Un ancien contrat de Yearn Finance a subi une faille qui a permis à un attaquant de créer une énorme quantité de yETH. En quelques minutes, près de 9 millions de dollars ont disparu. Heureusement, une partie des fonds a été récupérée, et l’affaire relance les débats sur la sécurité en crypto.
Par Emmanuel Roux
Dernière mise à jour
3 mins de lecture
Le hacker a utilisé un vieux contrat mal sécurisé. Ce dernier permettait une frappe infinie de tokens. En fait, une simple erreur de calcul sur une formule qui gérait l’équilibre d’un pool stableswap a tout rendu possible.
Le 30 novembre, l’attaquant a frappé environ 2,35 × 10³⁸ yETH en une seule opération, soit près de 235 000 milliards de yETH. Avec ce stock géant, il a échangé les jetons contre des actifs réels. Finalement, le pool yETH, évalué à environ 11 millions de dollars, est complètement siphonné sur Balancer et Curve.
At 21:11 UTC on Nov 30, an incident occurred involving the yETH stableswap pool that resulted in the minting of a large amount of yETH. The contract impacted is a custom version of popular stableswap code, unrelated to other Yearn products. Yearn V2/V3 vaults are not at risk.
— yearn (@yearnfi) December 1, 2025
Pour agir, l’attaquant a utilisé plusieurs petits contrats temporaires. Ils préparaient les échanges, transféraient les fonds, puis s’autodétruisaient. Ce schéma soigné a rendu l’attaque très discrète, jusqu’au moment où les liquidités du pool ont commencé à chuter.
Les analyses montrent que ce n’était pas un flash loan, mais une faille interne liée au design du contrat, laissé dans un état hérité depuis plusieurs années. Heureusement, l’impact reste circonscrit. Les coffres principaux de Yearn, les Vaults V2 et V3, ne sont pas touchés. Leur valeur dépasse toujours les 600 millions de dollars.
Les chercheurs de PeckShield estiment les pertes à approximativement 9 millions de dollars. Une part importante a été convertie en ETH. Ensuite, pour brouiller la piste, près de 1 000 ETH, soit environ 3 millions de dollars, ont été envoyés vers Tornado Cash. Les transferts se faisaient souvent en lots de 100 ETH, ce qui compliquait leur suivi.
L’adresse principale liée à l’attaque, abrégée 0xa80d…c822, détient encore environ 6 millions de dollars en stETH, rETH et autres tokens de staking. Ainsi, le hacker n’a pas encore tout déplacé et qu’il préfère prendre son temps plutôt que de tout encaisser d’un coup.
Face à l’urgence, les équipes se mobilisent. Grâce à une coordination rapide, elles réussissent à récupérer 2,4 millions de dollars avec Plume et Dinero. Cette somme correspond à des actifs qui n’avaient pas encore été mélangés. Yearn prévoit de rendre ces fonds aux utilisateurs touchés.
yETH update: With the assistance of the Plume and Dinero teams, a coordinated recovery of 857.49 pxETH ($2.39m) was performed. Recovery efforts remain active and ongoing. Any assets successfully recovered will be returned to affected depositors.https://t.co/xaClNhd0C0
— yearn (@yearnfi) December 1, 2025
Après un tel piratage et le récent affaire en Royaume-Uni, une question obsède la communauté. Où mettre ses cryptos en sécurité ? Alors, les regards se tournent vers les solutions non-custodiales. Ces portefeuilles redonnent le contrôle total aux utilisateurs. Ils deviennent un rempart populaire face aux failles des protocoles.
Parmi eux, le portefeuille non-costudial Best Wallet gagne justement en visibilité. Son jeton, le $BEST, fait même son entrée en Bourse. Il a été listé sur l’exchange KuCoin dès le 28 novembre dernier. Cette reconnaissance arrive au bon moment. Le projet propose un écosystème multichaînes complet offrant une expérience fluide et nettement plus sécurisée.
Dans les faits, Best Wallet s’impose comme un véritable couteau suisse. En une seule application, l’utilisateur gère l’ensemble de ses actifs, sans effort et sans dispersion. Les utilisateurs peuvent acheter, échanger et staker leurs actifs.
La sécurité repose sur une technologie de pointe, le MPC (Multi-Party Computation). Elle fragmente la clé privée pour mieux la protéger, vous avez ainsi le contrôle total de vos clés privées. Finalement, l’initiative montre une voie. La décentralisation des fonds reste la meilleure parade aux risques techniques.
À lire aussi :
Issu de la finance traditionnelle, j’ai naturellement basculé vers l’univers crypto, attiré par son potentiel. Je souhaite y apporter mon approche analytique et rationnelle, tout en conservant ma curiosité. En dehors de l’écran, je lis beaucoup (économie, essais, un peu de science-fiction) et je prends plaisir à bricoler. Le DIY, pour moi, c’est comme la crypto : comprendre, tester, construire soi-même.