Un risque majeur de sécurité frappe le pool yETH de Yearn Finance
Yearn Finance, protocole de rendement décentralisé, a une nouvelle fois été confronté à un incident de sécurité. Le pool de liquidité yETH a récemment enregistré une activité de trading inhabituelle, avec un retrait massif de Liquid Staking Tokens (LST) en très peu de temps. En tant que pool agrégateur des principaux LST, le pool yETH constitue un pilier du protocole Yearn. Cet événement inquiète le marché.
Méthode d’attaque : création frauduleuse et épuisement immédiat du pool
Les données on-chain indiquent que l’attaquant a déployé plusieurs contrats personnalisés pour générer une quantité illimitée de tokens yETH en une seule transaction. Ces tokens générés artificiellement lui ont permis d’échanger l’ensemble des LST du pool, entraînant son épuisement en quelques secondes. Les pertes sont estimées à plusieurs millions de dollars.
Suite à l’attaque, près de 1 000 ETH (environ 3 millions de dollars) ont été rapidement transférés vers Tornado Cash, rendant la traçabilité des fonds particulièrement complexe. Plusieurs contrats d’attaque se sont auto-détruits après exécution, illustrant la préparation minutieuse et la sophistication technique de l’opération.
Estimation des pertes en attente de confirmation officielle
Avant l’incident, le pool yETH détenait environ 11 millions de dollars d’actifs. Cependant, le montant exact des pertes reste à confirmer par Yearn Finance et les équipes spécialisées en sécurité blockchain, certaines quantités d’ETH ayant pu être consommées ou rendues intraçables lors de l’attaque.
L’analyste on-chain Togbe a été le premier à détecter la faille, identifiant des anomalies lors du suivi de mouvements importants de capitaux et révélant l’attaque.
Réponse officielle et contexte historique
(Source : yearnfi)
Yearn Finance a annoncé sur X mener une enquête active sur l’incident. L’équipe précise que les Vaults V2 et V3 n’ont pas été affectés. Le protocole a déjà rencontré plusieurs défis techniques et sécuritaires :
- 2021 : vulnérabilité du Vault yDAI ayant causé une perte d’environ 11 millions de dollars
- 2022 : départ du fondateur Andre Cronje du projet
- Fin 2023 : une erreur de script a réduit les actifs de la trésorerie de 63 %, sans impact sur les fonds des utilisateurs
À ce jour, l’équipe Yearn n’a pas communiqué de nouveaux éléments issus de son enquête. Le marché attend toujours des mises à jour.
Pour en savoir plus sur Web3, rendez-vous sur : https://www.gate.com/
Résumé
Cet incident montre que même les protocoles DeFi les plus établis, dotés de communautés solides et d’un historique d’audits, restent exposés aux failles de logique contractuelle, aux interactions inter-contrats et aux limites de la gouvernance. Yearn Finance doit non seulement corriger les vulnérabilités, mais aussi restaurer la confiance du marché. L’écosystème DeFi doit accorder une importance particulière aux audits de sécurité. Il doit également renforcer les systèmes de surveillance et assurer une maintenance continue pour garantir la stabilité à long terme. Si l’innovation porte le secteur, l’équilibre entre rapidité et sécurité reste essentiel pour la pérennité et le succès du DeFi.
