryptomonnaies a été marqué par des incidents similaires, chaque événement contribuant à sensibiliser davantage les développeurs sur l’importance cruciale de la sécurité. Dans le passé, des plateformes comme Mt. Gox ont subi des pertes colossales, ce qui a mené à des améliorations réglementaires et techniques. Le marché DeFi, bien qu’innovant, doit encore solidifier ses fondations pour assurer la confiance des utilisateurs.
Un risque persistant pour Yearn réside dans la possibilité que des utilisateurs se détournent de la plateforme, craignant pour la sécurité de leurs fonds. Cette défiance pourrait également influencer la réputation globale de la finance décentralisée, incitant à une adoption plus prudente et réglementée. Alors que l’écosystème crypto continue d’évoluer, il devient impératif d’équilibrer innovation et sécurité pour garantir la pérennité du secteur.
