Một cuộc tấn công canh tác sybil nhằm vào WUSD.fi và GLOVE đã tiêu tốn khoảng 200 nghìn đô la từ nhóm thanh khoản Uniswap V3 trên Ethereum. Không có cuộc kiểm toán nào phát hiện ra lỗ hổng cơ chế khen thưởng.
Ai đó đã tìm ra phép toán trước khi giao thức thực hiện. Vào ngày 25 tháng 5, một kẻ tấn công đã lấy đi khoảng 200 nghìn đô la từ hai nhóm Uniswap V3 gắn liền vớiWUSD.fivà giao thức GLOVE trên Ethereum. Không phải là một lỗi chính xác trong mã hợp đồng. Thêm một trường hợp về cơ chế khen thưởng không bao giờ hỏi xem đó là khen thưởng cho ai.
Nhà nghiên cứu bảo mật chuỗi khốiexvulsec đã gắn cờ sự cố trên X, bố trí toàn bộ đường dẫn trên chuỗi. Kẻ tấn công đã sử dụng một khoản vay nhanh, luân chuyển qua các ví mới và đổ mã thông báo GLOVE đã thu hoạch vào nhóm thanh khoản trước khi bất kỳ ai bắt được nó.
Người thợ cơ khí đã được thử nghiệm căng thẳng
Bên trong hợp đồng của WUSD.fi có một chức năng gọi là WUSD._englove. Theoexvulsec trên X, bất kỳ ví mới nào gói ít nhất 100 WUSD trong khi giữ dưới 2 GLOVE đều có thể gọi Glove.mintCreditless và nhận được tối đa 2 mã thông báo GLOVE. Không kiểm tra danh tính. Không có giới hạn tỷ lệ. Không có gì.
Kẻ tấn công đã triển khai các hợp đồng trợ giúp EIP-7702, rút một khoản vay ngắn hạn Morpho USDT, sau đó chạy lặp lại các chu kỳ gói và mở gói trên các địa chỉ ví mới. Mỗi địa chỉ mới đủ điều kiện một lần nữa. GLOVE tiếp tục đúc tiền.
GLOVE được thu hoạch sẽ được chuyển thẳng vào Uniswap V3. Nhóm GLO-USDC đã mất 11.702 USDC trong các cống có thể quan sát được. Nhóm GLO-USDT giảm 8.079 USDT. Cả hai số liệu đều được xác nhận thông quaQuét Ethertại thời điểm báo cáo.
Cộng đồng đã theo dõi những gì
Bảo mậtAI trên Xnói một cách rõ ràng: bản thân việc khai thác không phải là hợp đồng. Đó là thiết kế cơ chế khen thưởng. Kiểm toán có xu hướng nhìn vào logic mã. Họ hiếm khi kiểm tra các con đường khuyến khích kinh tế theo cách mà kẻ tấn công sẽ làm.
Tài khoản tiền điện tử tiếng Trungaegixe_cn trên Xgọi đây là một cuộc tấn công lạm dụng khuyến khích khác và cảnh báo người dùng hiểu cơ chế của giao thức trước khi bỏ tiền vào. Loại lời nhắc đó sẽ có tác dụng khác khi 200 nghìn đô la đã rời khỏi nhóm. Việc khai thác DeFi đã tăng lên trong năm nay, vớiChỉ có thể chứng kiến nhiều sự cố ở lớp thanh khoản trên Ethereum.
Không có thao tác tiên tri. Không có sự tái nhập. Chỉ là một chức năng đào tiền để phát token cho bất kỳ ai xuất hiện với địa chỉ mới. Cuộc tấn công tiếp tục diễn ra miễn là các địa chỉ mới vẫn đủ điều kiện. Và họ đã làm vậy,một phần của mô hình khiến DeFi tiêu tốn gần 770 triệu đô la vào năm 2026. Theo hồ sơ.
Nguồn: Live Bitcoin News
Để lại một bình luận