Imaginez déposer plusieurs millions de dollars dans un protocole que vous considérez comme l’un des plus solides de la DeFi… et découvrir le lendemain que tout a disparu en une seule transaction. C’est exactement ce qui est arrivé à des dizaines d’utilisateurs de Yearn Finance le 30 novembre 2025.
Mais l’histoire ne s’arrête pas là. Moins de 48 heures après l’exploit, une partie des fonds commence déjà à revenir. Retour sur l’un des incidents les plus rapides (et les plus instructifs) de cette fin d’année.
Un exploit de 9 millions qui a fait trembler la DeFi
Le samedi 30 novembre à 21 h 11 UTC, un attaquant a exploité une faille arithmétique dans l’ancien pool yETH de Yearn Finance. En une seule transaction, il a minté une quantité astronomique de yETH, vidant ainsi deux pools pour environ 9 millions de dollars.
8 millions provenaient directement du pool stableswap yETH et 900 000 $ du pool yETH-WETH sur Curve. Le tout en quelques secondes.
La faille venait d’un contrat « maison » abandonné
Ce qui rend cet exploit particulièrement intéressant, c’est qu’il n’a pas touché les vaults V2 ou V3 de Yearn (qui gèrent plus de 600 millions de dollars). La vulnérabilité se trouvait uniquement dans un ancien contrat stableswap custom, jamais migré vers les factories Curve classiques.
Ce code, écrit il y a plusieurs années, contenait une erreur subtile d’arrondi dans le calcul des parts. Une erreur qui, en conditions normales, restait inoffensive… jusqu’à ce qu’un attaquant trouve la combinaison exacte pour la faire exploser.
En langage technique : un integer overflow/underflow déguisé en simple erreur de précision. Le genre de bug que même les meilleurs audits peuvent rater quand le contrat n’est plus activement maintenu.
Réaction immédiate : la « war room » Yearn
Dès la détection de l’attaque, les équipes Yearn, SEAL 911 et ChainSecurity ont ouvert une war room. Objectif : comprendre, contenir, et surtout récupérer ce qui pouvait encore l’être.
Pendant que l’attaquant commençait à blanchir une partie des fonds via Tornado Cash (environ 3 millions en ETH), une autre partie restait sous forme de LST (liquid staking tokens) encore dans ses wallets. C’est là que tout s’est joué.
L’opération récupération : 2,4 millions sauvés en 24 h
Le 1er décembre au soir, Yearn annonce une première victoire : 857,49 pxETH (soit environ 2,39 millions de dollars) récupérés grâce à une coordination exceptionnelle avec les équipes Plume et Dinero.
« Avec l’aide des équipes Plume et Dinero, une récupération coordonnée de 857,49 pxETH (2,39 M$) a été réalisée. Les efforts continuent. Tous les fonds récupérés seront redistribués aux déposants affectés. »
Yearn Finance – 1er décembre 2025
Comment ont-ils fait ? Les pxETH de l’attaquant n’avaient pas encore été déplacés ni mixés. En travaillant directement avec les protocoles émetteurs, Yearn a pu neutraliser les positions et rediriger la valeur vers le trésor du protocole.
Aucun besoin d’attendre des négociations interminables ou des procédures judiciaires : la récupération a été purement on-chain et instantanée.
Pourquoi cette récupération a été possible (et pas toujours)
Plusieurs facteurs ont joué en faveur de Yearn :
- Une partie des fonds était encore en LST non liquides
- Les équipes Plume et Dinero ont réagi en quelques heures
- Les tokens pxETH ont des mécanismes de gouvernance permettant de geler ou rediriger certaines positions
- La communauté DeFi a relayé massivement les adresses de l’attaquant
C’est un cas d’école de ce que la coordination rapide peut accomplir quand les fonds n’ont pas encore été complètement blanchis.
Les 6,6 millions restants : perdus pour toujours ?
Malheureusement, la partie envoyée sur Tornado Cash est considérée comme irrécupérable par les méthodes on-chain classiques. Cela représente environ 3 millions en ETH au moment de l’attaque.
Le reste (environ 3,6 millions) pourrait encore être traçable selon l’évolution des mouvements de l’attaquant. Yearn a indiqué que les efforts de récupération restent « actifs et en cours ».
Impact sur le token YFI et la confiance
Comme toujours dans ce genre d’événement, le token YFI a subi une chute brutale (-25 % en quelques heures) avant de reprendre une partie de ses pertes dès l’annonce de la première récupération.
Au moment où j’écris ces lignes, YFI se négocie autour de 9 200 $, en légère hausse sur 24 h. La communication transparente de Yearn a clairement limité les dégâts.
Les grandes leçons à retenir pour toute la DeFi
Cet incident, bien que coûteux, apporte plusieurs enseignements précieux :
- Les contrats legacy sont des bombes à retardement – Même inactifs, ils peuvent contenir des failles dormantes
- Les audits ne suffisent pas – Un contrat peut être audité plusieurs fois et présenter quand même des bugs subtils des années plus tard
- La coordination inter-protocoles peut sauver des millions – L’exemple Plume/Dinero devrait inspirer d’autres collaborations
- La transparence paie – Yearn a communiqué toutes les heures pendant 48 h, ce qui a préservé la confiance
Et maintenant ?
Yearn prépare actuellement un post-mortem complet qui sera publié dès que ChainSecurity aura finalisé son rapport. Tous les anciens contrats custom sont en cours de revue pour éviter qu’une telle situation ne se reproduise.
Les utilisateurs affectés peuvent déjà se signaler sur le Discord officiel pour être tenus informés de la redistribution des fonds récupérés.
En attendant, cet exploit rappelle une vérité brutale mais nécessaire : dans la DeFi, la sécurité absolue n’existe pas. Seuls la vigilance permanente, la coordination rapide et la transparence permettent de limiter les dégâts quand l’inévitable se produit.
Yearn Finance vient peut-être de nous montrer la meilleure façon de réagir quand tout va mal : rapidement, ensemble, et sans rien cacher.
