Le coffre-fort Yearn TUSD de Yearn Finance V1 a été piraté.

Une version ancienne du protocole de finance décentralisée Yearn a été victime d'une faille de sécurité, ravivant les inquiétudes concernant lestracintelligents mal configurés et immuables qui ont conservé des fonds sur le réseau des années après leur dépréciation.

Dans un message publié mercredi sur X, la société de sécurité PeckShield a indiqué que le piratage de YearnFinanceV1 avait entraîné des pertes d'environ 300 000 $. Les fonds volés ont été convertis en 103 ethers et se trouvent actuellement à l'adresse 0x0F21…4066, selon les images Etherscan partagées par la société.

#AlertePeckShield YearnFinanceV1 @yearnfi a subi une faille de sécurité, entraînant une perte totale d'environ 300 000 $.

Le pirate a échangé les fonds volés contre 103 ETH, qui se trouvent désormais à l'adresse : 0x0F21…4066. pic.twitter.com/KeyfTLKRHx

— PeckShieldAlert (@PeckShieldAlert) 17 décembre 2025

Les pirates ont exploité une faille de sécurité dans un coffre-fort Yearn obsolète lié à TrueUSD, connu sous le nom de « coffre-fort iearn TUSD », toujours déployé sur Ethereum malgré son remplacement par des versions plus récentes. Une vulnérabilité de configuration leur a permis de manipuler le cours des parts via plusieurs transactions.

Un coffre-fort mal configuré chez Yearn Finance a déclenché une manipulation des prix 

Selon une analyse de Weilin Li, chercheur en cryptomonnaies pseudonyme et ancien élève de l'Université des sciences et technologies de Chine, le coffre-fort a configuré l'une de ses stratégies comme un coffre-fort Fulcrum sUSD et a calculé le prix de son action en utilisant uniquement le solde sUSD déposé.

Cela a ouvert la voie aux « attaques par don », où un attaquant transfère directement des actifs dans un coffre-fort numérique afin de fausser les données comptables. Après avoir transféré des jetons Fulcrum sUSD vers le coffre-fort Yearn TUSD, les auteurs de l'attaque ont pu gonfler artificiellement le cours de l'action du coffre-fort.

Le problème a été aggravé par une fonction de rééquilibrage qui retire tous les actifs sous-jacents en sUSD, un actif non pris en compte dans le calcul du prix de l'action du coffre-fort. Au démarrage du rééquilibrage, le prix de l'action du coffre-fort a chuté brutalement, provoquant un véritable choc de prix.

D'après l'analyse Etherscan de PeckShield Alert, l'attaquant a exécuté des prêts flash séquentiels en empruntant d'abord d'importantes quantités de TUSD et de sUSD sans garantie initiale. Il a ensuite déposé des sUSD pour créer des tokens Fulcrum sUSD avant de déposer des TUSD dans le coffre-fort TUSD de Yearn. 

À ce stade, tous les actifs sous-jacents du coffre-fort TUSD étaient constitués de jetons Fulcrum sUSD. L'attaquant a retiré des fonds du coffre-fort Yearn TUSD et a déclenché la fonction de rééquilibrage, forçant Fulcrum à convertir la totalité des fonds en sUSD. Le sUSD étant exclu du calcul du prix de l'action, la comptabilité du coffre-fort s'est effondrée, faisant chuter le prix de l'action à zéro.

L'attaquant a ensuite transféré une petite quantité de TUSD dans le coffre-fort, faisant chuter le cours de l'action à des niveaux extrêmement bas, et a émis un nombre disproportionné de jetons Yearn TUSD à moindre coût. Il a finalement réalisé des gains en vendant ces jetons Yearn TUSD acquis à bas prix sur les pools Curve,tracprofit des fournisseurs de liquidités avant de rembourser les prêts flash.

Yearn Finance récapitule les vulnérabilités de 2023, selon un chercheur.

Le chercheur Li a constaté que l'exploit était similaire à une attaque menée en 2023, ayant entraîné des pertes supérieures à 10 millions de dollars. LetracyUSDT immuable ciblé lors de cetdent antérieur avait été déployé il y a plus de trois ans, aux débuts d'iearn, lorsque feu Andre Cronje dirigeait le protocole.

Pour information, il s'agit exactement du même vecteur d'attaque que la dernière fois : https://t.co/MKfn7kikJ7

cc @yearnfi @RektHQ

– Weilin (William) Li (@hklst4r) 16 décembre 2025

Des analystes de sécurité pessimistes avaient lancé un avertissement sur les réseaux sociaux concernant cette vulnérabilité avant même son exploitation, mais comme lestracintelligents immuables ne peuvent être ni corrigés ni mis en pause une fois déployés, c'était inévitable.

 « iearn finance, Smoothswap, soyez prudents. Cette adresse 0x5bac20…ed8e9cdfe0 a reçu 10 ETH de Tornado et met en œuvre destracavec des prêts éclair en utilisant vos adresses », a écrit Nikiti Kirillov de PS.

Un Yearn, connu sous le pseudonyme de storming0x, a reconnu que l'attaque avait eu lieu et a rassuré les utilisateurs quant àtrac. Pourtant, les observateurs de Rekt News ont révélé qu'il avait fallu 1 156 jours au DeFi pour détecter une vulnérabilité de plusieurs millions de dollars.

Letracdu token yUSDT de Yearn générait des rendements à partir d'un panier de positions productrices de rendement, incluant des dépôts USDT sur Aave, Compound, dYdX et Fulcrum (BzX). Cependant, depuis son lancement, le yUSDT contenait une erreur de copier-coller qui référençait l'adresse USDC de Fulcrum au lieu dutracUSDT de Fulcrum. 

Avec seulement 10 000 USDT, des pirates informatiques ont pu créer environ 1,2 quadrillion de yUSDT, drainant ainsi la valeur du système avant d'encaisser cash.

L'incident chez YearndentCryptopolitanCryptopolitan CryptopolitanCryptopolitanCryptopolitanCryptopolitan CryptopolitanCryptopolitan a révélé un détournement de 2,7 millions de dollars provenant d'un ancien contrattractractractractractractractractracl'adresse 0x9D7b…8ae6B76. L'attaquant a utilisé des fonctions telles que transferOwnership et setImplementation pour manipuler les proxys de flux de prix via des appels de délégués.