Een sybil farming aanval op WUSD.fi en GLOVE heeft ongeveer $200K uit Uniswap V3 liquiditeitspools op Ethereum weggehaald. Geen audit heeft de fout in het beloningsmechanisme opgemerkt.
Iemand had de wiskunde eerder door dan het protocol. Op 25 mei liep een enkele aanvaller weg met ongeveer $200K uit twee Uniswap V3-pools die verbonden zijn met het WUSD.fi– en GLOVE-protocol op Ethereum. Niet precies een bug in de contractcode. Meer een geval van een beloningsmechanisme dat nooit vroeg wie het beloonde.
Blockchain-beveiligingsonderzoeker exvulsec meldde het incident op X en legde het volledige on-chain spoor bloot. De aanvaller gebruikte een flashlening, doorliep nieuwe wallets en dumpte geoogste GLOVE-tokens in de liquiditeitspools voordat iemand het doorhad.
Het Mechanisme Dat Niemand Stress-Testte
In het contract van WUSD.fi zit een functie genaamd WUSD._englove. Volgens exvulsec op X kon elke nieuwe wallet die minimaal 100 WUSD inpakte terwijl hij minder dan 2 GLOVE vasthield, Glove.mintCreditless aanroepen en tot 2 GLOVE-tokens ontvangen. Geen identiteitscontrole. Geen snelheidslimiet. Niets.
De aanvaller implementeerde EIP-7702 hulpcontracten, trok een Morpho USDT flashlening en voerde vervolgens herhaalde wrap- en unwrap-cycli uit over nieuwe walletadressen. Elk nieuw adres kwalificeerde opnieuw. GLOVE bleef minten.
Geoogste GLOVE ging rechtstreeks naar Uniswap V3. De GLO-USDC-pool verloor 11.702 USDC in waarneembare afnames. De GLO-USDT-pool verloor 8.079 USDT. Beide cijfers bevestigd via Etherscan op het moment van rapporteren.
Wat de Gemeenschap Opmerkte
SecureAI op X zei het duidelijk: de exploit was niet het contract zelf. Het was het ontwerp van het beloningsmechanisme. Audits kijken vaak naar codematica. Ze stress-testen zelden economische stimulanspaden zoals een aanvaller dat doet.
Chinese-talige crypto-account aegixe_cn op X noemde het een nieuwe incentive-misbruik aanval en waarschuwde gebruikers om de mechanica van een protocol te begrijpen voordat ze geld erin stoppen. Zo’n herinnering komt anders binnen wanneer er al $200K uit de pool is verdwenen. DeFi-exploits stapelen zich dit jaar op, met alleen al in mei meerdere incidenten op liquiditeitslaag op Ethereum.
Geen orakelmanipulatie. Geen reentrancy. Gewoon een mintfunctie die tokens uitdeelt aan iedereen die met een nieuw adres opdagen. De aanval bleef doorgaan zolang nieuwe adressen bleven kwalificeren. En dat deden ze, onderdeel van een patroon dat DeFi in 2026 bijna $770M heeft gekost. Volgens de documenten.
Geef een reactie