Le 1er décembre, le protocole de finance décentralisée Yearn Finance aurait été victime d’une attaque, au cours de laquelle des hackers ont vidé son pool de liquidités en générant une quantité illimitée de yETH.
Selon la société de sécurité PeckShield, les pertes totales liées à cet incident sont estimées à environ 9 millions de dollars.
Les données blockchain montrent que l’attaquant a déjà transféré 1 000 ETH (environ 3 millions de dollars) vers le mixeur cryptographique Tornado Cash, tandis que l’adresse de l’attaquant détient encore près de 6 millions de dollars en actifs numériques.
01 Aperçu de l’incident : le pool yETH vidé en quelques instants
Le 1er décembre, le produit Yearn Ether (yETH) de Yearn Finance a subi une attaque majeure. Ce produit est un jeton indiciel qui agrège plusieurs tokens de staking liquide (LST) populaires.
L’attaquant a exploité une faille soigneusement conçue pour générer presque une quantité illimitée de jetons yETH en une seule transaction, ce qui a permis de vider rapidement l’ensemble du pool de liquidités.
Les données blockchain révèlent que l’attaque a impliqué plusieurs contrats intelligents nouvellement déployés, dont certains se sont auto-détruits immédiatement après la transaction, compliquant ainsi l’enquête.
Après l’incident, Yearn Finance a publié une déclaration sur X : « Nous enquêtons sur l’événement concernant le pool yETH LST StableSwap. Les coffres V2 et V3 de Yearn ne sont pas affectés. »
02 Méthode d’attaque : génération illimitée et transferts de fonds
Selon l’utilisateur X Togbe, l’attaque a été détectée lors de la surveillance de transferts importants.
Togbe explique : « Les transferts nets montrent que le yETH a été sur-généré, permettant à l’attaquant de vider le pool et de réaliser un profit d’environ 1 000 ETH. »
Au cours de l’attaque, une partie des ETH a été perdue pour des raisons inconnues, mais l’attaquant en est tout de même sorti bénéficiaire.
Après avoir sécurisé les fonds, l’attaquant a transféré 1 000 ETH (soit environ 3 millions de dollars) vers Tornado Cash — un protocole de confidentialité décentralisé souvent utilisé pour masquer l’origine des fonds.
D’après les données de PeckShield, l’adresse de l’attaquant détient encore environ 6 millions de dollars en actifs numériques.
03 Tornado Cash : outil de confidentialité et controverse sur le blanchiment
Tornado Cash est un protocole de confidentialité décentralisé basé sur Ethereum, utilisant la technologie de preuve à divulgation nulle de connaissance pour aider les utilisateurs à dissimuler les détails de leurs transactions.
Le protocole protège la confidentialité en rompant les liens on-chain entre les adresses de dépôt et de retrait.
Cependant, cette fonctionnalité de confidentialité a également fait de Tornado Cash un outil privilégié par les hackers pour blanchir des fonds.
En août 2022, le Trésor américain a ajouté Tornado Cash à sa liste de sanctions, arguant que le groupe de hackers Lazarus avait utilisé la plateforme pour blanchir plusieurs centaines de millions de dollars depuis 2019.
En mars 2025, Tornado Cash a finalement été retiré de la liste des sanctions du Trésor — une évolution considérée comme une victoire majeure pour le secteur blockchain.
04 Bilan de sécurité de Yearn Finance
Ce n’est pas la première fois que Yearn Finance est confronté à un incident de sécurité.
En 2021, le protocole a subi une attaque touchant son coffre yDAI, entraînant une perte de 11 millions de dollars, dont 2,8 millions de dollars ont été empochés par les hackers.
En décembre 2023, une erreur de script a provoqué une perte de 63 % sur une position de coffre, mais les fonds des utilisateurs n’ont pas été impactés.
Yearn Finance a été lancé en 2020 par son fondateur Andre Cronje, qui a quitté le projet deux ans plus tard.
05 Impact sur le marché et contexte de baisse généralisée
L’attaque est survenue dans un contexte de forte baisse du marché des cryptomonnaies.
Dans la matinée du 1er décembre, le Bitcoin est brièvement passé sous la barre des 86 000 dollars, perdant plus de 5 % en une seule journée ; l’Ethereum a également chuté sous le seuil des 2 900 dollars.
Selon les données de Coinglass, plus de 500 millions de dollars de contrats crypto ont été liquidés sur le réseau en 24 heures, impactant 177 200 traders.
Ce repli du marché pourrait être lié à des rumeurs concernant la possible démission du président de la Réserve fédérale Jerome Powell, bien qu’aucun média étranger majeur ne l’ait rapporté et que les analystes jugent cette rumeur peu crédible.
06 Réactions de l’industrie et perspectives
Chaque incident de piratage soulève de nouvelles questions sur la sécurité de la DeFi.
Dans le cas de Tornado Cash, le département américain de la Justice a engagé des poursuites pénales en août 2023 contre les cofondateurs Roman Storm et Roman Semenov, les accusant de complot en vue de blanchir de l’argent, d’exploitation d’un service de transmission de fonds non agréé et de violation des réglementations sur les sanctions.
Les organisations du secteur ont exprimé leur désaccord, Coin Center déclarant : « Considérer le développement de logiciels open source comme un crime est un frein à l’innovation technologique. »
Pour les investisseurs institutionnels, l’affaire Tornado Cash montre que les régulateurs attendent désormais une conformité proactive, et non plus une simple vérification de l’identité des contreparties.
Les institutions doivent mettre en place des systèmes de surveillance blockchain en temps réel, associés à des outils automatisés de filtrage des sanctions, afin d’identifier et de bloquer les transactions problématiques avant qu’elles ne soient exécutées.
Perspectives
La société de sécurité blockchain PeckShield estime les pertes totales de cette attaque à environ 9 millions de dollars, dont près de 3 millions ont déjà été transférés vers Tornado Cash et environ 6 millions restent sur l’adresse de l’attaquant.
Au moment de la publication, l’équipe Yearn Finance poursuit son enquête sur l’incident et a confirmé que ses coffres V2 et V3 ne sont pas affectés. Cet événement met une nouvelle fois en lumière les défis persistants de la DeFi en matière de sécurité et de conformité réglementaire.
