L'attaque Sybil Farming sur WUSD.fi draine 200 000 $ des pools GLOVE

Une attaque Sybil de farming sur WUSD.fi et GLOVE a drainé environ 200 000 $ des pools de liquidité Uniswap V3 sur la Blockchain Ethereum. Aucun audit n'a détecté la faille dans le mécanisme de récompense.

Quelqu'un a compris les calculs avant le protocole. Le 25 mai, un seul attaquant est reparti avec environ 200 000 $ provenant de deux pools Uniswap V3 liés au protocole WUSD.fi et GLOVE sur la Blockchain Ethereum. Pas exactement un bug dans le code du contrat. Plutôt un mécanisme de récompense qui n'a jamais vérifié à qui il distribuait des récompenses.

Le chercheur en sécurité Blockchain exvulsec a signalé l'incident sur X, détaillant l'intégralité de la trace on-chain. L'attaquant a utilisé un flash loan, a enchaîné les cycles via de nouveaux portefeuilles et a déversé les jetons GLOVE récoltés dans les pools de liquidité avant que quiconque ne s'en aperçoive.

Le mécanisme que personne n'a soumis à un test de résistance

Dans le contrat de WUSD.fi se trouve une fonction appelée WUSD._englove. Selon exvulsec sur X, tout nouveau portefeuille enveloppant au moins 100 WUSD tout en détenant moins de 2 GLOVE pouvait appeler Glove.mintCreditless et recevoir jusqu'à 2 jetons GLOVE. Aucune vérification d'identité. Aucune limite de débit. Rien.

L'attaquant a déployé des contrats d'aide EIP-7702, a obtenu un flash loan Morpho USDT, puis a effectué des cycles répétés de wrap et d'unwrap sur de nouvelles adresses de portefeuille. Chaque nouvelle adresse se qualifiait à nouveau. GLOVE continuait à être minté.

Les GLOVE récoltés ont été directement injectés dans Uniswap V3. Le pool GLO-USDC a perdu 11 702 USDC lors de drainages observables. Le pool GLO-USDT a perdu 8 079 USDT. Les deux chiffres ont été confirmés via Etherscan au moment du signalement.

Ce que la communauté a remarqué

SecureAI sur X l'a dit clairement : l'exploit n'était pas le contrat lui-même. C'était la conception du mécanisme de récompense. Les audits ont tendance à examiner la logique du code. Ils soumettent rarement les chemins d'incitation économique à des tests de résistance comme le ferait un attaquant.

Le compte crypto en langue chinoise aegixe_cn sur X l'a qualifié d'autre attaque par abus d'incitation et a averti les utilisateurs de bien comprendre les mécanismes d'un protocole avant d'y investir de l'argent. Ce type de rappel résonne différemment lorsque 200 000 $ ont déjà quitté le pool. Les exploits DeFi se sont accumulés cette année, mai ayant seul enregistré plusieurs incidents au niveau de la couche de liquidité sur la Blockchain Ethereum.

Aucune manipulation d'oracle. Aucune réentrance. Juste une fonction de minting distribuant des jetons à quiconque se présentait avec une nouvelle adresse. L'attaque a continué tant que de nouvelles adresses continuaient à se qualifier. Et c'est ce qui s'est passé, dans le cadre d'un schéma qui a coûté à la DeFi près de 770 millions de dollars en 2026. Selon les données disponibles.

The post WUSD.fi Sybil Farming Attack Drains $200K from GLOVE Pools appeared first on Live Bitcoin News.