Les meilleures analyses crypto directement dans votre boîte mail.
Yield Yak imite Gitcoin dans la dernière attaque visant à vider les portefeuilles
- La société de sécurité blockchain Blockaid a détecté un piratage de l'interface utilisateur sur le sous-domaine de vote de Yield Yak, où des attaquants ont injecté le script de vol de portefeuille Eleven drainer.
- Cette attaque fait écho à une récente faille de sécurité chez Gitcoin, suggérant une tendance croissante des pirates informatiques à cibler les sous-domaines des plateformes de cryptomonnaies plutôt que lestracintelligents principaux.
- Aucun chiffre de pertes confirmé n'a été publié, mais les utilisateurs ayant connecté leurs portefeuilles au site compromis ont pu être exposés à des transactions non autorisées.
La société de cybersécurité Blockaid, spécialisée dans la blockchain, a détecté une faille de sécurité au niveau de l'interface utilisateur du site web de Yield Yak, plateforme d'agrégation de rendements de finance décentralisée (DeFi), le 24 juin 2026. Selon Blockaid, l'interface du site de Yield Yak a été compromise par des scripts malveillants vidant les portefeuilles. Il s'agit de la deuxième attaque de ce type en quelques jours contre une plateforme d'échange de cryptomonnaies majeure, et elle s'inscrit dans la tendance actuelle des attaques de ce type visant les principales plateformes de cryptomonnaies.
D'après le processus de détection de Blockaid, le sous-domaine vote.yieldyak.com a été compromis par un code malveillant provenant d'un logiciel nommé « Eleven drainer ». Ce type de script malveillant incite les utilisateurs à transférer leurs actifs numériques à un attaquant via des transactions qu'ils ont approuvées. Le code malveillant force l'approbation d'actions ou transfère des actifs à un attaquant dès que les utilisateurs connectent leurs portefeuilles, souvent avant même qu'ils ne réalisent ce qui se passe. Au moment de la publication, ni Blockaid ni Yield Yak n'avaient communiqué d'informations sur le montant des pertes subies suite à ce piratage.
L'attaquant utilise un scénario classic
Le piratage de Yield Yak présente des similitudes avec la vulnérabilité découverte il y a quelques jours sur Gitcoin, une plateforme de financement participatif open source. Le 21 juin, Blockaid a signalé que le sous-domaine files.gitcoin.co de Gitcoin contenait le même code malveillant qu'Eleven Drainer et a averti les utilisateurs de se tenir à l'écart de la plateforme, celle-ci étant en cours d'analyse. Blockaid a établi un lien direct entre les deux attaques, précisant que celle de Yield Yak « fait suite à l'incident survenu la veilledent Gitcoin, qui fonctionne de manière similaire ».
🚨Le système de Blockaid adentune attaque frontale sur yieldyak[.]com menée par @yieldyak_. Le sous-domaine du site – vote[.]yieldyak[.]com – contient désormais du code malveillant.
— Blockaid (@blockaid_) 24 juin 2026
Cetdent sur @gitcoin , qui a fonctionné de manière similaire. pic.twitter.com/YFmWEYfa7D
Dans les deux cas, ce sont des sous-domaines qui ont été compromis, et non les interfaces principales de l'application. Le produit principal de Yield Yak, un protocole de yield farming à capitalisation automatique basé sur Avalanche, fonctionne sur le domaine principal. Le sous-domaine de vote compromis semble être un point d'entrée secondaire, mais toute personne y accédant aurait couru le risque de se faire dépouiller de ses fonds.
L'absence de deficoncernant les pertes ne signifie pas toujours des conséquences minimes. Les vulnérabilités de l'interface utilisateur font généralement l'objet d'une enquête qui peut durer des heures, voire des jours, au cours de laquelle les équipes de sécurité identifientdentinteractions entre les portefeuilles et vérifient si des utilisateurs ont effectué des transactions malveillantes. Dans d'autres cas de fraude survenus cette année, les pertes ont varié de plusieurs milliers à plusieurs millions de dollars, en fonction du nombre de personnes ayant connecté des portefeuilles avant la suppression du code malveillant. Par exemple, lors d'un incident surveillé par Blockaiddentdes pirates ont dérobé environ 3,2 millions de dollars à 86 portefeuilles Safe en exploitant une vulnérabilité d'un module tiers en mai. Un autre exemple est l'exploitation de la vulnérabilité du fournisseur de liquidités TrustedVolumes, qui a entraîné des pertes de 5,9 millions de dollars.
