Yearn Finance : Une faille dans le contrat yETH permet à un hacker de drainer des millions

Ils reviennent toujours, plus inventifs, plus techniques. Les hackers viennent de frapper un nouveau coup d’éclat dans la sphère crypto. Cette fois, c’est Yearn Finance qui en fait les frais. Bilan : 9 millions de dollars envolés. Derrière l’exploit, un bug d’une rare complexité dans le contrat yETH. En surface, un simple swap. En profondeur, un chaos mathématique. Et le pire, c’est que ce n’est pas un cas isolé.

Quand l’arithmétique explose : un bug qui vaut des millions

Le 30 novembre, un utilisateur a pu frapper 2,35 × 10³⁸ yETH grâce à une faille subtile dans la fonction swap() du contrat intelligent. Ce contrat était censé maintenir une règle d’équilibre entre tokens. Sauf qu’une division critique a été omise dans la formule. Résultat : la variable vb_prod s’est emballée. Comme un compteur de vitesse bloqué en surrégime, elle a trompé le protocole sur sa propre santé.

L’exploit a été confirmé par PeckShield qui alertait dans un tweet que près de 9 millions de dollars avaient été perdus. Une partie des fonds – environ 3 millions en ETH – a été envoyée via Tornado Cash, célèbre mixeur cryptographique utilisé pour brouiller les pistes. Le reste dort encore sur l’adresse du hacker.

La gravité du bug n’a rien d’un simple oubli. Comme l’a expliqué Ilia.eth sur X :

L’exploitation d’aujourd’hui du pool $yETH n’était pas une attaque de type flash loan sur le prix, mais bien un effondrement structurel de la comptabilité interne de l’AMM. Voici une analyse technique montrant comment une simple division oubliée a conduit à un drainage complet du protocole.

Cette faille rappelle cruellement le précédent de Balancer, où une mauvaise gestion des arrondis avait causé un chaos similaire. Même cause, même effet : une création monétaire incontrôlée, suivie d’un retrait légitime, mais destructeur.

Des « helper contracts » pour raser l’architecture de Yearn Finance

Ce n’est pas juste le bug qui impressionne. C’est l’ingénierie de l’attaque. En une seule transaction, le hacker a tout orchestré : déploiement de « helper contracts », mint de tokens, conversion en ETH, transfert des fonds, et auto-destruction des contrats pour effacer les traces.

Selon Blockscout, chaque helper contract a exécuté un appel ciblé à la fonction vulnérable, puis envoyé l’ETH vers un wallet maître avant de disparaître. Une stratégie digne d’un casse de film, où le braqueur efface ses empreintes numériques dans la même seconde où il agit.

L’adresse clé identifiée par plusieurs analystes est : 0xa80d…c822, actuellement toujours détentrice d’environ 6 millions en stETH, rETH et autres dérivés Ethereum.

Sur X, William Li propose une lecture complémentaire :

Le hacker n’a en réalité pas retiré tous les yETH qu’il avait créés, il en a seulement vendu une partie dans le pool yETH-ETH contre 1 000 ETH (environ 3 millions de dollars) — ce qui est bien inférieur au gain réel qu’il a engrangé (P2).

Plus qu’un vol, c’est donc une désintégration contrôlée du protocole yETH. Et derrière l’attaque, un savoir mathématique profond, doublé d’un talent de programmation froid et précis.

Crypto et confiance : quand le code devient le talon d’Achille

Yearn Finance est loin d’être un projet amateur. Et pourtant, la faille n’a été détectée ni par les utilisateurs, ni par les audits. C’est ici que l’affaire devient inquiétante pour l’ensemble du marché crypto. Car ce type d’erreur – une multiplication au lieu d’une division – pourrait exister ailleurs, tapie dans d’autres protocoles.

La structure du contrat yETH est un hybride entre Curve et Balancer. Sauf qu’au lieu de recalculer à chaque transaction, il stocke un état intermédiaire (vb_prod) supposé être mis à jour après chaque swap. Une pratique dangereuse, selon Ilia.eth :

Stocker les résultats de produits complexes (vb_prod) pour les mettre à jour de façon incrémentale est extrêmement risqué. Les erreurs s’accumulent, et le moindre bug logique peut rester actif indéfiniment. Il serait préférable de recalculer les invariants à partir des soldes actuels.

Le hack relance le débat : faut-il privilégier l’économie de gas ou la rigueur ? Une chose est sûre : les conséquences d’un arbitrage bâclé se chiffrent désormais en millions. Chez Yearn, l’heure est à la remobilisation : SEAL911, ChainSecurity et une enquête post mortem sont déjà sur le front.

5 faits clés sur l’exploit Yearn Finance 

• 30 novembre 2025 : date du hack ;
• 9 millions $ : pertes totales estimées ;
• 2,35 × 10³⁸ yETH : tokens créés artificiellement ;
• 1 seule transaction : toute l’attaque s’est déroulée en un bloc ;
• Helper contracts : déployés, utilisés, puis auto-détruits.

Les erreurs de calcul, en crypto, ne pardonnent pas. Et pour cause : ce n’est pas un audit de plus qui aurait évité le carnage. Balancer, malgré 11 audits de sécurité, a lui aussi été vidé par un bug presque jumeau. Un simple facteur de multiplication peut devenir une arme de destruction massive quand la finance devient programmable. Les protocoles ont la mémoire courte, mais les blockchains, elles, n’oublient rien.