Le pool yETH de Yearn Finance exploité : $3 millions d'ETH blanchis via Tornado Cash

Le protocole de yield-farming Yearn Finance a confirmé une exploitation de son produit yETH le 30 novembre 2025, où un attaquant a minté une offre illimitée de jetons yETH et a drainé environ $3 million d'actifs des pools de liquidité connectés. Les fonds volés, d'une valeur d'environ 1 000 ETH, ont ensuite été blanchis par le biais du mixeur de confidentialité Tornado Cash, selon l'analyse off-chain.

Détails de l'incident

L'attaque a ciblé une ancienne implementation du pool de stableswap yETH sur Balancer, permettant à l'exploitant de générer un nombre quasi infini de jetons yETH en une seule transaction. Cela a permis à l'attaquant de retirer des actifs réels, y compris de l'ETH et des dérivés de staking liquide populaires, laissant un trou d'environ $2,8 millions dans le pool. Yearn Finance a signalé l'incident sur X, déclarant : “Nous enquêtons sur un incident impliquant le pool de stableswap yETH LST. Les Vaults Yearn ( tant V2 que V3) ne sont pas affectés.”

Les explorateurs de blockchain montrent que l'exploitation impliquait des contrats intelligents nouvellement déployés qui se sont auto-détruits après exécution, obscurcissant la piste. L'attaquant a ensuite fragmenté les 1 000 ETH en plus petits lots et les a acheminés via Tornado Cash, un protocole sanctionné connu pour obscurcir les historiques de transaction.

Réponse et portée de Yearn

Yearn a souligné que la vulnérabilité était isolée à un contrat yETH expérimental et n'impactait pas ses Vaults V2 ou V3, qui gèrent plus de $500 millions d'actifs. Le protocole maintient un programme de récompense pour les bugs en cours avec des récompenses allant jusqu'à \200 000 $ pour des découvertes critiques, bien qu'aucun chemin de récupération immédiat n'ait été annoncé. Un rapport détaillé est à venir alors que l'équipe poursuit son enquête.

Les entreprises de sécurité suivant l'événement, y compris les auditeurs examinant les produits anciens de Yearn, ont attribué la violation à une faiblesse de minting de longue date dans la logique du token yETH plutôt qu'à un défaut de l'architecture actuelle du vault.

Contexte plus large dans la sécurité DeFi

Cette exploitation fait partie d'un mois difficile pour la DeFi, où le secteur a perdu environ $127 millions à cause de hacks, d'escroqueries et de vulnérabilités en novembre 2025, selon les données de CertiK. Cela souligne les risques persistants dans les anciennes implémentations de contrats intelligents, même pour des protocoles établis comme Yearn, et l'importance de déprécier le code hérité.

La communication transparente de Yearn et l'isolement du problème ont été salués par la communauté, empêchant une catastrophe à plus grande échelle. Cet incident rappelle aux utilisateurs de surveiller les mises à jour du protocole et d'éviter les produits expérimentaux avec des vulnérabilités non corrigées.

En résumé, l'exploitation de Yearn yETH a drainé $3 millions d'actifs, l'attaquant ayant minté des jetons illimités et blanchi des fonds via Tornado Cash. Yearn a confirmé que le problème est limité à un ancien contrat, sans impact sur les coffres principaux, et enquête davantage tout en maintenant son programme de prime aux bugs.