Ce dimanche 30 novembre, Yearn Finance a confirmé une exploitation active de faille qui a touché son produit yETH. Un attaquant aurait créé un montant pratiquement illimité de yETH et a vidé la liquidité des pools Balancer.
Cette attaque a déclenché un mouvement important sur la blockchain, plusieurs transferts de 100 ETH ayant transité via Tornado Cash.
SponsoredUne attaque de minting infini vide la liquidité des pools Balancer
Selon les données de la blockchain, l’exploitation a eu lieu vers 23h11 (heure de Paris) le 30 novembre, lorsqu’un wallet malveillant a réalisé une attaque de mint infini pour créer environ 235 trillions de yETH en une seule transaction.
Le système d’alerte de Nansen a par la suite confirmé l’attaque et identifié l’événement comme une vulnérabilité de mint infini dans le smart contract du token yETH, et non dans l’infrastructure des Vaults de Yearn.
L’attaquant a utilisé le yETH nouvellement créé pour vider des actifs réels, principalement de l’ETH et des Liquid Staking Tokens (LST), à partir des pools de liquidité Balancer. Les premières estimations suggèrent que 2,8 millions de dollars en actifs ont été retirés.
Environ 1 000 ETH ont été blanchis par le biais de Tornado Cash peu après l’attaque. Plusieurs smart contracts d’assistance utilisés dans l’exploitation ont été déployés quelques minutes avant l’incident puis ont été auto-détruits pour brouiller les pistes.
Yearn a déclaré que les Vaults V2 et V3 n’ont pas été affectés, et la vulnérabilité semble se limiter à l’implémentation d’yETH héritée.
SponsoredLa Valeur Totale Verrouillée (TVL) du protocole reste au-dessus de 600 millions de dollars selon les données de CoinGecko, suggérant que les systèmes de base n’ont pas été compromis.
Le cours du YFI bondit, contre toute attente
Cependant, la réaction du marché a créé une dynamique inattendue. En effet, peu après l’annonce de l’attaque sur les réseaux sociaux et par les analystes blockchain, le cours du YFI a fortement grimpé, passant de près de 4 080 dollars à plus de 4 160 dollars en l’espace d’une heure.
Cette hausse est ainsi survenue malgré les titres négatifs entourant l’écosystème de Yearn.
La réaction du cours semble liée à une mauvaise interprétation du marché durant les premières minutes de l’incident. En effet, les premières annonces d’une “exploitation de Yearn” ont incité à des positions short à fort effet de levier sur le YFI, compte tenu de la faible liquidité du token et de ses mouvements historiquement agressifs à la baisse lors des événements de hack.
L’attaque concernant uniquement yETH et non les Vaults de Yearn, et les vendeurs à découvert ont commencé à couvrir leurs positions. Cela a déclenché un bref short squeeze et une hausse soudaine de volatilité des prix.
L’offre en circulation du YFI n’est que de 33 984 tokens, ce qui en fait l’un des actifs de gouvernance DeFi majeurs les plus illiquides. Cette structure amplifie les mouvements de prix, en particulier pendant les périodes d’incertitude ou de flux de liquidation rapide. Les données sur les dérivés ont également montré une volatilité accrue du financement immédiatement après l’alerte sur l’exploitation.
Pour l’instant, les pertes semblent se limiter aux pools yETH et Balancer touchés par l’exploitation. Les enquêtes sont toujours en cours, et on ignore si des options de récupération existent pour les actifs volés.
Il est probable que les marchés surveilleront une divulgation formelle de Yearn détaillant la cause racine, les efforts de correction et les actions de gouvernance potentielles.
