WUSD.fi Sybil 挖礦攻擊從 GLOVE 池中提取 $200K

對WUSD.fi和GLOVE的Sybil農場攻擊，從以太坊上的Uniswap V3流動性池抽走了約$200K 。沒有任何審計發現獎勵機制的缺陷。

有人在協議之前算出了數學。5月25日，一名攻擊者從兩個與WUSD.fi和GLOVE協議相關的Uniswap V3池中，帶走了約$200K 。這並不完全是合約代碼的漏洞，更像是一個從未問過它在獎勵誰的獎勵機制。

區塊鏈安全研究員exvulsec在X上標記了這次事件，列出了完整的鏈上追蹤。攻擊者使用閃電貸款，循環使用新錢包，並在沒有人察覺之前，將收集到的GLOVE代幣倒入流動性池。

沒有人壓力測試的機制

在WUSD.fi的合約內，存在一個名為WUSD._englove的函數。根據exvulsec在X上的說法，任何持有至少100 WUSD且持有GLOVE少於2的新錢包，都可以呼叫Glove.mintCreditless，並獲得最多2個GLOVE代幣。沒有身份驗證。沒有速率限制。沒有任何限制。

攻擊者部署了EIP-7702輔助合約，提取了Morpho USDT閃電貸款，然後在新錢包地址之間反覆進行包裝和解包循環。每個新地址再次符合資格。GLOVE持續被鑄造。

收集到的GLOVE直接投入到Uniswap V3。GLO-USDC池在可觀察的抽水中損失了11,702 USDC。GLO-USDT池損失了8,079 USDT。這兩個數字在報告時都經由Etherscan確認。

社群注意到的點

SecureAI在X上直言：這次漏洞不是合約本身，而是獎勵機制的設計。審計通常只看代碼邏輯，很少像攻擊者那樣壓力測試經濟激勵路徑。

中文加密貨幣帳號aegixe_cn在X上稱這是另一種激勵濫用攻擊，並警告用戶在投入資金前要了解協議的機制。這樣的提醒在$200K 已經離開池子時，效果就不同了。今年DeFi的漏洞層出不窮，僅5月就發生了多起以太坊上的流動性層面事件。

沒有操控預言機。沒有重入攻擊。只有一個鑄幣函數，向任何出現的新地址發放代幣。只要新地址符合資格，攻擊就會持續。它們確實符合資格，這已成為一個模式，讓DeFi在2026年損失了約$770M 。根據申報文件。