Yearn Finance frappé par l'exploitation de yETH avec $3M envoyé à Tornado Cash

Yearn Finance fait face à une nouvelle violation de sécurité après qu'un attaquant a exploité son contrat de jeton yETH et a siphonné des millions en ETH et en liquid staking des pools Balancer. Résumé

• L'exploitation a ciblé un ancien contrat yETH, permettant à l'attaquant de frapper une offre illimitée de jetons et de vider la piscine Balancer.
• Environ 1 000 ETH ont été déplacés via Tornado Cash peu après l'attaque, avec d'autres actifs toujours détenus dans les portefeuilles de l'attaquant.
• Yearn a confirmé que le problème est isolé de ses coffres V2 et V3 et prépare un rapport détaillé sur l'incident.

L'incident s'est déroulé tard le 30 novembre lorsque un attaquant a déclenché un défaut de minting infini à l'intérieur du contrat yETH. Ils ont ensuite minté une quantité impossiblement grande de yETH, plus de 235 trillions de tokens, en une seule transaction.

Avec ces jetons, l'attaquant a rapidement traversé les pools de Balancer, retirant des actifs réels, y compris ETH et des dérivés de staking populaires. Les premières traces montrent près de $3 millions circulant à travers Tornado Cash peu après l'exploitation, tandis que l'adresse de l'attaquant détient encore des actifs supplémentaires liés à l'événement.

Exploitation isolée au produit yETH hérité

Les données blockchain montrent que le pool de stableswap yETH a été vidé en quelques minutes, laissant un trou d'environ 2,8 millions de dollars. Yearn Finance(YFI) a déclaré que le problème se situe dans une ancienne implémentation de yETH et n'affecte pas ses coffres V2 ou V3. Les protocoles construits sur Yearn V3, y compris Katana, ont également signalé qu'ils n'avaient pas d'exposition.

Nous enquêtons sur un incident impliquant le pool de stableswap yETH LST.

Les coffres Yearn ( tant V2 que V3) ne sont pas affectés.

— yearn (@yearnfi) 30 novembre 2025

Plusieurs contrats d'assistance sont apparus juste avant l'attaque et ont disparu par des appels d'auto-destruction une fois que le pool a été drainé, rendant la piste plus difficile à suivre.

Les équipes de sécurité examinant les transactions, y compris les auditeurs suivant les anciens produits de Yearn, ont lié l'événement à une faiblesse de minting de longue date dans la logique du jeton yETH, plutôt qu'à un problème dans l'architecture actuelle des coffres de Yearn.

Le protocole maintient un programme de bug bounty actif avec des récompenses atteignant 200 000 $ pour des découvertes critiques, bien qu'aucun chemin de récupération n'ait encore été annoncé.

Le mouvement on-chain s'intensifie après le drain de liquidité

Peu après l'effondrement du pool, l'utilisateur X Togbo a signalé plusieurs mouvements de lots de 100 ETH passant par Tornado Cash. Environ 1 000 ETH au total ont été mélangés dans les heures suivant l'exploitation. L'attaquant conserve toujours des actifs supplémentaires d'une valeur de plusieurs millions de dollars répartis sur plusieurs portefeuilles.

d'autres éléments liés à balancer ressemblant à une exploitation compte tenu des interactions importantes avec tornado

yearn, rocket pool, origin, dinero et d'autres LST circulant pic.twitter.com/wUuexeQJyg

— Togbe (@Togbe0x) 30 novembre 2025

Le pool yETH avait environ $11 millions avant la violation, et bien que le chiffre final de la perte soit toujours en cours d'examen, Yearn a déclaré que les fonds des utilisateurs à l'intérieur des coffres actifs restent sûrs.

Cet incident s'ajoute au long historique du protocole en matière de gestion des risques hérités, survenant des années après son exploitation de yDAI en 2021 et une mauvaise configuration de la trésorerie en 2023 qui n'a pas affecté les déposants. YFI a chuté d'environ 4 % après l'événement et se négociait près de 4 002 $ au moment de la rédaction.