Le protocole de yield-farming Yearn Finance a confirmé une exploitation de son produit yETH le 30 novembre 2025, où un attaquant a minté une offre illimitée de jetons yETH et a drainé environ $3 million d'actifs des pools de liquidité connectés. Les fonds volés, d'une valeur d'environ 1 000 ETH, ont ensuite été blanchis par le biais du mixeur de confidentialité Tornado Cash, selon l'analyse off-chain.
Détails de l'incident
L'attaque a ciblé une ancienne implementation du pool de stableswap yETH sur Balancer, permettant à l'exploitant de générer un nombre quasi infini de jetons yETH en une seule transaction. Cela a permis à l'attaquant de retirer des actifs réels, y compris de l'ETH et des dérivés de staking liquide populaires, laissant un trou d'environ $2,8 millions dans le pool. Yearn Finance a signalé l'incident sur X, déclarant : “Nous enquêtons sur un incident impliquant le pool de stableswap yETH LST. Les Vaults Yearn ( tant V2 que V3) ne sont pas affectés.”
Les explorateurs de blockchain montrent que l'exploitation impliquait des contrats intelligents nouvellement déployés qui se sont auto-détruits après exécution, obscurcissant la piste. L'attaquant a ensuite fragmenté les 1 000 ETH en plus petits lots et les a acheminés via Tornado Cash, un protocole sanctionné connu pour obscurcir les historiques de transaction.
Réponse et portée de Yearn
Yearn a souligné que la vulnérabilité était isolée à un contrat yETH expérimental et n'impactait pas ses Vaults V2 ou V3, qui gèrent plus de $500 millions d'actifs. Le protocole maintient un programme de récompense pour les bugs en cours avec des récompenses allant jusqu'à \200 000 $ pour des découvertes critiques, bien qu'aucun chemin de récupération immédiat n'ait été annoncé. Un rapport détaillé est à venir alors que l'équipe poursuit son enquête.
Les entreprises de sécurité suivant l'événement, y compris les auditeurs examinant les produits anciens de Yearn, ont attribué la violation à une faiblesse de minting de longue date dans la logique du token yETH plutôt qu'à un défaut de l'architecture actuelle du vault.
Contexte plus large dans la sécurité DeFi
Cette exploitation fait partie d'un mois difficile pour la DeFi, où le secteur a perdu environ $127 millions à cause de hacks, d'escroqueries et de vulnérabilités en novembre 2025, selon les données de CertiK. Cela souligne les risques persistants dans les anciennes implémentations de contrats intelligents, même pour des protocoles établis comme Yearn, et l'importance de déprécier le code hérité.
La communication transparente de Yearn et l'isolement du problème ont été salués par la communauté, empêchant une catastrophe à plus grande échelle. Cet incident rappelle aux utilisateurs de surveiller les mises à jour du protocole et d'éviter les produits expérimentaux avec des vulnérabilités non corrigées.
En résumé, l'exploitation de Yearn yETH a drainé $3 millions d'actifs, l'attaquant ayant minté des jetons illimités et blanchi des fonds via Tornado Cash. Yearn a confirmé que le problème est limité à un ancien contrat, sans impact sur les coffres principaux, et enquête davantage tout en maintenant son programme de prime aux bugs.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Déclaration de Vitalik sur la « technologie de refuge » : comment Ethereum intègre-t-il la résistance à la censure dans le protocole ?
Rédaction : imToken
Si un jour, l'équipe de développement centrale d'Ethereum « disparaissait » collectivement, ou si un certain pays souverain exigeait la censure de transactions spécifiques, Ethereum pourrait-il encore rester ouvert ?
Ces questions ressemblent à des hypothèses extrêmes, mais elles deviennent de plus en plus une référence concrète dans la conception du protocole Ethereum.
Début mars, Vitalik Buterin a proposé une nouvelle formulation, affirmant que la communauté Ethereum devrait se considérer comme faisant partie d'un écosystème de « technologies de refuge » (sanctuary technologies) : ces technologies open source gratuites permettent aux gens de vivre, travailler, communiquer, gérer des risques, accumuler des richesses, et collaborer vers des objectifs communs, tout en maximisant leur capacité à résister à la pression extérieure.
Cette formulation ressemble à une mise à niveau abstraite des valeurs, mais si l'on la met en contexte avec l'évolution récente du protocole Ethereum, elle correspond en réalité à quelque chose de très précis .
PANewsIl y a 1m
CoinGlass intègre les données RootData, la page du jeton affiche désormais les informations sur les investisseurs et l'équipe
La plateforme CoinGlass a intégré les données de RootData, permettant aux utilisateurs de consulter les informations sur les investisseurs et l'équipe sur la page du jeton, pour une obtention d'informations en un seul endroit. CoinGlass fournit des données complètes sur le marché des produits dérivés de cryptomonnaies, avec plus de 220 partenaires.
GateNewsIl y a 2m
BlackRock a déposé 1 133,78 BTC et 27 189 ETH sur une plateforme CEX, pour un total d'environ 136 millions de dollars.
Gate News rapporte que, le 10 mars, selon l’analyseur on-chain Onchain Lens, BlackRock a déposé 1 133,78 BTC (environ 80,24 millions de dollars) et 27 189 ETH (environ 56,10 millions de dollars) sur une plateforme d’échange centralisée, pour un total d’environ 136 millions de dollars, et pourrait continuer à déposer davantage de tokens.
GateNewsIl y a 23m
Vitalik : La Fondation Ethereum utilise « DVT-lite » pour staker 72 000 ETH, dans le but de permettre aux institutions de staker d'une seule clic
Le co-fondateur d'Ethereum, Vitalik Buterin, a déclaré que la Fondation Ethereum avait mis en staking 72 000 ETH en utilisant la version simplifiée de la technologie de validation décentralisée « DVT-lite », dans le but de rendre le staking de niveau institutionnel plus simple et réalisable en un clic. Bien que le prix de l'ETH soit en consolidation, la demande de staking reste forte, avec actuellement 3,2 millions d'ETH en attente de staking, ce qui témoigne de la vitalité du marché.
動區BlockTempoIl y a 1h
