Atak Sybil Farming WUSD.fi Drenauje 200 000 USD z Puli GLOVE

Atak sybil farming na WUSD.fi i GLOVE wyciągnął około 200 000 USD z pul płynności Uniswap V3 na Ethereum. Żaden audyt nie wykrył błędu w mechanizmie nagród.

Ktoś rozgryzł matematykę szybciej niż protokół. 25 maja jeden atakujący wyszedł z około 200 000 USD z dwóch pul Uniswap V3 powiązanych z protokołem WUSD.fi i GLOVE na Ethereum. To nie był dokładnie błąd w kodzie kontraktu. To raczej przypadek mechanizmu nagród, który nigdy nie pytał, kogo nagradza.

Badacz bezpieczeństwa blockchain exvulsec oznaczył incydent na X, przedstawiając pełny ślad on-chain. Atakujący wykorzystał flash loan, przełączał się między świeżymi portfelami i zrzucił zebrane tokeny GLOVE do pul płynności, zanim ktokolwiek to zauważył.

Mechanizm, którego nikt nie przetestował pod presją

W kontrakcie WUSD.fi znajduje się funkcja o nazwie WUSD._englove. Według exvulsec na X, każdy nowy portfel opakowujący co najmniej 100 WUSD przy posiadaniu mniej niż 2 GLOVE mógł wywołać Glove.mintCreditless i otrzymać do 2 tokenów GLOVE. Bez weryfikacji tożsamości. Bez limitu częstotliwości. Nic.

Atakujący wdrożył kontrakty pomocnicze EIP-7702, zaciągnął flash loan USDT z Morpho, a następnie przeprowadzał powtarzające się cykle opakowywania i rozpakowywania na świeżych adresach portfeli. Każdy nowy adres ponownie się kwalifikował. GLOVE wciąż był mintowany.

Zebrane GLOVE trafiły prosto do Uniswap V3. Pula GLO-USDC straciła 11 702 USDC w obserwowalnych odpływach. Pula GLO-USDT pozbyła się 8 079 USDT. Obie liczby potwierdzone przez Etherscan w chwili pisania.

Co zauważyła społeczność

SecureAI na X ujął to wprost: exploit nie dotyczył samego kontraktu. Chodziło o projekt mechanizmu nagród. Audyty zazwyczaj analizują logikę kodu. Rzadko testują ekonomiczne ścieżki motywacyjne tak, jak robi to atakujący.

Chińskojęzyczne konto kryptowalutowe aegixe_cn na X nazwało to kolejnym atakiem polegającym na nadużyciu zachęt i ostrzegło użytkowników, aby rozumieli mechanikę protokołu przed zainwestowaniem pieniędzy. Tego rodzaju przypomnienie brzmi inaczej, gdy 200 000 USD już opuściło pulę. Exploity DeFi narastają w tym roku, a tylko w maju doszło do wielu incydentów na warstwie płynności w całym Ethereum.

Żadnej manipulacji wyroczniami. Żadnego reentrancy. Tylko funkcja mintowania rozdająca tokeny każdemu, kto pojawił się ze świeżym adresem. Atak trwał tak długo, jak długo nowe adresy się kwalifikowały. I kwalifikowały się, wpisując się we wzorzec, który kosztował DeFi blisko 770 mln USD w 2026 roku. Zgodnie z dokumentacją.

Wpis WUSD.fi Sybil Farming Attack Drains $200K from GLOVE Pools pojawił się najpierw na Live Bitcoin News.