Yearn Finance : le vault yETH victime d’un hack majeur, près de 9 M$ envolés

Yearn Finance, vétéran de la DeFi, vient d’encaisser un nouveau coup dur. Un attaquant a exploité une faille dite d’« infinite mint » sur le vault yETH. Ce produit est adossé à des liquid staking tokens d’Ethereum, utilisés comme collatéral dans d’autres protocoles. Près de 9 millions de dollars ont été siphonnés, puis partiellement blanchis via Tornado Cash.

Yearn Finance : un exploit qui vide yETH en quelques transactions

Le vault yETH agrège différents LST comme stETH ou rETH pour les transformer en un seul jeton. Ce jeton offre une exposition diversifiée au staking d’Ethereum et sert aussi de collatéral productif.

D’abord, il faut comprendre comment cette mécanique a été détournée par l’attaquant. L’attaque démarre le 30 novembre en fin de journée, quand un contrat malveillant commence à tester les limites du vault.

La vulnérabilité vient du calcul des parts du vault yETH. L’attaquant parvient à frapper une quantité quasi illimitée de yETH sans déposer l’équivalent en collatéral. Il exploite un bug de logique dans la façon dont le contrat valorise le pool commun des dépôts. Chaque yETH frappé à partir de ce défaut lui donne une part artificiellement énorme dans la réserve globale.

Une fois ces yETH créés, le pirate passe à l’étape suivante, la plus visible. Il utilise ses jetons pour retirer les « vrais » actifs des pools reliés, notamment LST et WETH. En quelques transactions seulement, l’essentiel de la liquidité disparaît de yETH et des principales paires associées. Les estimations situent le préjudice total autour de 9 millions de dollars, dont près de 1 000 ETH déplacés rapidement .

Utilisateurs touchés, protocole sous surveillance

Les premières victimes sont les fournisseurs de liquidité qui avaient déposé leurs LST dans le vault yETH. Ils se retrouvent avec des parts qui valent beaucoup moins, car les actifs sous jacents ont disparu.

L’équipe Yearn publie ensuite très vite une alerte publique sur X . Elle confirme un incident sur yETH et parle d’un problème localisé sur du code custom, inspiré d’une logique de stableswap adaptée.

Yearn insiste sur un point central, crucial pour la perception du protocole. Les vaults V2 et V3, plus standardisés, ne sont pas touchés par la faille. Les stratégies historiques, notamment celles reliées à yCRV, continuent à fonctionner normalement malgré le choc. La valeur totale verrouillée reste élevée à l’échelle du protocole, même si la confiance des LPs est ébranlée.

Le token YFI a pris un coup après l’annnonce, même s’il résiste mieux qu’attendu. Le jeton affiche tout de même une baisse de -9,6% sur les 7 derniers jours. Les traders semblent distinguer l’infrastructure « core » de ce vault plus expérimental, perçu comme une couche additionnelle. Le message implicite reste clair, la marque Yearn tient encore, mais la patience des utilisateurs n’est pas infinie.

DeFi sous tension : les leçons du cas yETH

À ce stade, l’affaire dépasse largement le seul cas Yearn Finance. Elle met en lumière le risque des contrats sur mesure qui empilent plusieurs briques DeFi.

Même lorsqu’un protocole est ancien, audité et largement utilisé, une nouvelle couche de logique peut briser l’équilibre. La composabilité reste une force, mais aussi une zone grise dès que l’on touche aux dérivés de staking complexes.

L’historique de Yearn rappelle d’ailleurs que l’âge ne protège de rien dans la DeFi. En 2021, un hack du vault yDAI avait coûté plusieurs millions de dollars aux utilisateurs. En 2023, un incident sur un ancien contrat lié à yUSDT avait encore mis en évidence le poids des dépendances techniques. yETH devient un chapitre de plus dans cette série de rappels.

Dans les heures qui suivent, des messages on-chain se présentent comme des offres de “négociation white hat ». En réalité, il s’agit de phishing qui visent des victimes déjà sonnées par la perte de leurs dépôts. Le cas yETH condense ainsi bug de logique, blanchiment via Tornado Cash et tentatives de tromperie directe. Comme un rappel sec pour toute la DeFi.

Source : Yearn

Pour aller plus loin sur le sujet :

• WLFI de Trump : le token aurait fini entre les mains de hackers nord-coréens et russes
• Le plus grand exchange coréen frappé par un hack de 36 millions de dollars : Upbit gèle tout
• Crypto : Washington remonte 15 M$ d’USDT de la filière nord-coréenne