Yearn Finance récupère 857 pxETH suite à l'exploitation de $9 millions de yETH, et expose une stratégie complète de récupération d'actifs et d'amélioration de la sécurité

BearMarketBard · 2026-01-19T13:27:02+00:00

Yearn Finance a analysé une vulnérabilité de $9 millions dans yETH, révélant que les efforts de récupération ont permis de récupérer 857,49 pxETH. L'exploitation visait une faille dans le parseur de leur pool stableswap, ce qui a conduit à des améliorations de sécurité immédiates pour prévenir de futurs incidents.

BearMarketBard

2026-01-19 13:27:02

Création du résumé en cours

Yearn Finance a publié une analyse technique approfondie de la vulnérabilité yETH qui a entraîné le vol d’environ $9 millions d’actifs, révélant que les efforts de récupération sont déjà en cours. Avec le soutien des services de récupération d’actifs fournis par les équipes Plume et Dinero, le protocole a réussi à récupérer 857,49 pxETH, ce qui représente environ un quart des fonds compromis. Ces actifs récupérés seront proportionnellement restitués aux déposants yETH affectés.

Mécanisme de la vulnérabilité : une faille arithmétique à plusieurs niveaux

L’exploitation, qui a eu lieu au bloc 23 914 086 le 30 novembre 2025, a exploité une faille arithmétique à plusieurs niveaux intégrée dans le pool de liquidités stableswap hérité de Yearn. L’attaque s’est concentrée sur une vulnérabilité sophistiquée dans le parseur interne du pool, qui agrège plusieurs jetons de staking liquide (LSTs). En exécutant une chaîne complexe d’opérations, l’attaquant a forcé le parseur à entrer dans un état comptable incohérent, déclenchant finalement un dépassement arithmétique qui a permis la génération illimitée de jetons LP. La même vulnérabilité s’étendait aux interactions avec le pool Curve yETH/WETH, amplifiant l’impact de l’attaque.

Impact immédiat sur la récupération des actifs

Les services de récupération d’actifs déployés par les équipes Plume et Dinero ont été essentiels pour atténuer les dégâts. La récupération réussie de 857,49 pxETH démontre l’efficacité des efforts coordonnés lors d’incidents de sécurité en DeFi. L’engagement de Yearn envers une distribution proportionnelle des fonds garantit que les déposants recevront une compensation en fonction de leur exposition au pool compromis.

Portée de l’impact et systèmes non affectés

Fait important, Yearn a confirmé que ses coffres v2 et v3, ainsi que d’autres produits principaux, sont restés sécurisés et non affectés par l’exploitation. La vulnérabilité était limitée au pool stableswap personnalisé, empêchant un effondrement systémique dans l’écosystème du protocole.

Plan de remédiation et de renforcement de la sécurité

Pour prévenir des incidents similaires, Yearn a mis en œuvre une stratégie de remédiation complète. Les mesures clés incluent :

Validation du parseur : mise en œuvre de vérifications explicites du domaine dans le parseur interne du pool pour éviter les états incohérents
Sécurité arithmétique : remplacement des opérations arithmétiques non sécurisées par des opérations vérifiées dans toutes les sections critiques
Désactivation du bootstrap : désactivation de la logique de bootstrap après l’initialisation du pool pour éliminer les fenêtres de vulnérabilité post-lancement

Ces mises à jour représentent un changement fondamental vers une architecture de défense en profondeur, garantissant que les futures versions des pools de liquidités de Yearn intègrent des protections à plusieurs niveaux contre la manipulation arithmétique et les exploits de parsing.

CRV-2,17%

DEFI-2,64%

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.