Cryptonews Actualités Blockchain

Yearn Finance : le vault yETH victime d’un hack majeur, près de 9 M$ envolés

Auteur

Julien Leroy

Auteur

Julien Leroy Verified

Part of the Team Since

Feb 2024

À propos de l'auteur

Passionné par l’univers des crypto-monnaies et des technologies blockchain, Julien est un journaliste indépendant qui explore les tendances émergentes de la finance décentralisée (DeFi), des...

Has Also Written

Ethereum 2026 : Pourquoi les ZK-Rollups vont massacrer la concurrence et rendre les frais de gaz obsolètes
Pourquoi BMIC est-elle la meilleure prévente crypto à acheter maintenant ? Domination du méta-cloud par l'IA et le quantique
Alerte altcoin à acheter : la prévente BMIC ($BMIC) adopte une architecture sans clé publique, inaccessible aux menaces quantiques
Pourquoi l'architecture de couche 3 de LiquidChain est importante pour les utilisateurs de Bitcoin et de Solana : Prévente crypto en cours
Cette nouvelle cryptomonnaie X400 pourrait devenir le Bitcoin des tokens IA

Voir le profil de l'auteur

Dernière Mise à Jour:

Décembre 2, 2025

Yearn Finance, vétéran de la DeFi, vient d’encaisser un nouveau coup dur. Un attaquant a exploité une faille dite d’« infinite mint » sur le vault yETH. Ce produit est adossé à des liquid staking tokens d’Ethereum, utilisés comme collatéral dans d’autres protocoles. Près de 9 millions de dollars ont été siphonnés, puis partiellement blanchis via Tornado Cash.

Yearn Finance : un exploit qui vide yETH en quelques transactions

Le vault yETH agrège différents LST comme stETH ou rETH pour les transformer en un seul jeton. Ce jeton offre une exposition diversifiée au staking d’Ethereum et sert aussi de collatéral productif.

D’abord, il faut comprendre comment cette mécanique a été détournée par l’attaquant. L’attaque démarre le 30 novembre en fin de journée, quand un contrat malveillant commence à tester les limites du vault.

La vulnérabilité vient du calcul des parts du vault yETH. L’attaquant parvient à frapper une quantité quasi illimitée de yETH sans déposer l’équivalent en collatéral. Il exploite un bug de logique dans la façon dont le contrat valorise le pool commun des dépôts. Chaque yETH frappé à partir de ce défaut lui donne une part artificiellement énorme dans la réserve globale.

Une fois ces yETH créés, le pirate passe à l’étape suivante, la plus visible. Il utilise ses jetons pour retirer les « vrais » actifs des pools reliés, notamment LST et WETH. En quelques transactions seulement, l’essentiel de la liquidité disparaît de yETH et des principales paires associées. Les estimations situent le préjudice total autour de 9 millions de dollars, dont près de 1 000 ETH déplacés rapidement.

At 21:11 UTC on Nov 30, an incident occurred involving the yETH stableswap pool that resulted in the minting of a large amount of yETH. The contract impacted is a custom version of popular stableswap code, unrelated to other Yearn products. Yearn V2/V3 vaults are not at risk.
— yearn (@yearnfi) December 1, 2025

Utilisateurs touchés, protocole sous surveillance

Les premières victimes sont les fournisseurs de liquidité qui avaient déposé leurs LST dans le vault yETH. Ils se retrouvent avec des parts qui valent beaucoup moins, car les actifs sous jacents ont disparu.

L’équipe Yearn publie ensuite très vite une alerte publique sur X. Elle confirme un incident sur yETH et parle d’un problème localisé sur du code custom, inspiré d’une logique de stableswap adaptée.

Yearn insiste sur un point central, crucial pour la perception du protocole. Les vaults V2 et V3, plus standardisés, ne sont pas touchés par la faille. Les stratégies historiques, notamment celles reliées à yCRV, continuent à fonctionner normalement malgré le choc. La valeur totale verrouillée reste élevée à l’échelle du protocole, même si la confiance des LPs est ébranlée.

Le token YFI a pris un coup après l’annnonce, même s’il résiste mieux qu’attendu. Le jeton affiche tout de même une baisse de -9,6% sur les 7 derniers jours. Les traders semblent distinguer l’infrastructure « core » de ce vault plus expérimental, perçu comme une couche additionnelle. Le message implicite reste clair, la marque Yearn tient encore, mais la patience des utilisateurs n’est pas infinie.

DeFi sous tension : les leçons du cas yETH

À ce stade, l’affaire dépasse largement le seul cas Yearn Finance. Elle met en lumière le risque des contrats sur mesure qui empilent plusieurs briques DeFi.

Même lorsqu’un protocole est ancien, audité et largement utilisé, une nouvelle couche de logique peut briser l’équilibre. La composabilité reste une force, mais aussi une zone grise dès que l’on touche aux dérivés de staking complexes.

yETH update: With the assistance of the Plume and Dinero teams, a coordinated recovery of 857.49 pxETH ($2.39m) was performed. Recovery efforts remain active and ongoing. Any assets successfully recovered will be returned to affected depositors.https://t.co/xaClNhd0C0
— yearn (@yearnfi) December 1, 2025

L’historique de Yearn rappelle d’ailleurs que l’âge ne protège de rien dans la DeFi. En 2021, un hack du vault yDAI avait coûté plusieurs millions de dollars aux utilisateurs. En 2023, un incident sur un ancien contrat lié à yUSDT avait encore mis en évidence le poids des dépendances techniques. yETH devient un chapitre de plus dans cette série de rappels.

Dans les heures qui suivent, des messages on-chain se présentent comme des offres de “négociation white hat ». En réalité, il s’agit de phishing qui visent des victimes déjà sonnées par la perte de leurs dépôts. Le cas yETH condense ainsi bug de logique, blanchiment via Tornado Cash et tentatives de tromperie directe. Comme un rappel sec pour toute la DeFi.

Source : Yearn

Pour aller plus loin sur le sujet :

Suivez-nous sur Google News