Yearn Finance Piraté : Des Millions en Crypto Détournés Vers Tornado Cash
Une faille de sécurité majeure vient de frapper l'écosystème DeFi. Les fonds s'évaporent dans le mixer de confidentialité le plus notoire de l'espace crypto.
L'attaque, technique et ciblée, a exploité une vulnérabilité pour siphonner les acteurs. Le montant exact reste à confirmer, mais les premières estimations parlent de millions de dollars en cryptomonnaies. Un coup dur pour la confiance, alors que le secteur tentait de se présenter comme une alternative « mature » aux banques traditionnelles – qui, elles, préfèrent généralement perdre votre argent via des frais opaques plutôt que par des hacks spectaculaires.
La destination finale ? Tornado Cash. Le protocole de mixage, outil privilégié pour brouiller les pistes des transactions, reçoit le butin. Cette étape rend le suivi des fonds extrêmement complexe, voire impossible, pour les enquêteurs de la blockchain.
Les équipes de Yearn sont en alerte rouge, analysant la faille pour en comprendre l'origine et prévenir de futurs incidents. Les utilisateurs sont invités à la plus grande prudence. Cet événement rappelle, s'il le fallait, que le rendement élevé va souvent de pair avec un risque systémique élevé. Dans la finance décentralisée, la sécurité reste le dernier rempart – et aujourd'hui, il a cédé.
Rejoignez notre groupe Telegram pour rester au courant des dernières nouvelles crypto en direct.
La DeFi subit un nouveau coup dur avec l’attaque du produit yETH de Yearn Finance. Ce jeton regroupe plusieurs tokens de staking liquide (LST) adossés à Ethereum, issus des principaux protocoles de finance décentralisée.
Une faille sur un ancien contrat a permis à un attaquant de créer des yETH en quantité presque illimitée. Le pirate a ensuite envoyé environ, vers Tornado Cash.
Une attaque sur un produit reconnu qui vide la liquidité du yETH
L’attaque ciblant un contrat yETH Yearn Finance laisse un trou béant dans le protocole. L’assaillant a abusé de la logique de calcul des parts du vault.. Il a ainsi pu échanger ces jetons contre de l’ETH et des LST, sur des pools de liquidité des protocoles Balancer et Curve.
Cela a permis à l’attaquant de vider la pool yETH en une seule opération. Les premières estimations évoquent une perte globale proche de 9 millions de dollars. Environ, puis envoyés vers Tornado Cash.
yETH update: With the assistance of the plume and Dinero teams, a coordinated recovery of 857.49 pxETH ($2.39m) was performed. Recovery efforts remain active and ongoing. Any assets successfully recovered will be returned to affected depositors.https://t.co/xaClNhd0C0
— yearn (@yearnfi) December 1, 2025
Le reste,, reste lié aux adresses de l’attaquant. Des firmes de cybersécurité web 3 comme PeckShield suivent toujours ces flux, à l’heure de rédaction de l’article. Pour autant, la récupération de l’entièreté des fonds paraît très improbable pour l’instant…
Pour l’heure,et mis en lieu sûr. Yearn Finance insiste sur le fait que l’attaque ne concerne qu’un vieux contrat yETH.
Direction Tornado Cash
Les coffres V2 et V3, qui concentrent l’essentiel de la TVL (total value locked), seraient restés intacts. Le protocole précise aussi que.
Plusieurs chercheurs en DeFi, dont D2 Finance, évoquent un scénario proche d’un flash loan. Les flash loans permettent à des attaquants de réaliser plusieurs opérations sophistiquées à l’intérieur d’un même bloc de données. Ainsi,.
YEARn FINANCE ATTACKED: 9 MILLION USD VANISHED IN just 1 TRANSACTION
According to data from PeckShield, @yearnfi Finance has just suffered a serious attack with a total loss of approximately 9 million USD.
1. Main developments
– The attacker minted almost unlimited yETH, a… pic.twitter.com/3CQ3uvupE8
— David Arnal (@davidarngar) December 1, 2025
Il n’y a doncdu protocole ou de la chaîne en question. Il aurait ensuite fait émettre une grande quantité de yETH avant que les taux d’emprunt ne se réajustent.
, programmés pour s’autodétruire, ont compliqué l’analyse détaillée de l’exploit. Cette méthode est devenue un classique parmi les gros piratages DeFi.
Une fois la pool vidée, environ 1 000 eth ont été envoyés vers le mixeur Tornado Cash, souvent par lots de 100 ETH. Le protocole de mixage(zero knowledge proofs). Il casse le lien direct entre adresse d’entrée et adresse de sortie.
Le post mortem de l’incident met en lumière un vieux smart contract
Le rapport de Banteg (figure de la DeFi sur Ethereum) qualifie le bug d’“infinite mint”.ni d’un oracle mal configuré comme pour Moonwell. C’est une faille de conception dans un module spécifique de Stableswap.
Tornado Cash est pourtant sous sanctions américaines depuis 2022 et ses développeurs sont soient déjà écroués, soit en passe de l’être.de capitaux et le financement d’activités illicites.
Celadans la rédaction d’outils open source. Les fabricants de couteaux sont-ils inquiétés lorsqu’une attaque au couteau à lieu ?
Dans les faits, le smart contract de Tornado Cash reste en ligne et fonctionnel sur Ethereum. Même siet les outils d’analyse blockchain. La plupart des attaquants continuent donc de s’en servir pour brouiller les pistes.
Pour Yearn Finance, cet incident relance le débat sur la gestion des produits dépréciés et de la mauvaise dette. Le protocole avait. Il avait aussi enregistré en 2023 une lourde perte de trésorerie liée à un script défaillant. La période semble malheureusement très propice aux piratages…
Sur le même sujet :
- Le Bitcoin d’aujourd’hui et celui du bear market 2022 se ressemblent à 98%
- Derrière Cryptomixer : le système secret qui blanchissait l’argent du dark web
- Le CEO de Strategy prévient que Bitcoin ne sera vendu qu’en “dernier recours”
