Yearn Finance : le vault yETH victime d’un hack majeur, près de 9 M$ envolés

Cryptonews2025/12/02 17:03

Par:Julien Leroy

Yearn Finance : le vault yETH victime d’un hack majeur, près de 9 M$ envolés image 0

Yearn Finance, vétéran de la DeFi, vient d’encaisser un nouveau coup dur. Un attaquant a exploité une faille dite d’« infinite mint » sur le vault yETH. Ce produit est adossé à des liquid staking tokens d’Ethereum, utilisés comme collatéral dans d’autres protocoles. Près de 9 millions de dollars ont été siphonnés, puis partiellement blanchis via Tornado Cash.

Yearn Finance : un exploit qui vide yETH en quelques transactions

Le vault yETH agrège différents LST comme stETH ou rETH pour les transformer en un seul jeton. Ce jeton offre une exposition diversifiée au staking d’Ethereum et sert aussi de collatéral productif.

D’abord, il faut comprendre comment cette mécanique a été détournée par l’attaquant. L’attaque démarre le 30 novembre en fin de journée, quand un contrat malveillant commence à tester les limites du vault.

La vulnérabilité vient du calcul des parts du vault yETH. L’attaquant parvient à frapper une quantité quasi illimitée de yETH sans déposer l’équivalent en collatéral. Il exploite un bug de logique dans la façon dont le contrat valorise le pool commun des dépôts. Chaque yETH frappé à partir de ce défaut lui donne une part artificiellement énorme dans la réserve globale.

Une fois ces yETH créés, le pirate passe à l’étape suivante, la plus visible. Il utilise ses jetons pour retirer les « vrais » actifs des pools reliés, notamment LST et WETH. En quelques transactions seulement, l’essentiel de la liquidité disparaît de yETH et des principales paires associées. Les estimations situent le préjudice total autour de 9 millions de dollars, dont près de 1 000 ETH déplacés rapidement .

At 21:11 UTC on Nov 30, an incident occurred involving the yETH stableswap pool that resulted in the minting of a large amount of yETH. The contract impacted is a custom version of popular stableswap code, unrelated to other Yearn products. Yearn V2/V3 vaults are not at risk.
— yearn (@yearnfi) December 1, 2025

Utilisateurs touchés, protocole sous surveillance

Les premières victimes sont les fournisseurs de liquidité qui avaient déposé leurs LST dans le vault yETH. Ils se retrouvent avec des parts qui valent beaucoup moins, car les actifs sous jacents ont disparu.

L’équipe Yearn publie ensuite très vite une alerte publique sur X . Elle confirme un incident sur yETH et parle d’un problème localisé sur du code custom, inspiré d’une logique de stableswap adaptée.

Yearn insiste sur un point central, crucial pour la perception du protocole. Les vaults V2 et V3, plus standardisés, ne sont pas touchés par la faille. Les stratégies historiques, notamment celles reliées à yCRV, continuent à fonctionner normalement malgré le choc. La valeur totale verrouillée reste élevée à l’échelle du protocole, même si la confiance des LPs est ébranlée.

Le token YFI a pris un coup après l’annnonce, même s’il résiste mieux qu’attendu. Le jeton affiche tout de même une baisse de -9,6% sur les 7 derniers jours. Les traders semblent distinguer l’infrastructure « core » de ce vault plus expérimental, perçu comme une couche additionnelle. Le message implicite reste clair, la marque Yearn tient encore, mais la patience des utilisateurs n’est pas infinie.

Yearn Finance : le vault yETH victime d’un hack majeur, près de 9 M$ envolés image 1

DeFi sous tension : les leçons du cas yETH

À ce stade, l’affaire dépasse largement le seul cas Yearn Finance. Elle met en lumière le risque des contrats sur mesure qui empilent plusieurs briques DeFi.

Même lorsqu’un protocole est ancien, audité et largement utilisé, une nouvelle couche de logique peut briser l’équilibre. La composabilité reste une force, mais aussi une zone grise dès que l’on touche aux dérivés de staking complexes.

yETH update: With the assistance of the Plume and Dinero teams, a coordinated recovery of 857.49 pxETH ($2.39m) was performed. Recovery efforts remain active and ongoing. Any assets successfully recovered will be returned to affected depositors. https://t.co/xaClNhd0C0
— yearn (@yearnfi) December 1, 2025

L’historique de Yearn rappelle d’ailleurs que l’âge ne protège de rien dans la DeFi. En 2021, un hack du vault yDAI avait coûté plusieurs millions de dollars aux utilisateurs. En 2023, un incident sur un ancien contrat lié à yUSDT avait encore mis en évidence le poids des dépendances techniques. yETH devient un chapitre de plus dans cette série de rappels.

Dans les heures qui suivent, des messages on-chain se présentent comme des offres de “négociation white hat ». En réalité, il s’agit de phishing qui visent des victimes déjà sonnées par la perte de leurs dépôts. Le cas yETH condense ainsi bug de logique, blanchiment via Tornado Cash et tentatives de tromperie directe. Comme un rappel sec pour toute la DeFi.

Source : Yearn

Pour aller plus loin sur le sujet :

WLFI de Trump : le token aurait fini entre les mains de hackers nord-coréens et russes
Le plus grand exchange coréen frappé par un hack de 36 millions de dollars : Upbit gèle tout
Crypto : Washington remonte 15 M$ d’USDT de la filière nord-coréenne

Avertissement : le contenu de cet article reflète uniquement le point de vue de l'auteur et ne représente en aucun cas la plateforme. Cet article n'est pas destiné à servir de référence pour prendre des décisions d'investissement.

PoolX : Bloquez vos actifs pour gagner de nouveaux tokens

Jusqu'à 12% d'APR. Gagnez plus d'airdrops en bloquant davantage.

Bloquez maintenant !