C’est une nouvelle alerte de sécurité qui vient de frapper le protocole de rendement Yearn Finance. Un attaquant a exploité son produit yETH et vidé un pool de liquidité en une seule opération. Au total, ce sont environ 9 millions de dollars qui se sont envolés, ce qui relance une énième fois le débat sur la sécurité DeFi.
Un exploit sur yETH qui vide un pool en une transaction
Selon PeckShieldAlert, cette attaque est passée par un ancien contrat lié au jeton yETH, qui était resté connecté à un pool Balancer. Profitant d’une faille de logique, l’assaillant a émis un nombre quasi infini d’yETH, sans collatéral réel. Ensuite, il s’est servi de ces jetons pour retirer de vrais actifs du pool : ETH et plusieurs dérivés de staking liquide.
Les premières analyses évaluent les dégâts à environ 9 M$ au total sur l’ensemble des différents pools concernés. En plus d’une quantité importante d’ETH, l’attaquant a récupéré divers jetons de staking, puis redistribué les fonds vers plusieurs adresses. De plus, il a envoyé près de 1 000 ETH, soit environ 3 M$, le mixeur Tornado Cash. Le reste du butin, soit près de 6 M$, reste pour l’instant sur des portefeuilles contrôlés par l’attaquant.
#PeckShieldAlert Yearn Finance @yearnfi suffered an attack resulting in a total loss of ~$9M.
The exploit involved minting a near-infinite number of yETH tokens, depleting the pool in a single transaction.
~1K $ETH (worth ~$3M) was sent to #TornadoCash, while the exploiter's… pic.twitter.com/IXNygpwoWa
— PeckShieldAlert (@PeckShieldAlert) December 1, 2025
L’équipe de Yearn confirme l’incident et précise que les coffres V2 et V3 ne sont pas concernés. D’après leurs annonces, le problème reste circonscrit au produit yETH et à quelques contrats hérités.
De plus, Yearn affirme être déjà en train de travailler avec plusieurs spécialistes, dont SEAL 911 et ChainSecurity, pour disséquer chaque étape de l’attaque. Malgré ces bonnes volontés, ne nous voilons pas la face : l’histoire récente nous montre que les chances de récupérer ne serait-ce qu’une partie des fonds restent faibles après ce type d’exploit.
DeFi sous pression : l’urgence de mieux gérer les risques
Avec ce hack, la liste d’attaques visant les protocoles DeFi cette année s’allonge encore un peu plus. Bridges, plateformes de lending, DEX… Chaque mois, de nouveaux projets découvrent une faille dans leurs contrats, et en paient souvent le prix. En général, le facteur principal de risque concerne du vieux code jamais désactivés, ou des modules restés hors du périmètre d’audit initial.
Pour les investisseurs, la volatilité des marchés crypto n’est donc pas la seule menace. Bugs de smart contracts, oracles manipulés ou gouvernance mal conçue peuvent aussi provoquer des pertes irréversibles. De plus, on assiste à une multiplication des arnaques ciblant directement les utilisateurs, comme le fameux “address poisoning”. Une simple inattention lors d’un copier-coller d’adresse suffit parfois à perdre l’intégralité d’une transaction.
Nombre de hacks – Source DefiLlama
Dans ce contexte, il s’avère astucieux voire vital de limiter le capital exposé aux smart contracts. La meilleure stratégie consiste à répartir ses fonds sur plusieurs protocoles, à surveiller les mises à jour et à éviter les rendements extrêmes.
Certains considèrent même que la self-custody doit rester le socle de toute stratégie crypto, même pour les adeptes de la DeFi. En effet, conserver une part significative de ses actifs sur un portefeuille non-custodial réduit fortement le risque d’exploit. À l’inverse, d’autres recommandent de ne passer que par des plateformes crédibles et bien établies.
XTB : une plateforme régulée pour gérer son exposition aux cryptos
XTB est un courtier en ligne régulé qui se spécialise dans les actions, les ETF et les produits dérivés. La plateforme propose plus de 11 000 instruments, dont des CFD sur Bitcoin, Ethereum et d’autres cryptomonnaies majeures. xStation, l’application intuitive proposée par XTB, offre des analyses quotidiennes et une large base éducative à destination des traders particuliers. N’oublions pas cependant que les CFD restent des produits risqués, avec un fort effet de levier et un risque élevé de perte.
Sources
Cet article ne représente en aucun cas un conseil en investissement. N’utilisez pas les informations fournies ici comme base pour prendre des décisions financières. Les investissements en crypto-monnaie comportent des risques et peuvent entraîner des pertes importantes. Il convient d’investir uniquement ce que vous pouvez vous permettre de perdre. Faites vos propres recherches avant de prendre toute décision d’investissement.
Sur le même sujet
- Hack d’Upbit : 36 M$ envolés, la piste Lazarus relance l’alerte cybersécurité
- 41 M$ en Solana volés chez SwissBorg : quel avenir pour les victimes et la plateforme ?
- GMX hacké sur Arbitrum : 40 M$ volés, la plateforme tire la sonnette d’alarme
Partager
