Yearn Finance frappé par l'exploitation $9M après qu'un attaquant ait créé des jetons yETH illimités.

Source : ETHNews Titre original : Yearn Finance frappé par l'exploitation de $9M après qu'un attaquant a frappé des jetons yETH illimités Lien original : https://www.ethnews.com/yearn-finance-hit-by-9m-exploit-after-attacker-mints-unlimited-yeth-tokens/ Yearn Finance a subi une grave violation de sécurité après qu'un attaquant ait réussi à frapper ce qui représentait une offre illimitée de tokens yETH, exploitant une faille qui a finalement drainé environ $9 millions du protocole.

L'incident marque l'un des exploits les plus perturbateurs de Yearn ces dernières années et a immédiatement ravivé les inquiétudes concernant les risques liés aux contrats intelligents dans l'infrastructure DeFi héritée.

Une analyse préliminaire des enquêteurs on-chain montre que l'attaquant a ciblé une vulnérabilité dans l'un des anciens contrats de vault de Yearn, manipulant la comptabilité interne du système pour créer un environnement de “mint infini”.

< 21:11 UTC le 30 nov, un incident s'est produit impliquant le pool de stableswap yETH qui a entraîné la création d'une grande quantité de yETH. Le contrat concerné est une version personnalisée d'un code de stableswap populaire, sans lien avec d'autres produits Yearn. Les coffres Yearn V2/V3 ne sont pas en risque.

En générant une quantité massive de yETH synthétique à pratiquement aucun coût, l'exploitant a pu échanger les jetons contre des actifs réels et siphonner de la valeur à travers plusieurs pools de liquidités avant que les flux anormaux ne soient détectés.

L'équipe Yearn a agi rapidement pour suspendre les composants affectés et commencer une enquête interne, tandis que des chercheurs en sécurité ont travaillé à retracer le chemin des fonds volés. Bien que l'exploitation ait été contenue à un contrat hérité spécifique et n'ait pas impacté les nouveaux coffres, cet événement a relancé les discussions au sein de la communauté DeFi sur la maintenance à long terme des anciens systèmes de contrats intelligents qui détiennent encore une liquidité significative.

La réaction du marché a été immédiate, les actifs liés à Yearn ayant connu de la volatilité alors que les traders évaluaient si l'exploitation posait des risques systémiques. Les développeurs ont souligné que les fonds des utilisateurs dans des coffres actifs et à jour restent en sécurité, mais ont reconnu que la récupération des actifs volés dépendra des négociations avec l'attaquant ou de la coopération entre les échanges et des outils d'application sur la chaîne.

L'exploitation de Yearn Finance rappelle que même les protocoles DeFi établis restent vulnérables à des attaques sophistiquées si le code ancien n'est pas continuellement audité, mis à jour et progressivement éliminé. Alors que les enquêtes se poursuivent, la communauté attend maintenant un rapport détaillé qui exposera la cause fondamentale technique, les mesures de correction et le chemin du protocole vers la restauration de la confiance après la violation de $9 millions.