WUSD.fi Sybil Farming-aanval legt $200K uit GLOVE Pools leeg

Een sybil farming-aanval op WUSD.fi en GLOVE heeft ongeveer $200K weggesluisd uit Uniswap V3-liquiditeitspools op Ethereum. Geen enkele audit ontdekte de fout in het beloningssysteem.

Iemand had de berekening eerder door dan het protocol zelf. Op 25 mei liep een enkele aanvaller weg met ongeveer $200K uit twee Uniswap V3-pools die verbonden zijn aan het WUSD.fi- en GLOVE-protocol op Ethereum. Niet precies een bug in de contractcode. Eerder een geval van een beloningssysteem dat nooit vroeg wie het beloonde.

Blockchain-beveiligingsonderzoeker exvulsec meldde het incident op X en legde het volledige on-chain spoor vast. De aanvaller gebruikte een flitslening, werkte via nieuwe wallets en dumpte de geoogste GLOVE-tokens in de liquiditeitspools voordat iemand het doorhad.

Het Mechanisme Dat Niemand Stresstestte

In het contract van WUSD.fi bevindt zich een functie genaamd WUSD._englove. Volgens exvulsec op X kon elke nieuwe wallet die minimaal 100 WUSD wrapte terwijl hij minder dan 2 GLOVE bezat, Glove.mintCreditless aanroepen en tot 2 GLOVE-tokens ontvangen. Geen identiteitscontrole. Geen snelheidslimiet. Niets.

De aanvaller zette EIP-7702 hulpcontracten in, nam een Morpho USDT-flitslening op en voerde vervolgens herhaalde wrap- en unwrap-cycli uit via nieuwe walletadressen. Elk nieuw adres kwalificeerde opnieuw. GLOVE bleef minten.

Geoogste GLOVE ging rechtstreeks naar Uniswap V3. De GLO-USDC-pool verloor 11.702 USDC aan aantoonbare wegsluitingen. De GLO-USDT-pool verloor 8.079 USDT. Beide cijfers zijn bevestigd via Etherscan op het moment van rapportage.

Wat de Community Opmerkte

SecureAI op X stelde het duidelijk: de exploit was niet het contract zelf. Het was het ontwerp van het beloningssysteem. Audits kijken doorgaans naar codelogica. Ze stresstesten zelden economische stimuleringspaden zoals een aanvaller dat doet.

Chinees crypto-account aegixe_cn op X noemde het een nieuwe misbruikaanval op stimulansen en waarschuwde gebruikers om de werking van een protocol te begrijpen voordat ze er geld in stoppen. Dat soort herinnering komt anders aan wanneer $200K de pool al heeft verlaten. DeFi-exploits stapelen zich dit jaar op, waarbij alleen al in mei meerdere liquiditeitslaagincidenten plaatsvonden op Ethereum.

Geen orakelmanipulatie. Geen reentrancy. Gewoon een mintfunctie die tokens uitdeelde aan iedereen die opdook met een nieuw adres. De aanval ging door zolang nieuwe adressen bleven kwalificeren. En dat deden ze, onderdeel van een patroon dat DeFi in 2026 bijna $770M heeft gekost. Volgens de ingediende stukken.

The post WUSD.fi Sybil Farming Attack Drains $200K from GLOVE Pools appeared first on Live Bitcoin News.