Odaily星球日报 rapporte que Yearn Finance a publié un rapport détaillé sur l’attaque du bug yETH survenue la semaine dernière, révélant qu’une erreur numérique en trois étapes existait dans son pool de liquidité stableswap hérité. Cette faille a permis à l’attaquant de « minter à l’infini » des jetons LP et de dérober environ 9 millions de dollars d’actifs du pool. Yearn a confirmé qu’avec l’aide des équipes Plume et Dinero, ils ont réussi à récupérer 857,49 pxETH, soit environ un quart des actifs volés. L’équipe prévoit de redistribuer ces fonds récupérés aux déposants de yETH au prorata. Le protocole DeFi précise que l’attaque a eu lieu au bloc 23,914,086 le 30 novembre 2025, où l’attaquant, via une séquence d’opérations complexe, a forcé le parseur interne du pool de liquidité...

PANews, le 8 décembre : Selon des discussions sur la plateforme X, plusieurs développeurs estiment que même si l'attaque contre yETH a été attribuée à une découverte par fuzzing, le chemin d'attaque réel est complexe et il est possible que la faille initiale ait été découverte, puis exploitée progressivement pour en amplifier les conséquences. Le fondateur de Curve, Michael

Selon un rapport de Jinse Finance, et d’après la veille de SlowMist, le 1er décembre, le protocole de finance décentralisée yearn a subi une attaque de hackers, entraînant une perte d’environ 9 millions de dollars. L’équipe de sécurité de SlowMist a analysé cet incident et identifié la cause principale comme suit : La faille provient de la logique de la fonction calcsupply, utilisée pour calculer l’offre dans le contrat du pool d’échange de stablecoins pondéré (Weighted Stableswap Pool) de Yearn yETH. En raison d’opérations mathématiques non sécurisées, cette fonction permet des dépassements et des erreurs d’arrondi lors du calcul, provoquant un écart important dans le produit entre la nouvelle offre et le solde virtuel. Les attaquants ont exploité cette vulnérabilité pour manipuler la liquidité à une valeur spécifique et frapper en excès des jetons de liquidité du pool (LP tokens), réalisant ainsi des profits illégaux. Il est recommandé de renforcer les tests sur les scénarios limites et d’utiliser des mécanismes arithmétiques éprouvés en matière de sécurité afin de prévenir les incidents similaires.

PANews 1er décembre - Yearn a tweeté que l'incident d'attaque lié à yETH n'a pas affecté le produit yCRV.

PANews, le 1er décembre, rapporte que selon PeckShieldAlert sur la plateforme X, Yearn Finance a subi une attaque, le Hacker a épuisé le fonds en minting yETH sans limite, entraînant une perte d'environ 9 millions de dollars. Environ 1000 ETH (environ 3 millions de dollars) ont été transférés à Tornado Cash, l'adresse de l'attaquant détient encore des actifs cryptographiques d'une valeur d'environ 6 millions de dollars.

PANews, le 1er décembre - Selon The Block, le produit d'agrégation de jetons de staking yETH de Yearn Finance a été attaqué. L'attaquant a exploité une vulnérabilité pour presque minting yETH sans limite, épuisant presque tous les actifs dans le pool en une seule transaction. Les données off-chain montrent que l'attaquant a ensuite transféré environ 1000 ETH (environ 3 millions de dollars) dans le protocole de mélange Tornado Cash. Plusieurs contrats utilisés pour l'attaque se sont autodétruits après la transaction. L'ampleur des pertes reste actuellement inconnue, Yearn a déclaré qu'elle enquêtait sur l'incident, ses V2 et V3.