Yearn Finance soupçonné d'attaque, le Hacker a envoyé 1 000 ETH de fonds volés à Tornado Cash

Le 1er décembre, le protocole de Finance Décentralisée Yearn Finance a apparemment subi une attaque, un Hacker a épuisé son pool de liquidité en mintant yETH de manière infinie.

Selon la société de sécurité PeckShield, les pertes totales causées par cette attaque s'élèvent à environ 9 millions de dollars.

Les données de la blockchain montrent que les attaquants ont transféré 1000 ETH (environ 3 millions de dollars) vers le mélangeur de crypto-monnaie Tornado Cash, tandis que l'adresse de l'attaquant détient actuellement des actifs cryptographiques d'une valeur d'environ 6 millions de dollars.

01 Résumé de l'événement : le pool yETH a été rapidement vidé

Le produit Yearn Ether (yETH) de Yearn Finance a subi une attaque grave le 1er décembre. Ce produit est un jeton indiciel qui agrège plusieurs jetons de staking liquide (LST) populaires.

L'attaquant a profité d'une vulnérabilité soigneusement conçue pour frapper près d'une quantité infinie de jetons yETH dans une seule transaction, drainant rapidement l'ensemble du pool de liquidités.

Selon les données de la blockchain, cette attaque impliquait plusieurs nouveaux contrats intelligents déployés, dont certains se détruisent immédiatement après la transaction, ce qui complique l'enquête sur l'événement.

Après l'attaque, Yearn Finance a publié une déclaration sur la plateforme X : “Nous enquêtons sur l'incident impliquant le pool StableSwap yETH LST, les coffres V2 et V3 de Yearn n'ont pas été affectés.”

02 Méthodes d'attaque : minting illimité et transfert de fonds

Selon les observations de l'utilisateur X, Togbe, ils ont découvert cette attaque anormale lors de la surveillance des gros transferts.

Togbe a expliqué : « Le transfert net montre que yETH a été excessivement minté, ce qui a permis aux hackers de siphonner le fonds et de réaliser un profit d’environ 1 000 ETH. »

Au cours de l'attaque, une partie de l'ETH a été sacrifiée pour des raisons inconnues, mais l'attaquant a finalement tout de même réalisé un profit.

Après avoir réussi, l'attaquant a transféré 1000 ETH (d'une valeur d'environ 3 millions de dollars) dans Tornado Cash, un protocole de confidentialité décentralisé souvent utilisé pour dissimuler les flux de fonds.

Selon les données de PeckShield, l'adresse de l'attaquant détient actuellement des actifs cryptographiques d'une valeur d'environ 6 millions de dollars.

03 Tornado Cash : Outil de confidentialité et controverse sur le blanchiment d'argent

Tornado Cash est un protocole de confidentialité décentralisé basé sur Ethereum, qui aide les utilisateurs à masquer les informations de transaction grâce à la technologie des preuves à divulgation nulle de connaissance.

Ce protocole offre une protection de la vie privée aux utilisateurs en coupant les liens on-chain entre les adresses de dépôt et de retrait.

Cependant, cette caractéristique de confidentialité en fait également l'outil de choix des hackers pour le blanchiment d'argent.

Le département du Trésor américain a inscrit Tornado Cash sur la liste des sanctions en août 2022, en raison du fait que depuis 2019, le groupe de hackers Lazarus a utilisé cette plateforme à plusieurs reprises pour blanchir de l'argent, impliquant des montants s'élevant à plusieurs centaines de millions de dollars.

En mars 2025, Tornado Cash a finalement été retiré de la liste des sanctions du ministère des Finances des États-Unis, ce qui est considéré comme une victoire importante pour l'industrie de la blockchain.

04 L'histoire de la sécurité de Yearn Finance

Ce n'est pas la première fois que Yearn Finance fait face à un incident de sécurité.

En 2021, le protocole a été attaqué, affectant sa réserve yDAI, entraînant une perte de 11 millions de dollars, le hacker ayant finalement réalisé un bénéfice de 2,8 millions de dollars.

En décembre 2023, en raison d'une erreur de script, un portefeuille du protocole a subi une perte de 63 %, mais les fonds des utilisateurs n'ont pas été affectés.

Le fondateur de Yearn Finance, Andre Cronje, a lancé le projet en 2020, mais il est parti deux ans plus tard.

05 Impact du marché et chute générale des cryptomonnaies

Au moment de l'attaque, le marché des cryptomonnaies connaît une forte baisse.

Le 1er décembre au matin, le Bitcoin a chuté en dessous de 86 000 dollars, avec une baisse de plus de 5 % au cours de la journée ; l'ETH a également perdu le seuil des 2900 dollars.

Les données de Coinglass montrent que, dans les 24 dernières heures, les liquidations sur l'ensemble du réseau des contrats de cryptomonnaie ont dépassé 500 millions de dollars, avec un nombre de liquidations atteignant 177 200.

La baisse du marché pourrait être liée à des rumeurs de marché - il y a des informations selon lesquelles le président de la Réserve fédérale, Jerome Powell, pourrait démissionner, mais les principaux médias étrangers n'ont pas rapporté cette information. Les analystes estiment qu'il s'agit très probablement d'une fausse nouvelle.

06 Réponse de l'industrie et perspectives d'avenir

Chaque attaque de hacker soulève des doutes sur la sécurité de la Finance Décentralisée.

Dans le cas de Tornado Cash, le département de la Justice des États-Unis a intenté, en août 2023, une action pénale contre les cofondateurs de Tornado Cash, Roman Storm et Roman Semenov, les accusant de complot en vue de blanchir des fonds, d'exercer une activité de transfert de fonds sans autorisation et de violer les réglementations sur les sanctions.

Les organisations de l'industrie s'y opposent, Coin Center a souligné que “considérer le développement de logiciels open source comme un crime est une répression de l'innovation technologique.”

Pour les investisseurs institutionnels, l'affaire Tornado Cash montre que les régulateurs exigent désormais une conformité proactive, et pas seulement le respect de l'identification des contreparties.

Les institutions doivent mettre en œuvre un système de surveillance de la blockchain en temps réel, associé à un filtrage automatisé des sanctions, afin d'identifier et de bloquer les transactions problématiques avant qu'elles ne se produisent.

Perspectives d'avenir

La société de sécurité blockchain PeckShield estime que la perte totale causée par cette attaque est d'environ 9 millions de dollars, dont environ 3 millions de dollars ont été transférés à Tornado Cash, et l'adresse de l'attaquant détient encore environ 6 millions de dollars d'actifs cryptographiques.

À la date de publication, l'équipe de Yearn Finance continue d'enquêter sur cet incident et confirme que ses coffres V2 et V3 n'ont pas été affectés. Cet incident souligne à nouveau les défis continus auxquels le domaine de la Finance Décentralisée est confronté en matière de sécurité et de conformité réglementaire.