Yearn Finance, cette bête aguerrie de la jungle DeFi, vient de se faire frapper à nouveau.
La victime ? yETH, un produit sophistiqué de Yearn qui regroupe divers Ethereum stakés dans un seul et même package élégant.
Imaginez un panier de fruits cosmiques soudainement pillé par un bandit crypto dans l’ombre.
1 000 ETH envolés vers Tornado Cash
Le casse ? Environ 9 millions de dollars ont disparu du pool stableswap yETH et de son acolyte, le plus petit pool yETH-WETH sur Curve.
Le hacker a agi en professionnel, exploitant une combinaison énigmatique d’un soi-disant « bug numérique de bas niveau » et d’un « problème de gestion d’invariant de haut niveau » (oui, c’est du vrai jargon d’expert crypto pour dire « on a merdé »).
En ce dimanche qui aurait dû être tranquille, quelqu’un a minté une quantité infinie de tokens yETH, les a échangés contre de vrais ETH et des tokens de staking, puis s’est éclipsé avec le butin et environ 1 000 ETH transférés vers Tornado Cash, la version DeFi de la bombe fumigène.
À 21:11 UTC le 30 novembre, un incident a eu lieu impliquant le pool stableswap yETH, entraînant la création d’une grande quantité de yETH. Le contrat affecté est une version personnalisée du code stableswap populaire, sans lien avec les autres produits Yearn. Les vaults Yearn V2/V3 ne sont pas en danger.
— yearn (@yearnfi) 1 décembre 2025
Des smart contracts qui s’autodétruisent
La réaction de Yearn a été rapide et presque héroïque. En collaboration avec Plume et Dinero, ils ont récupéré 857,49 pxETH, soit environ 2,4 millions de dollars, sauvant une partie du butin de l’abîme.
Le processus était délicat, décrit dans le rapport du soir de Yearn comme étant d’une « complexité élevée », rivalisant avec l’audace tristement célèbre du récent hack de Balancer.
Comment le malfaiteur a-t-il réussi ce coup ? L’astuce impliquait une catégorie ingénieuse de smart contracts qui s’autodétruisent après avoir accompli leur sale besogne, effaçant toute trace de leur bytecode mais laissant des miettes sur la blockchain pour les analystes avertis.
Ces contrats ont minté de faux tokens yETH, vidé les pools, puis ont disparu comme des navires fantômes dans la nuit numérique.
Même les protocoles vétérans portant des milliards ne sont pas invincibles
La déclaration officielle de Yearn ? Le problème est isolé, seul le code personnalisé de yETH a été touché.
Au moment de la rédaction, les Vaults Yearn détiennent encore 570 millions de dollars, intacts après cette escapade. Mais il faut dire que ce n’est pas la première mésaventure de Yearn.
Ils ont été impliqués dans des exploits depuis 2021, y compris une perte de 11 millions de dollars lors du hack du vault yDAI et une attaque sur un ancien contrat yUSDT en 2023.
Tel un cowboy endurci, Yearn continue de se faire tirer dessus mais refuse de quitter la scène.
Pour les passionnés de DeFi, cet épisode sonne comme une alarme retentissante : même les protocoles vétérans portant des milliards ne sont pas invincibles.
L’exploit yETH mélange les bizarreries des smart contracts et des hackers ingénieux, illustrant l’équilibre précaire qu’est la sécurité de la finance décentralisée.
Cryptocurrency et expert Web3, fondateur de Kriptoworld
LinkedIn | X (Twitter) | Plus d’articles
Fort de plusieurs années d’expérience dans la couverture de l’écosystème blockchain, András propose des analyses pointues sur la DeFi, la tokenisation, les altcoins et les régulations crypto qui façonnent l’économie numérique.
