Yearn Finance V1 : Une faille de sécurité de 300 000 $ frappe son coffre-fort TUSD
Un exploit cible un protocole DeFi majeur, rappelant les risques inhérents à la finance algorithmique.
Le choc dans le coffre-fort
Les détails techniques restent à clarifier, mais l'incident a permis le drainage de fonds. L'équipe derrière le protocole est probablement en train de retracer les transactions et d'évaluer les options de remboursement—un processus devenu malheureusement routinier dans le secteur.
Les leçons (encore) non apprises
Chaque faille de ce type sert de rappel brutal : le code est loi, et la loi est impitoyable. Cela soulève des questions persistantes sur la sécurité des coffres-forts (vaults) et la robustesse des audits dans un écosystème qui évolue plus vite que ses garde-fous. Un peu de cynisme financier ? Cela ressemble à une autre facture déguisée en « expérience d'apprentissage » pour la communauté, tandis que les vrais acteurs s'en sortent souvent indemnes.
L'avenir de la gestion des risques
L'industrie va-t-elle enfin prioriser la sécurité sur la course aux rendements ? Cet incident de 300 000 $, bien que significatif, pourrait n'être qu'un avertissement. La pression monte pour des standards plus stricts et une véritable culture de la sécurité, sans quoi la promesse de la DeFi restera vulnérable à sa propre complexité.
Un coffre-fort mal configuré chez Yearn Finance a déclenché une manipulation des prix
Selon une analyse de Weilin Li, chercheur en cryptomonnaies pseudonyme et ancien élève de l'Université des sciences et technologies de Chine, le coffre-fort a configuré l'une de ses stratégies comme un coffre-fort Fulcrum sUSD et a calculé le prix de son action en utilisant uniquement le solde sUSD déposé.
Cela a ouvert la voie aux « attaques par don », où un attaquant transfère directement des actifs dans un coffre-fort numérique afin de fausser les données comptables. Après avoir transféré des jetons Fulcrum sUSD vers le coffre-fort Yearn TUSD, les auteurs de l'attaque ont pu gonfler artificiellement le cours de l'action du coffre-fort.
Le problème a été aggravé par une fonction de rééquilibrage qui retire tous les actifs sous-jacents en sUSD, un actif non pris en compte dans le calcul du prix de l'action du coffre-fort. Au démarrage du rééquilibrage, le prix de l'action du coffre-fort a chuté brutalement, provoquant un véritable choc de prix.
D'après l'analyse Etherscan de PeckShield Alert, l'attaquant a exécuté des prêts flash séquentiels en empruntant d'abord d'importantes quantités de tusd et de sUSD sans garantie initiale. Il a ensuite déposé des sUSD pour créer des tokens Fulcrum sUSD avant de déposer des TUSD dans le coffre-fort TUSD de Yearn.
À ce stade, tous les actifs sous-jacents du coffre-fort TUSD étaient constitués de jetons Fulcrum sUSD. L'attaquant a retiré des fonds du coffre-fort Yearn TUSD et a déclenché la fonction de rééquilibrage, forçant Fulcrum à convertir la totalité des fonds en sUSD. Le sUSD étant exclu du calcul du prix de l'action, la comptabilité du coffre-fort s'est effondrée, faisant chuter le prix de l'action à zéro.
L'attaquant a ensuite transféré une petite quantité de TUSD dans le coffre-fort, faisant chuter le cours de l'action à des niveaux extrêmement bas, et a émis un nombre disproportionné de jetons Yearn TUSD à moindre coût. Il a finalement réalisé des gains en vendant ces jetons Yearn TUSD acquis à bas prix sur les pools Curve,tracprofit des fournisseurs de liquidités avant de rembourser les prêts flash.
Yearn Finance récapitule les vulnérabilités de 2023, selon un chercheur.
Le chercheur Li a constaté que l'exploit était similaire à une attaque menée en 2023, ayant entraîné des pertes supérieures à 10 millions de dollars. LetracyUSDT immuable ciblé lors de cetdent antérieur avait été déployé il y a plus de trois ans, aux débuts d'iearn, lorsque feu Andre Cronje dirigeait le protocole.
Pour information, il s'agit exactement du même vecteur d'attaque que la dernière fois : https://t.co/MKfn7kikJ7
cc @yearnfi @RektHQ
– Weilin (William) Li (@hklst4r) 16 décembre 2025
Des analystes de sécurité pessimistes avaient lancé un avertissement sur les réseaux sociaux concernant cette vulnérabilité avant même son exploitation, mais comme lestracintelligents immuables ne peuvent être ni corrigés ni mis en pause une fois déployés, c'était inévitable.
« iearn finance, Smoothswap, soyez prudents. Cette adresse 0x5bac20…ed8e9cdfe0 a reçu 10 ETH de Tornado et met en œuvre destracavec des prêts éclair en utilisant vos adresses », a écrit Nikiti Kirillov de PS.
Un Yearn, connu sous le pseudonyme de storming0x, a reconnu que l'attaque avait eu lieu et a rassuré les utilisateurs quant à trac . Pourtant, les observateurs de Rekt News ont révélé qu'il avait fallu 1 156 jours au DeFi pour détecter une vulnérabilité de plusieurs millions de dollars.
Letracdu token yUSDT de Yearn générait des rendements à partir d'un panier de positions productrices de rendement, incluant des dépôts usdt sur Aave, Compound, dYdX et Fulcrum (BzX). Cependant, depuis son lancement, le yUSDT contenait une erreur de copier-coller qui référençait l'adresse USDC de Fulcrum au lieu dutracUSDT de Fulcrum.
Avec seulement 10 000 USDT, des pirates informatiques ont pu créer environ 1,2 quadrillion de yUSDT, drainant ainsi la valeur du système avant d'encaisser cash.
L'incident chez Yearn dent moins d'une semaine après que Cryptopolitan a révélé un détournement de 2,7 millions de dollars provenant d'un ancien contrat trac à Ribbon Finance, la nouvelle version d'Aevo. Cette attaque impliquait des interactions répétées avec un contrat d'administrateur de proxy trac l'adresse 0x9D7b…8ae6B76. L'attaquant a utilisé des fonctions telles que transferOwnership et setImplementation pour manipuler les proxys de flux de prix via des appels de délégués.
Réclamez votre place gratuite dans une communauté exclusive de trading de crypto-monnaies - limitée à 1 000 membres.
