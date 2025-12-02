Pour Résumer

Une faille d’un ancien contrat Yearn a permis à un attaquant de frapper une quantité illimitée de yETH.

Le hacker a vidé environ 9 M$ de liquidités, mais 2,4 M$ a pu être récupérée.

L’affaire relance le débat sur la sécurité et les wallets non-custodial.

Un bug d’arithmétique qui ouvre la porte à un “infinite mint”

Le hacker a utilisé un vieux contrat mal sécurisé. Ce dernier permettait une frappe infinie de tokens. En fait, une simple erreur de calcul sur une formule qui gérait l’équilibre d’un pool stableswap a tout rendu possible.

Le 30 novembre, l’attaquant a frappé environ 2,35 × 10³⁸ yETH en une seule opération, soit près de 235 000 milliards de yETH. Avec ce stock géant, il a échangé les jetons contre des actifs réels. Finalement, le pool yETH, évalué à environ 11 millions de dollars, est complètement siphonné sur Balancer et Curve.

At 21:11 UTC on Nov 30, an incident occurred involving the yETH stableswap pool that resulted in the minting of a large amount of yETH. The contract impacted is a custom version of popular stableswap code, unrelated to other Yearn products. Yearn V2/V3 vaults are not at risk. — yearn (@yearnfi) December 1, 2025

Pour agir, l’attaquant a utilisé plusieurs petits contrats temporaires. Ils préparaient les échanges, transféraient les fonds, puis s’autodétruisaient. Ce schéma soigné a rendu l’attaque très discrète, jusqu’au moment où les liquidités du pool ont commencé à chuter.

Les analyses montrent que ce n’était pas un flash loan, mais une faille interne liée au design du contrat, laissé dans un état hérité depuis plusieurs années. Heureusement, l’impact reste circonscrit. Les coffres principaux de Yearn, les Vaults V2 et V3, ne sont pas touchés. Leur valeur dépasse toujours les 600 millions de dollars.

Un vol de près de 9 M$ ou plus

Les chercheurs de PeckShield estiment les pertes à approximativement 9 millions de dollars. Une part importante a été convertie en ETH. Ensuite, pour brouiller la piste, près de 1 000 ETH, soit environ 3 millions de dollars, ont été envoyés vers Tornado Cash. Les transferts se faisaient souvent en lots de 100 ETH, ce qui compliquait leur suivi.

L’adresse principale liée à l’attaque, abrégée 0xa80d…c822, détient encore environ 6 millions de dollars en stETH, rETH et autres tokens de staking. Ainsi, le hacker n’a pas encore tout déplacé et qu’il préfère prendre son temps plutôt que de tout encaisser d’un coup.

Face à l’urgence, les équipes se mobilisent. Grâce à une coordination rapide, elles réussissent à récupérer 2,4 millions de dollars avec Plume et Dinero. Cette somme correspond à des actifs qui n’avaient pas encore été mélangés. Yearn prévoit de rendre ces fonds aux utilisateurs touchés.

yETH update: With the assistance of the Plume and Dinero teams, a coordinated recovery of 857.49 pxETH ($2.39m) was performed. Recovery efforts remain active and ongoing. Any assets successfully recovered will be returned to affected depositors.https://t.co/xaClNhd0C0 — yearn (@yearnfi) December 1, 2025

