Exploit du pool yETH : ce que révèle vraiment l’attaque contre Yearn Finance
Un exploit majeur frappe Yearn Finance
Le 30 novembre 2025, un pirate a exécuté un exploit sophistiqué contre le pool yETH stableswap, une implémentation personnalisée du code stableswap.
Résultat immédiat : 9 millions de dollars évaporés.
La faille n’a touché aucun autre produit Yearn. Les vaults V2 et V3 fonctionnent normalement.
Cette isolation limite l’impact, mais l’événement reste un signal fort pour l’écosystème DeFi.
Un déroulé technique redoutablement précis
L’attaque repose sur une séquence maîtrisée :
-
déploiement d’un contrat via CREATE2,
-
flash loan Balancer pour manipuler les taux,
-
appel stratégique à update_rates,
-
frappe anormale de 235 000 milliards de yETH,
-
effacement des traces via self-destruct.
Une partie des fonds (environ 3 M$) a transité vers Tornado Cash.
La complexité est élevée. Elle se compare aux exploits les plus avancés de 2025.
Un impact financier maîtrisé mais significatif
Les pertes atteignent 9 M$, mais le hacker n’a réellement capté qu’environ 4,2 M$.
Le reste provient de déséquilibres temporaires entre pools.
Pour un utilisateur, le point essentiel est clair :
l’attaque reste confinée au contrat vulnérable.
Un effet immédiat sur la volatilité crypto
Cette attaque intervient dans un contexte de marché fragile.
Elle a contribué à une hausse brutale de la volatilité, avec une baisse temporaire de Bitcoin et de plusieurs altcoins.
Mais l’impact global reste ponctuel.
Comment Yearn Finance a réagi
À peine 80 minutes après l’exploit, Yearn publie une première alerte.
Puis, en moins de 6 heures, une mise à jour détaillée.
Un war room est lancé avec :
-
SEAL911,
-
Chain Security,
-
les équipes internes.
Cette rapidité a stoppé tout risque d’effet domino.
Un accompagnement direct pour les utilisateurs
Yearn invite les personnes impactées à ouvrir un ticket sur Discord.
Objectif : assistance individuelle, vérification des pertes, orientation vers les ressources de sécurité.
Un postmortem complet est attendu dans les prochains jours.
Il devrait fournir une analyse profonde du code et des mécanismes vulnérables.
Ce que les utilisateurs français doivent réellement retenir
1. Les contrats personnalisés sont les plus risqués
C’est le point clé de cet incident.
Plus un protocole utilise du code maison, plus il multiplie les surfaces d’attaque.
Un contrat custom est :
-
plus difficile à auditer,
-
plus exposé aux angles morts,
-
plus sensible aux flash loans.
Pour un investisseur français, cela signifie une règle simple :
privilégier les protocoles standardisés, éprouvés et auditables.
2. Les flash loans restent l’arme favorite des pirates
Les flash loans permettent de :
-
déplacer d’énormes liquidités en un bloc,
-
manipuler temporairement les prix ou les taux,
-
exploiter les failles avant que le protocole ne réagisse.
L’exploit yETH en est un cas d’école.
Comprendre ce mécanisme est essentiel pour toute personne utilisant la DeFi.
3. La communication rapide peut sauver un protocole
Yearn a communiqué vite, clairement et publiquement.
Cette transparence rassure et limite la panique.
Dans un secteur souvent opaque, cette gestion de crise est un signal de maturité.
4. Une leçon pour tout l’écosystème DeFi
Trois enseignements pratiques :
-
Renforcer les audits pour tout code non standard.
-
Limiter les fonctions sensibles comme update_rates.
-
Mettre en place des protections anti–flash loan plus strictes.
Pour les utilisateurs, cette attaque rappelle que la DeFi reste :
innovante, mais profondément risquée.
Un rappel essentiel
L’exploit du pool yETH est grave, mais contenu.
Il révèle les limites des contrats personnalisés et l’importance d’audits renforcés.
Pour les utilisateurs français, c’est l’occasion de :
-
mieux comprendre les risques techniques,
-
comparer les protocoles,
-
privilégier une approche prudente et informée.
Malgré la perte de 9 M$, l’écosystème Yearn reste stable.
Le futur postmortem donnera des enseignements précieux pour tous les projets DeFi cherchant à évoluer sans sacrifier la sécurité.
Antoine Marchain
Co-fondateur