Yearn Finance : Une faille dans le contrat yETH permet à un hacker de siphonner des millions

Ils reviennent toujours, plus inventifs, plus techniques. Les hackers viennent de porter un nouveau coup dans la sphère crypto. Cette fois, Yearn Finance en est la victime. Résultat : 9 millions de dollars envolés. Derrière l’exploit, un bug d’une rare complexité dans le contrat yETH. En surface, un simple swap. En profondeur, un chaos mathématique. Et le pire, c’est que ce n’est pas un cas isolé.

Quand l’arithmétique explose : un bug à plusieurs millions

Le 30 novembre, un utilisateur a pu créer 2,35 × 10³⁸ yETH grâce à une faille subtile dans la fonction swap() du smart contract. Ce contrat était censé maintenir une règle d’équilibre entre les tokens. Sauf qu’une division critique a été omise dans la formule. Résultat : la variable vb_prod est devenue incontrôlable. Comme un compteur de vitesse bloqué en surrégime, elle a trompé le protocole sur sa propre santé.

L’exploit a été confirmé par PeckShield, qui a alerté dans un tweet que près de 9 millions de dollars avaient été perdus. Une partie des fonds — environ 3 millions en ETH — a été envoyée via Tornado Cash, un célèbre mélangeur crypto utilisé pour brouiller les pistes. Le reste dort encore sur l’adresse du hacker.

La gravité du bug n’est pas un simple oubli. Comme l’a expliqué Ilia.eth sur X :

L’exploitation du pool $yETH aujourd’hui n’était pas une attaque de type flash loan sur le prix, mais bien un effondrement structurel de la comptabilité interne de l’AMM. Voici une analyse technique montrant comment une simple division omise a mené à la vidange complète du protocole.

Cette faille rappelle douloureusement le précédent de Balancer, où une mauvaise gestion des arrondis avait causé un chaos similaire. Même cause, même effet : création monétaire incontrôlée suivie d’un retrait légitime mais destructeur.

Des contrats auxiliaires pour raser l’architecture de Yearn Finance

Ce n’est pas seulement le bug qui impressionne. C’est l’ingénierie de l’attaque. En une seule transaction, le hacker a tout orchestré : déploiement de « helper contracts », mint de tokens, conversion en ETH, transfert de fonds et autodestruction des contrats pour effacer les traces.

Selon Blockscout, chaque helper contract a exécuté un appel ciblé à la fonction vulnérable, puis envoyé l’ETH à un portefeuille maître avant de disparaître. Une stratégie digne d’un film de braquage, où le voleur efface ses empreintes numériques à la seconde même où il agit.

L’adresse clé identifiée par plusieurs analystes est : 0xa80d…c822, qui détient actuellement encore environ 6 millions en stETH, rETH et autres dérivés d’Ethereum.

Sur X, William Li propose une lecture complémentaire :

Le hacker n’a en réalité pas retiré tout le yETH qu’il a créé, il n’en a vendu qu’une partie dans le pool yETH-ETH pour 1 000 ETH (environ 3 millions de dollars) — ce qui est bien inférieur au gain réel qu’il a réalisé (P2).

Plus qu’un vol, c’est donc une désintégration contrôlée du protocole yETH. Et derrière l’attaque, une connaissance mathématique profonde, couplée à un talent de programmation froid et précis.

Crypto et confiance : quand le code devient le talon d’Achille

Yearn Finance est loin d’être un projet amateur. Pourtant, la faille n’a été détectée ni par les utilisateurs ni par les audits. C’est là que la question devient inquiétante pour l’ensemble du marché crypto. Car ce type d’erreur — une multiplication à la place d’une division — pourrait exister ailleurs, tapie dans d’autres protocoles.

La structure du contrat yETH est un hybride entre Curve et Balancer. Sauf qu’au lieu de recalculer à chaque transaction, il stocke un état intermédiaire (vb_prod) censé être mis à jour après chaque swap. Une pratique dangereuse, selon Ilia.eth :

Stocker les résultats de produits complexes (vb_prod) pour les mettre à jour de façon incrémentale est extrêmement risqué. Les erreurs s’accumulent, et le moindre bug logique peut rester actif indéfiniment. Il vaudrait mieux recalculer les invariants à partir des soldes actuels.

Le hack relance le débat : faut-il privilégier l’économie de gas ou la rigueur ? Une chose est sûre : les conséquences d’un compromis bâclé se chiffrent désormais en millions. Chez Yearn, l’heure est à la remobilisation : SEAL911, ChainSecurity et une enquête post-mortem sont déjà en première ligne.

5 faits clés sur l’exploit de Yearn Finance 

• 30 novembre 2025 : date du hack ;
• 9 millions de dollars : pertes totales estimées ;
• 2,35 × 10³⁸ yETH : tokens créés artificiellement ;
• Transaction unique : toute l’attaque s’est déroulée en un seul bloc ;
• Helper contracts : déployés, utilisés, puis autodestruits.

Les erreurs de calcul en crypto ne pardonnent pas. Et pour cause : ce n’est pas un audit supplémentaire qui aurait évité le carnage. Balancer, malgré 11 audits de sécurité, a lui aussi été vidé par un bug presque jumeau. Un simple facteur de multiplication peut devenir une arme de destruction massive lorsque la finance devient programmable. Les protocoles ont la mémoire courte, mais les blockchains n’oublient jamais.