Yearn Finance lance un plan de remboursement après un piratage de 9 millions de dollars et restituera 2,39 millions de dollars aux déposants.

Yearn Finance a entamé le processus de récupération des fonds volés lors d'une faille de sécurité de 9 millions de dollars qui a touché son pool stableswap yETH le 30 novembre.

Le protocole DeFi a annoncé avoir récupéré avec succès 2,39 millions de dollars d'actifs, qui seront restitués aux déposants concernés.

Selon Cryptopolitan, la faille s'est produite à 21h11 UTC et ciblait une version personnalisée du code de StableSwap. Yearn Finance a confirmé que ses principaux produits de coffre-fort V2 et V3 n'ont pas été affectés par l'incidentdent restent sécurisés pour les utilisateurs.

Yearn Finance récupère 2,39 millions de dollars grâce à un effort coordonné.

Le protocole a annoncé la récupération de 857,49 pxETH, d'une valeur de 2,39 millions de dollars, grâce à une opération menée en collaboration avec les équipes de Plume et Dinero. Yearn Finance a précisé que le processus de récupération est toujours en cours et que tout autre actif récupéré sera restitué aux déposants concernés.

L'opération de récupération intervient quelques jours seulement après l'attaque initiale. Une cellule de crise, réunissant SEAL911 et le partenaire d'audit ChainSecurity, reste opérationnelle tandis que l'enquête approfondie se poursuit. La réponse en matière de sécurité consiste tracles mouvements des actifs volés et à mettre en œuvre des mesures pour prévenir de nouvelles pertes.

Mise à jour concernant yETH : Grâce à l’aide des équipes de Plume et Dinero, une récupération coordonnée de 857,49 pxETH (2,39 millions de dollars) a été effectuée. Les efforts de récupération se poursuivent activement. Tous les actifs récupérés seront restitués aux déposants concernés.https://t.co/xaClNhd0C0

— yearn (@yearnfi) 1er décembre 2025

Détail de l'exploit à 9 millions de dollars

Ensemble, les deux pools ont perdu environ 9 millions de dollars. Le pool stableswap le plus touché a subi une perte d'environ 8 millions de dollars. Curve a également été impacté, le pool stableswap yETH-WETH ayant perdu 900 000 dollars supplémentaires.

L'attaquant a exploité une vulnérabilité lui permettant de créer une grande quantité de jetons yETH. Selon une première analyse de Yearn Finance, le pirate a créé environ 235 billions de yETH sans fournir les garanties requises.

En utilisant le solde de jetons gonflé, l'attaquant a pu échanger les yETH non garantis contre des actifs de staking liquides légitimes tels que stETH, rETH et cbETH du pool stableswap et de l' Ethereum enveloppé du pool Curve.

Vulnérabilité du pool héritée exposée

Cetracétait une version personnalisée d'un code stableswap populaire et étaitdent des autres produits Yearn Finance. Le protocole soulignait qu'aucun autre produit Yearn n'utilisait de code similaire à celui compromis lors de l'attaque.

La vulnérabilité résidait dans un ancientraclié au jeton yETH. Cela permettait à l'attaquant de créer de nouveaux jetons sans les garanties nécessaires, les faisant ainsi apparaître de nulle part.

Yearn Finance a expliqué que, selon les premières analyses, ce piratage présente un niveau de complexité similaire à la récente faille de sécurité de Balancer. Le pool stableswap de yETH n'était pas connecté à l'infrastructure principale des coffres-forts Yearn V2 et V3, ce qui a permis d'isoler le piratage et d'empêcher ainsi sa propagation à ses produits principaux.

L'attaquant blanchit des fonds via un service de mixage.

Quelques heures après l'exploitation de la faille, l'attaquant a commencé à déplacer les actifs volés afin d'effacer ses traces. Environ 1 000 ETH, d'une valeur d'environ 3 millions de dollars, ont ensuite été transférés vers le service de mixage de cryptomonnaies Tornado Cash.

Au 1er décembre, environ 6 millions de dollars de fonds volés restaient dans le portefeuille de l'attaquant à l'adresse 0xa80d.c822. Les fonds restants étaient principalement composés de produits dérivés ETH mis en jeu qui n'avaient pas encore été blanchis.

L'équipe de Yearn Finance a publié des déclarations claires indiquant que les produits principaux de leurs coffres-forts n'étaient pas vulnérables à cette faille. Les coffrestracforts V2 et V3 sont gérés par un contrat intelligent distinct, leur code source étant différent de celui du pool hérité affecté.

Les utilisateurs ayant des fonds dans les coffres Yearn V2 et V3 n'ont eu aucune démarche à effectuer. Le protocole a précisé que l'dent survenu le 30 novembre n'a affecté que les déposants du pool stableswap yETH concerné.

dentde sécurité crypto de novembre

Le piratage de Yearn Finance a clôturé un mois difficile pour la sécurité des cryptomonnaies. En novembre 2025, les pertes ont atteint près de 200 millions de dollars sur de nombreuses plateformes et protocoles importants.

le plus important du moisdenttractrac tractractractrac tractracLa plateforme d'échange sud-coréenne Upbit a subi une compromission de son portefeuille en ligne, entraînant des pertes comprises entre 30 et 38 millions de dollars.

Parmi les autresdentsurvenus en novembre, on peut citer une prise detracde 3,1 millions de dollars par contrat intelligent chez GANA Payment et des pertes d'environ 5 millions de dollars chez Hyperliquid dues à une manipulation des prix.