Forte augmentation des attaques front-end
Les piratages de Yield Yak et Gitcoin mentionnés s'inscrivent dans une tendance plus large qui a secoué la communauté des cryptomonnaies cette année. Les attaques frontales, où un attaquant exploite le site web d'un projet sans affecter lestracintelligents, sont devenues plus fréquentes sur les principales plateformes DeFi .
Plus tôt dans l'année, OpenEden, Curvance et Maple Finance ont tous subi des attaques de type « front-end » au cours d'une même semaine en février. Ces attaques utilisaient un outil de piratage différent, appelé AngelFerno, mais suivaient la même méthode : accéder à l'infrastructure web d'un projet, insérer du code qui détourne les connexions aux portefeuilles numériques et attendre l'interaction des utilisateurs.
Blockaid a constaté une activité encore plus agressive en avril 2026. Suite à des attaques retentissantes contre Drift Protocol, KelpDAOet d'autres plateformes, des pirates ont créé des domaines similaires en quelques heures pour intercepter les utilisateurs paniqués cherchant à révoquer l'approbation de leurs jetons. L'entreprise a qualifié avril 2026 de « pire mois jamais enregistré pour le vol de cryptomonnaies », avec plus de 629 millions de dollars dérobés lors de plus de 20dent.
Ce que les utilisateurs de Yield Yak doivent savoir
Yield Yak est un protocole DeFi sur Avalanche qui génère automatiquement des rendements composés grâce au yield farming et exploite un agrégateur d'échanges décentralisé, d'après sa fiche sur Alchemy. Les utilisateurs ayant déposé des actifs via lestracintelligents de la plateforme principale ne sont pas directement affectés par une compromission de l'interface, car lestracsous-jacents restent inchangés. Le risque concerne toute personne ayant visité le sous-domaine compromis et y ayant connecté un portefeuille ou signé une transaction.
Au moment de la publication, ni Yield Yak ni Gitcoin n'avaient communiqué publiquement sur l'état d'avancement de la résolution de leursdentrespectifs. Aucune entreprise de sécurité ni aucun expert en blockchain n'a publiquement fait état de pertes confirmées liées à la compromission de Yield Yak, et aucune preuve sur la blockchain n'indique actuellement l'ampleur d'un éventuel vol. Blockaid a conseillé aux utilisateurs de ne pas interagir avec les sites web concernés pendant que le problème fait l'objet d'une enquête et d'une résolution.
Les utilisateurs qui soupçonnent avoir interagi avec vote.yieldyak.com doivent révoquer toutes les autorisations de jetons accordées au cours de la session à l'aide d'un outil fiable et surveiller leurs portefeuilles pour détecter tout transfert non autorisé.
Si vous lisez ceci, vous avez déjà une longueur d'avance. Restez-y grâce à notre newsletter.
FAQ
Qu'est-il arrivé au site web de Yield Yak ?
La société de sécurité Blockaid a détecté que le sous-domaine vote.yieldyak.com de Yield Yak avait été injecté avec un code malveillant « Eleven drainer » conçu pour voler des actifs cryptographiques lorsque les utilisateurs connectent leurs portefeuilles, selon l'alerte de Blockaid sur X le 24 juin 2026.
Eleven Drainer est-il le même logiciel malveillant qui a touché Gitcoin ?
Oui. Blockaid a confirmé que l'attaque Yield Yak utilisait le même code Eleven drainer trouvé sur le sous-domaine files.gitcoin.co de Gitcoin trois jours plus tôt, et a déclaré que les deuxdentfonctionnaient de manière similaire.
Lestracintelligents et les fonds déposés chez Yield Yak sont-ils affectés ?
Les attaques frontales ciblent le site web d'un projet, et non sestracintelligents. Les utilisateurs qui n'ont pas visité ni interagi avec le sous-domaine compromis ne sont pas directement exposés au risque, mais toute personne ayant connecté un portefeuille à vote.yieldyak.com doit révoquer les approbations de jetons et vérifier l'absence de transactions non autorisées.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustronrecommandons vivement d’effectuer vosdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
Ashish Kumar
Ashish Kumar est un journaliste spécialisé dans les cryptomonnaies et la finance, fort de huit ans d'expérience en rédaction. Il couvre l'actualité des marchés des cryptomonnaies, la réglementation, DeFiet les écosystèmes d'échange. Il a collaboré avec CoinGape, Todayq et Newsroompost. Ashish est titulaire d'un PGDP en journalisme anglais de l'IIMC. Il a également interviewé des personnalités du secteur telles qu'Arthur Hayes, Yat Siu, Austin Federa et bien d'autres.
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)