Ataque Sybil Farming de WUSD.fi drena $200K de los pools de GLOVE

Un ataque de Sybil farming en WUSD.fi y GLOVE drenó aproximadamente $200K de los pools de liquidez de Uniswap V3 en Ethereum. Ninguna auditoría detectó el fallo en la mecánica de recompensas.

Alguien descifró los números antes que el propio protocolo. El 25 de mayo, un único atacante se llevó aproximadamente $200K de dos pools de Uniswap V3 vinculados al protocolo WUSD.fi y GLOVE en Ethereum. No fue exactamente un bug en el código del contrato. Más bien, un caso en el que el mecanismo de recompensas nunca preguntó a quién estaba recompensando.

El investigador de seguridad Blockchain exvulsec alertó sobre el incidente en X, exponiendo el rastro completo on-chain. El atacante utilizó un flash loan, operó a través de wallets nuevas y volcó los tokens GLOVE recolectados en los pools de liquidez antes de que nadie lo detectara.

La mecánica que nadie sometió a prueba de estrés

Dentro del contrato de WUSD.fi existe una función llamada WUSD._englove. Según exvulsec en X, cualquier wallet nueva que envolviera al menos 100 WUSD mientras tuviera menos de 2 GLOVE podía llamar a Glove.mintCreditless y recibir hasta 2 tokens GLOVE. Sin verificación de identidad. Sin límite de frecuencia. Nada.

El atacante desplegó contratos auxiliares EIP-7702, obtuvo un flash loan de Morpho en USDT y luego ejecutó ciclos repetidos de wrap y unwrap a través de direcciones de wallet nuevas. Cada nueva dirección volvía a calificar. GLOVE seguía acuñándose.

Los GLOVE recolectados fueron directamente a Uniswap V3. El pool GLO-USDC perdió 11,702 USDC en drenajes observables. El pool GLO-USDT perdió 8,079 USDT. Ambas cifras confirmadas a través de Etherscan al momento de la publicación.

Lo que la comunidad notó

SecureAI en X lo dijo claramente: el exploit no estaba en el contrato en sí. Estaba en el diseño del mecanismo de recompensas. Las auditorías tienden a analizar la lógica del código. Rara vez someten a prueba de estrés los caminos de incentivos económicos como lo haría un atacante.

La cuenta cripto en chino aegixe_cn en X lo calificó como otro ataque de abuso de incentivos y advirtió a los usuarios que comprendieran la mecánica de un protocolo antes de invertir dinero. Este tipo de recordatorio cobra otro peso cuando $200K ya han salido del pool. Los exploits en DeFi se han acumulado este año, con solo en mayo registrándose múltiples incidentes en la capa de liquidez en Ethereum.

Sin manipulación de oráculos. Sin reentrancy. Solo una función de acuñación entregando tokens a cualquiera que apareciera con una dirección nueva. El ataque continuó mientras siguieran calificando nuevas direcciones. Y así fue, parte de un patrón que le ha costado a DeFi casi $770M en 2026. Según los registros.

The post WUSD.fi Sybil Farming Attack Drains $200K from GLOVE Pools appeared first on Live Bitcoin News.