Yearn Finance : Hack massif du yETH, 3 millions de $ en ETH blanchis via Tornado Cash
Yearn Finance vient d'essuyer l'un des hacks les plus sophistiqués de la DeFi en 2024. Le produit yETH a été vidé en une seule transaction, permettant aux pirates de générer un nombre quasi infini de jetons. Les 1 000 ETH volés, soit environ 3 millions de dollars, ont déjà transité par Tornado Cash, rendant leur traçage pratiquement impossible.
Un exploit sophistiqué ciblant les dérivés d’Ethereum
Le yETH représente un jeton d’indice composé de plusieurs versions liquides de l’ETH, essentiellement des liquid staking tokens ou LSTs. Cette construction permet aux utilisateurs d’obtenir une exposition diversifiée aux différents protocoles de staking liquide d’Ethereum. L’utilisateur X Togbe a été le premier à signaler des transactions massives et anormales impliquant plusieurs LSTs, notamment ceux de Yearn, Rocket Pool, Origin et Dinero.
L’analyse technique de l’exploit révèle une préparation minutieuse. Les attaquants ont déployé plusieurs nouveaux smart contracts spécifiquement conçus pour cette opération. Ces contrats se sont auto-détruits immédiatement après l’exécution de la transaction, effaçant ainsi les preuves et compliquant considérablement l’analyse post-mortem. Cette technique d’auto-destruction est devenue une signature des hacks DeFi les plus avancés, permettant aux pirates de brouiller les pistes.
Avant l’attaque, le pool yETH affichait une TVL d’environ 11 millions de dollars selon Dexscreener. Les pertes financières totales restent floues, mais l’impact dépasse largement les 3 millions de dollars empochés directement par les pirates. L’effondrement du pool a créé un déséquilibre majeur dans l’écosystème des LSTs, affectant temporairement les prix et la liquidité de plusieurs protocoles connexes.
Une sécurité DeFi toujours sous tension
Cet incident ravive les inquiétudes concernant la sécurité des protocoles DeFi, particulièrement ceux qui utilisent des contrats anciens. La communauté crypto a réagi de manière partagée, certains développeurs pointant du doigt l’utilisation continue de smart contracts obsolètes qui n’ont pas bénéficié des dernières mises à jour de sécurité. Cette critique n’est pas nouvelle pour Yearn Finance, qui a déjà connu plusieurs incidents de sécurité.
En 2021, Yearn avait subi un hack affectant son vault yDAI, entraînant une perte totale de 11 millions de dollars, dont 2,8 millions effectivement volés par les pirates. Plus récemment, en décembre 2023, un script défectueux a anéanti 63% d’une position dans le trésor du protocole, démontrant que les risques ne proviennent pas uniquement des attaquants externes mais aussi des erreurs internes.
Le contexte général de la sécurité DeFi en novembre 2024 s’avère particulièrement préoccupant. Selon CertiK, l’industrie crypto a perdu environ 127 millions de dollars à cause de hacks et d’exploits durant ce seul mois. Ce chiffre aurait atteint 172 millions sans la récupération de 45 millions de fonds volés. L’attaque contre Balancer domine ce classement avec plus de 116 millions de dollars perdus dans une exploitation inter-chaînes sophistiquée, marquant l’une des plus importantes violations de sécurité DeFi de l’année.
C’est Noël avant l’heure sur Bybit !
Cette année, Bybit devance Noël : 65 $ vous attendent dès votre premier dépôt. Une opportunité rare et à durée très limitée ! N’hésitez plus !
Sur le même sujet :
AVIS DE NON RESPONSABILITÉ
Cet article est publié à titre indicatif et ne doit pas être considéré comme un conseil en investissement. Certains des partenaires présentés sur ce site peuvent ne pas être régulés dans votre pays. Il est de votre responsabilité de vérifier la conformité de ces services avec les régulations locales avant de les utiliser.
