Một cuộc tấn công sybil farming nhắm vào WUSD.fi và GLOVE đã rút khoảng 200.000 USD từ các pool thanh khoản Uniswap V3 trên Ethereum. Không có cuộc kiểm toán nào phát hiện ra lỗ hổng trong cơ chế thưởng.
Ai đó đã tính toán trước cả giao thức. Vào ngày 25 tháng 5, một kẻ tấn công duy nhất đã rút khoảng 200.000 USD từ hai pool Uniswap V3 liên kết với WUSD.fi và giao thức GLOVE trên Ethereum. Không hẳn là một lỗi trong mã hợp đồng. Đúng hơn, đó là trường hợp một cơ chế thưởng chưa bao giờ đặt câu hỏi nó đang thưởng cho ai.
Nhà nghiên cứu bảo mật blockchain exvulsec đã thông báo về sự cố trên X, phơi bày toàn bộ dấu vết on-chain. Kẻ tấn công đã sử dụng một khoản flash loan, luân chuyển qua các ví mới, và xả token GLOVE thu hoạch được vào các pool thanh khoản trước khi bất kỳ ai kịp phát hiện.
Cơ chế Không Ai Kiểm Tra Ứng Suất
Bên trong hợp đồng của WUSD.fi có một hàm gọi là WUSD._englove. Theo exvulsec trên X, bất kỳ ví mới nào wrap ít nhất 100 WUSD trong khi nắm giữ dưới 2 GLOVE đều có thể gọi Glove.mintCreditless và nhận tới 2 token GLOVE. Không có kiểm tra danh tính. Không có giới hạn tốc độ. Không có gì cả.
Kẻ tấn công đã triển khai các hợp đồng trợ giúp EIP-7702, rút một khoản flash loan Morpho USDT, sau đó thực hiện các chu kỳ wrap và unwrap lặp đi lặp lại qua các địa chỉ ví mới. Mỗi địa chỉ mới lại đủ điều kiện một lần nữa. GLOVE tiếp tục được mint.
GLOVE thu hoạch được đưa thẳng vào Uniswap V3. Pool GLO-USDC mất 11.702 USDC do các đợt rút có thể quan sát được. Pool GLO-USDT mất 8.079 USDT. Cả hai con số đều được xác nhận qua Etherscan tại thời điểm báo cáo.
Những Gì Cộng Đồng Nhận Ra
SecureAI trên X đã nói rõ: vụ khai thác không phải là bản thân hợp đồng. Đó là thiết kế cơ chế thưởng. Các cuộc kiểm toán thường tập trung vào logic mã. Chúng hiếm khi kiểm tra ứng suất các đường dẫn khuyến khích kinh tế theo cách mà kẻ tấn công sẽ làm.
Tài khoản crypto tiếng Trung aegixe_cn trên X gọi đây là một cuộc tấn công lạm dụng khuyến khích khác và cảnh báo người dùng nên hiểu cơ chế của giao thức trước khi đầu tư tiền. Lời nhắc nhở đó có sức nặng khác khi 200.000 USD đã bị rút khỏi pool. Các vụ khai thác DeFi đã chồng chất trong năm nay, với riêng tháng Năm đã chứng kiến nhiều sự cố lớp thanh khoản trên Ethereum.
Không có thao túng oracle. Không có reentrancy. Chỉ là một hàm mint trao token cho bất kỳ ai xuất hiện với một địa chỉ mới. Cuộc tấn công tiếp diễn chừng nào các địa chỉ mới vẫn đủ điều kiện. Và chúng đã như vậy, một phần của mô hình đã khiến DeFi thiệt hại gần 770 triệu USD trong năm 2026. Theo các hồ sơ.
Để lại một bình luận