Yearn Finance détaille l’attaque de faille yETH de 9 millions de dollars, confirme la récupération partielle des actifs et annonce un plan de correction

Selon ChainCatcher, d'après un rapport de The Block, HumidiFiYearn Finance a publié un rapport détaillé post-mortem concernant la faille exploitée la semaine dernière sur yETH, indiquant qu'une erreur numérique en trois étapes existait dans son pool de liquidité stableswap hérité. Cette erreur a permis à l'attaquant de « frapper de manière illimitée » des tokens LP et de dérober environ 9 millions de dollars d'actifs depuis ce pool de liquidité.

Yearn a confirmé avoir récupéré, avec l'aide des équipes de Plume et Dinero, 857,49 pxETH, soit environ un quart des actifs volés. L'équipe prévoit de redistribuer les fonds récupérés proportionnellement aux déposants de yETH.

Le protocole de finance décentralisée a indiqué que l'attaque avait eu lieu au bloc 23,914,086 le 30 novembre 2025. L'attaquant, via une séquence d'opérations complexe, a forcé l'analyseur interne du pool de liquidité à entrer dans un état divergent, déclenchant finalement un underflow arithmétique. L'attaque visait un pool stableswap personnalisé agrégeant plusieurs tokens de staking liquide (LSTs), ainsi qu'un pool Curve yETH/WETH.

Yearn a souligné que ses coffres v2 et v3 ainsi que les autres produits n'ont pas été affectés. Pour résoudre ces problèmes, Yearn a annoncé un plan de correction, comprenant la mise en œuvre de contrôles de domaine explicites sur l'analyseur, le remplacement de l'arithmétique non sécurisée par une arithmétique vérifiée dans les parties critiques, et la désactivation de la logique de bootstrap après la mise en ligne du pool.