Yearn Finance a confirmé le 30 novembre un exploit en cours visant son produit yETH, après qu’un attaquant a frappé une quantité pratiquement illimitée de jetons et vidé la liquidité de pools Balancer. L’incident a abouti au vol d’environ 2,8 millions de dollars d’actifs. Environ 1 000 ETH ont été blanchis via Tornado Cash peu après l’attaque, tandis que le prix du jeton YFI a, de manière inattendue, bondi d’environ 4 080 $ à plus de 4 160 $ en moins d’une heure, malgré les mauvaises nouvelles.
Ce qui s’est passé : attaque d’émission infinie
L’exploit a eu lieu vers 21 h 11 UTC le 30 novembre, lorsqu’un portefeuille malveillant a exécuté une attaque d’émission infinie qui a créé environ 235 000 milliards de yETH en une seule transaction, selon les données on-chain.
Le système d’alerte de Nansen a confirmé l’attaque.
La vulnérabilité se trouvait dans le contrat de jeton yETH lui‑même, et non dans l’infrastructure des Vaults de Yearn, et l’attaquant a utilisé les nouveaux jetons frappés pour drainer de « vrais » actifs — principalement de l’ETH et des Liquid Staking Tokens — depuis les pools de liquidité de Balancer.
Les premières estimations suggèrent qu’environ 2,8 millions de dollars d’actifs ont été retirés. Plusieurs contrats auxiliaires utilisés dans l’exploit ont été déployés quelques minutes avant l’incident puis auto‑détruits ensuite pour brouiller les pistes, tandis qu’environ 1 000 ETH ont été blanchis via Tornado Cash peu après l’attaque.
Yearn a déclaré que les Vaults V2 et V3 n’étaient pas affectés et que la vulnérabilité semble limitée à l’implémentation héritée de yETH.
À lire aussi : Strategy Would Sell Bitcoin Only as Last Resort if mNAV Drops Below 1x
Pourquoi c’est important : impact sur le marché
La réaction du marché a pris un tournant inattendu. Peu après que l’exploit a été signalé sur les réseaux sociaux et par des analystes on‑chain, le prix du YFI est monté d’environ 4 080 $ à plus de 4 160 $ en moins d’une heure, malgré les gros titres négatifs entourant l’écosystème Yearn au sens large.
Ce pic de prix semble lié à une mauvaise interprétation du marché dans les premières minutes de l’incident, lorsque les premières mentions d’un « exploit Yearn » ont déclenché l’ouverture de positions short à fort levier sur le YFI, compte tenu de la faible liquidité du jeton et de ses mouvements historiquement violents à la baisse lors d’événements de hack.
Une fois qu’il est apparu clairement que l’attaque était limitée à yETH et ne touchait pas les Vaults de Yearn, les vendeurs à découvert ont commencé à racheter leurs positions. Cela a déclenché un bref short squeeze et un pic de prix lié à la volatilité. L’offre en circulation de YFI n’est que de 33 984 jetons, ce qui en fait l’un des principaux actifs de gouvernance DeFi les moins liquides, amplifiant les mouvements de prix en particulier pendant les périodes d’incertitude ou de liquidations rapides.
Pour l’instant, les pertes semblent contenues aux pools yETH et Balancer touchés par l’exploit, tandis que la valeur totale verrouillée (TVL) du protocole reste au‑dessus de 600 millions de dollars, ce qui suggère que les systèmes principaux n’ont pas été compromis. Les investigations se poursuivent.
À lire ensuite : Dogecoin ETFs Record $2 Million In Debut Week Inflows Far Below Analyst Projections