Yearn Finance détaille l’attaque de la faille yETH à 9 millions de dollars, confirme la récupération partielle des actifs et publie un plan de correction

Odaily Planète Quotidienne rapporte que Yearn Finance a publié un rapport détaillé sur l’attaque par faille survenue la semaine dernière concernant yETH, soulignant qu’une erreur numérique en trois étapes subsistait dans son pool de liquidité stableswap hérité, permettant à l’attaquant de « frapper » un nombre illimité de jetons LP et de dérober environ 9 millions de dollars d’actifs de ce pool. Yearn confirme avoir, avec l’aide des équipes Plume et Dinero, réussi à récupérer 857,49 pxETH, soit environ un quart des actifs volés. L’équipe prévoit de redistribuer ces fonds récupérés aux déposants de yETH au prorata. Ce protocole de finance décentralisée précise que la faille a été exploitée le 30 novembre 2025 au bloc 23,914,086, l’attaquant ayant utilisé une séquence d’opérations complexe pour forcer l’analysateur interne du pool de liquidité à diverger, déclenchant ainsi un underflow arithmétique. L’attaque visait un pool stableswap personnalisé agrégeant plusieurs jetons de staking liquide (LSTs), ainsi qu’un pool Curve yETH/WETH. Yearn souligne que ses coffres v2 et v3 ainsi que ses autres produits n’ont pas été affectés. Pour remédier à ces problèmes, Yearn a publié un plan de correction comprenant la mise en place de contrôles de domaine explicites sur l’analysateur, le remplacement de l’arithmétique non sécurisée par une arithmétique vérifiée dans les parties critiques, et la désactivation de la logique de bootstrap après la mise en service du pool.