Le 30 novembre 2025 vers environ 21:11 UTC, un attaquant a exploitĂ© une vulnĂ©rabilitĂ© dâĂ©mission de jetons dans le contrat du jeton yETH hĂ©ritĂ© de Yearn Finance. En crĂ©ant environ 235 trillions de jetons yETH dans une seule transaction, lâattaquant a pu siphonner environ 8 millions de dollars du pool stable principal et 0,9 million de dollars du pool yETH-WETH sur Curve, soit prĂšs de 9 millions de dollars de pertes. Des fonds Ă©quivalant Ă environ 1 000 ETH ont ensuite Ă©tĂ© acheminĂ©s via le mixeur Tornado Cash pour masquer les traces.
Yearn Finance a rapidement confirmĂ© lâincident, prĂ©cisant que lâexploitation nâa touchĂ© que lâimplĂ©mentation stable-swap personnalisĂ©e du yETH hĂ©ritĂ© et nâa pas compromis lâinfrastructure Vault V2 ou V3, qui, dans lâensemble, gĂšrent une valeur totale verrouillĂ©e dĂ©passant 600 millions de dollars. Lâincident reprĂ©sentait la derniĂšre brĂšche de sĂ©curitĂ© dans lâhistoire du protocole Yearn, aprĂšs des exploits en 2021 et des problĂšmes liĂ©s Ă des signatures multisignature en 2023, et soulignait les dĂ©fis permanents autour de la protection du code hĂ©ritĂ©.
Des analyses de la blockchain menĂ©es par les cabinets de sĂ©curitĂ© SEAL 911 et ChainSecurity ont indiquĂ© le dĂ©ploiement de contrats auxiliaires Ă©phĂ©mĂšres qui se dĂ©truisaient aprĂšs exĂ©cution, compliquant les enquĂȘtes forensiques. Lâattaquant a exploitĂ© ces contrats pour gonfler lâoffre de yETH et extraire des actifs rĂ©els sans dĂ©clencher les garde-fous standard relatifs Ă lâĂ©mission. Les alertes sur la chaĂźne ont immĂ©diatement signalĂ© lâanomalie, et la communautĂ© de gouvernance de Yearn a rapidement entamĂ© des discussions sur les options de restitution peu aprĂšs.
Suite Ă lâexploitation, le jeton YFI, natif du protocole, a connu une chute soudaine dâenviron 5,5 %, reflĂ©tant une perte de confiance des investisseurs et une rĂ©duction temporaire des projections de revenus du protocole. Les volumes dâĂ©changes ont bondi alors que des bots dâarbitrage et des traders rĂ©actifs capitalisaient sur les dĂ©calages de prix, accĂ©lĂ©rant davantage la volatilitĂ© sur les marchĂ©s associĂ©s Ă Yearn.
En rĂ©ponse, Yearn Finance a lancĂ© un plan de remĂ©diation Ă plusieurs volets, notamment une proposition de gouvernance visant Ă autoriser un airdrop Merkle USDC de 3,2 millions de dollars USDC Ă destination des parties prenantes affectĂ©es, la mise en Ćuvre dâun patch v1.1 pour faire respecter les limites dâĂ©mission, et le dĂ©ploiement dâoutils de surveillance en temps rĂ©el sur lâensemble des pools stable-swap. Un bug bounty de 500 000 dollars a Ă©galement Ă©tĂ© proposĂ© pour des dĂ©couvertes pertinentes, afin de renforcer la sĂ©curitĂ© du code et de restaurer la confiance des utilisateurs.
Lâexploitation a rappelĂ© les risques inhĂ©rents au maintien de contrats DeFi hĂ©ritĂ©s parallĂšlement Ă lâĂ©volution des standards du protocole. Les architectes du protocole ont insistĂ© sur des plans de dĂ©prĂ©ciation des composants hĂ©ritĂ©s au profit dâalternatives auditĂ©es et validĂ©es par la communautĂ©, tout en soulignant la rĂ©silience des coffres centraux. Les observateurs ont notĂ© que les vulnĂ©rabilitĂ©s dâĂ©mission infinie restaient un vecteur dâattaque critique dans la finance dĂ©centralisĂ©e, suscitant des appels Ă des cadres de sĂ©curitĂ© standardisĂ©s et Ă une rĂ©vision continue par des tiers.
MalgrĂ© la brĂšche, la liquiditĂ© dans les coffres V2 et V3 de Yearn est restĂ©e intacte, sans perturbations signalĂ©es sur les dĂ©pĂŽts des utilisateurs ou les opĂ©rations. Les participants du marchĂ© ont suivi de prĂšs les discussions de gouvernance et les rĂ©sultats des audits, Ă©valuant les implications potentielles Ă long terme pour la tokenomique du protocole et lâĂ©cosystĂšme DeFi au sens large. Lâincident a mis en Ă©vidence lâimportance de pratiques de sĂ©curitĂ© vigilantes et dâune rĂ©ponse rapide aux incidents pour protĂ©ger lâinfrastructure de la finance dĂ©centralisĂ©e.
Commentaires (0)