Imaginez ouvrir votre portefeuille DeFi un dimanche matin et découvrir que plusieurs millions de dollars viennent de disparaître en quelques minutes. Ce n’est pas un cauchemar, c’est exactement ce qui s’est passé le 30 novembre 2025 pour les utilisateurs du pool yETH de Yearn Finance.
Un exploit aussi brutal qu’élégant
Vers la fin de journée du 30 novembre, un attaquant a déclenché une vulnérabilité dormante dans l’ancien contrat yETH de Yearn Finance. Le bug ? Une fonction de mint infinie qui n’avait jamais été corrigée sur cette version legacy du token.
En une seule transaction, l’assaillant a créé plus de 235 000 milliards de yETH. Un chiffre tellement absurde qu’il dépasse l’imagination. Armé de cette quantité illimitée de faux tokens, il a immédiatement attaqué le pool de liquidité yETH sur Balancer.
Le résultat ? Le pool, qui contenait environ 11 millions de dollars avant l’attaque, s’est retrouvé vidé en quelques blocs. Les actifs réels – ETH et dérivés de staking – ont été échangés contre les yETH fraîchement créés, désormais sans valeur.
Comment l’attaque s’est déroulée étape par étape
La préparation était minutieuse. Quelques minutes avant l’attaque principale, plusieurs contrats helpers ont été déployés puis autodétruits aussitôt leur mission accomplie. Une technique classique pour compliquer le traçage.
Voici le déroulé précis :
- Déploiement furtif de contrats temporaires
- Exploitation de la fonction mint infinie du vieux contrat yETH
- Création de 235 000 milliards de yETH en un bloc
- Échanges massifs sur le pool Balancer yETH/ETH
- Drain complet des actifs réels du pool
- Transfert immédiat de 1 000 ETH vers Tornado Cash par lots de 100 ETH
- Autodestruction des contrats helpers
En moins de trente minutes, l’opération était terminée. Le pool Balancer affichait un trou de près de 2,8 millions de dollars, et l’attaquant avait déjà commencé à blanchir une partie du butin.
Tornado Cash, l’incontournable étape de blanchiment
Dès les premières heures suivant l’exploit, des lots de 100 ETH ont commencé à transiter par Tornado Cash. À l’heure actuelle, environ 1 000 ETH (soit près de 3 millions de dollars au cours actuel) ont déjà été mixés.
Mais l’attaquant conserve encore plusieurs millions dans différents portefeuilles. La communauté suit chaque mouvement avec attention, dans l’espoir d’identifier une erreur qui permettrait de geler les fonds restants.
« Des mouvements de 100 ETH vers Tornado Cash, très probablement liés à l’exploit yETH/Balancer »
Togbe, analyste on-chain – 30 novembre 2025
Yearn Finance réagit : « Seuls les produits legacy sont touchés »
La réponse officielle de Yearn Finance a été rapide et claire : les vaults V2 et V3 ne sont absolument pas impactés. L’exploit concerne uniquement une ancienne implémentation du token yETH, abandonnée depuis longtemps.
Le protocole Katana, qui repose sur Yearn V3, a également confirmé n’avoir aucune exposition. Pour les utilisateurs des produits actuels de Yearn, il n’y a donc aucune raison de paniquer.
Cependant, cette attaque rappelle cruellement que même les projets les plus respectés traînent parfois des squelettes dans leurs placards techniques.
Un bug bounty à 200 000 $ qui n’a rien empêché
Yearn Finance maintient l’un des programmes de bug bounty les plus généreux de l’écosystème, avec des récompenses pouvant atteindre 200 000 dollars pour les vulnérabilités critiques.
Comment une faille aussi évidente a-t-elle pu passer inaperçue pendant des années ? La réponse tient en deux mots : code legacy. Le contrat yETH exploité date d’une époque où Yearn expérimentait encore différentes architectures. Une fois abandonné au profit de versions plus robustes, il est tombé dans l’oubli… jusqu’à ce que quelqu’un ne le redécouvre.
C’est le paradoxe cruel de la DeFi : plus un projet est ancien et respecté, plus il risque de traîner des contrats obsolètes contenant des bombes à retardement.
Les précédents douloureux de Yearn Finance
Ce n’est malheureusement pas la première fois que Yearn fait face à ce type de situation.
En 2021 déjà, le vault yDAI avait été victime d’un exploit complexe coûtant 11 millions de dollars. Plus récemment, en 2023, une mauvaise configuration du trésor avait exposé des fonds (sans perte utilisateur finale).
À chaque fois, Yearn a su rebondir. Mais ces incidents répétés interrogent sur la gestion des produits legacy dans l’écosystème DeFi.
Les leçons à tirer pour toute la DeFi
Cet exploit yETH n’est pas qu’une mauvaise nouvelle pour Yearn. C’est un rappel brutal pour tous les protocoles :
- Le code abandonné reste du code vivant tant qu’il détient de la valeur
- Les audits doivent couvrir TOUS les contrats, même ceux considérés comme « morts »
- Les pools de liquidité avec des tokens anciens sont des cibles évidentes
- La migration complète des utilisateurs vers de nouveaux contrats doit être une priorité absolue
Plusieurs projets ont déjà annoncé qu’ils allaient revoir leurs contrats legacy suite à cet événement. Mieux vaut tard que jamais.
Quel impact sur le token YFI ?
Au moment où ces lignes sont écrites, le token YFI a perdu environ 4 % en quelques heures, passant sous la barre symbolique des 4 000 dollars.
C’est une réaction relativement contenue. Les marchés semblent avoir intégré que les vaults principaux ne sont pas touchés et que Yearn dispose encore d’une trésorerie solide.
Mais la confiance, dans la DeFi, est une denrée fragile. Chaque exploit laisse des traces, même quand les fonds des utilisateurs sont techniquement en sécurité.
Vers une récupération des fonds ?
Pour l’instant, aucune annonce officielle concernant une éventuelle compensation n’a été faite. Yearn a indiqué qu’un rapport complet serait publié dans les prochains jours.
Dans des cas similaires par le passé, certains protocoles ont choisi de rembourser les victimes via leur trésorerie ou leur assurance. Rien n’est encore décidé.
Ce qui est certain, c’est que l’attaquant a encore plusieurs millions sous contrôle. Si une erreur de manipulation venait à se produire (transfert vers une adresse KYCisée, par exemple), une partie des fonds pourrait être récupérée.
La DeFi mûrit… dans la douleur
Cet exploit yETH arrive alors que l’écosystème DeFi semblait enfin entrer dans une phase de maturité. Les chiffres records de TVL, l’adoption institutionnelle, les améliorations techniques… tout semblait aller dans le bon sens.
Mais ces incidents rappellent que la route est encore longue. Chaque attaque est une piqûre de rappel : la sécurité absolue n’existe pas, surtout quand on construit sur des fondations parfois vieilles de plusieurs années.
La bonne nouvelle ? À chaque exploit majeur, l’écosystème apprend, corrige, et devient un peu plus résilient. C’est le prix du progrès dans cet univers encore jeune qu’est la finance décentralisée.
En attendant le rapport complet de Yearn Finance, une chose est sûre : ce 30 novembre 2025 restera dans les annales comme le jour où 235 000 milliards de faux tokens ont réussi à voler plusieurs millions de vrais dollars… en toute transparence sur la blockchain.
La DeFi, c’est ça aussi : un mélange fascinant de génie technique et de far west numérique.
