Récapitulatif complet du vol de 9 millions de dollars chez Yearn : comment le bug en trois étapes a déclenché la « création monétaire illimitée »

【Bitpush】L’affaire du yETH de Yearn Finance qui a été attaqué la semaine dernière, le rapport complet d’analyse officielle vient enfin d’être publié.

Pour résumer, il y avait un bug de valeurs en trois phases caché dans un ancien pool stableswap — les attaquants ont exploité ce bug pour effectuer une « création illimitée de tokens LP », siphonnant directement près de 9 millions de dollars du pool. L’incident s’est produit le 30 novembre, précisément au bloc numéro 23914086.

Mais il y a aussi une bonne nouvelle. Yearn, en collaboration avec les équipes de Plume et Dinero, a réussi à récupérer 857,49 pxETH, soit environ un quart des fonds volés. Cette somme sera restituée proportionnellement aux utilisateurs ayant déposé du yETH.

Sur le plan technique, la méthode des attaquants était particulièrement rusée — ils ont, via une série d’opérations complexes, poussé le parseur interne du pool à diverger, déclenchant finalement un underflow arithmétique. La cible de l’attaque était ce pool stableswap personnalisé agrégeant plusieurs LST, ainsi qu’un pool Curve yETH/WETH. L’équipe a bien précisé que les coffres v2 et v3 ainsi que les autres produits n’ont pas été affectés.

Une solution de correction est déjà en préparation : ajout de contrôles de domaine explicites dans le parseur, remplacement de toutes les opérations arithmétiques non sécurisées par des versions vérifiées, et une astuce supplémentaire — désactiver la logique de bootstrap juste après le lancement du pool. Cette fois, c’est avec de l’argent réel qu’ils ont payé cette leçon.