การโจมตี Sybil Farming ของ WUSD.fi ดูดเงิน $200K จาก GLOVE Pools
การโจมตีแบบ Sybil Farming บน WUSD.fi และ GLOVE ดูดเงินราว $200K จาก Liquidity Pool ของ Uniswap V3 บน Ethereum ไม่มีการตรวจสอบใดจับพบข้อบกพร่องของกลไกรางวัลนี้
มีคนคำนวณตัวเลขออกก่อนที่โปรโตคอลจะรู้ตัว เมื่อวันที่ 25 พฤษภาคม ผู้โจมตีรายเดียวสามารถดูดเงินได้ราว $200K จาก Uniswap V3 Pool สองแห่งที่เชื่อมโยงกับ WUSD.fi และโปรโตคอล GLOVE บน Ethereum ไม่ใช่บั๊กในโค้ดสัญญาโดยตรง แต่เป็นกรณีของกลไกรางวัลที่ไม่เคยถามว่ากำลังให้รางวัลกับใคร
นักวิจัยด้านความปลอดภัย Blockchain exvulsec ได้แจ้งเหตุการณ์นี้บน X พร้อมเปิดเผยเส้นทางทั้งหมดบน On-Chain ผู้โจมตีใช้ Flash Loan วนเวียนผ่านกระเป๋าเงินใหม่หลายใบ และทิ้ง GLOVE Token ที่เก็บเกี่ยวมาลงใน Liquidity Pool ก่อนที่ใครจะทันสังเกต
กลไกที่ไม่มีใครทดสอบความทนทาน
ภายในสัญญาของ WUSD.fi มีฟังก์ชันชื่อ WUSD._englove ตาม exvulsec บน X กระเป๋าเงินใหม่ใดๆ ที่ Wrap อย่างน้อย 100 WUSD ขณะที่ถือ GLOVE ต่ำกว่า 2 ก็สามารถเรียก Glove.mintCreditless และรับ GLOVE Token ได้สูงสุด 2 ตัว ไม่มีการตรวจสอบตัวตน ไม่มีการจำกัดอัตรา ไม่มีอะไรทั้งนั้น
ผู้โจมตีได้ Deploy EIP-7702 Helper Contract ดึง Morpho USDT Flash Loan จากนั้นวนซ้ำ Wrap และ Unwrap ผ่านที่อยู่กระเป๋าเงินใหม่หลายครั้ง แต่ละที่อยู่ใหม่ก็มีคุณสมบัติอีกครั้ง GLOVE ยังคง Mint ต่อไปเรื่อยๆ
GLOVE ที่เก็บเกี่ยวได้ถูกนำเข้า Uniswap V3 โดยตรง Pool GLO-USDC สูญเสีย USDC ไป 11,702 USDC จากการดูดที่สังเกตได้ Pool GLO-USDT สูญเสีย USDT ไป 8,079 USDT ทั้งสองตัวเลขได้รับการยืนยันผ่าน Etherscan ณ เวลาที่รายงาน
สิ่งที่ชุมชนสังเกตเห็น
SecureAI บน X พูดตรงๆ ว่า การโจมตีไม่ได้อยู่ที่ตัวสัญญา แต่อยู่ที่การออกแบบกลไกรางวัล การตรวจสอบมักมองที่ลอจิกของโค้ด แทบไม่ค่อยทดสอบความทนทานของเส้นทางแรงจูงใจทางเศรษฐกิจในแบบที่ผู้โจมตีจะทำ
บัญชี Crypto ภาษาจีน aegixe_cn บน X เรียกมันว่าการโจมตีแบบ Incentive Abuse อีกครั้ง และเตือนให้ผู้ใช้เข้าใจกลไกของโปรโตคอลก่อนนำเงินเข้าไป คำเตือนแบบนั้นมีน้ำหนักต่างออกไปเมื่อ $200K ออกไปจาก Pool แล้ว การโจมตี DeFi กองสะสมมาตลอดปีนี้ โดย แค่เดือนพฤษภาคมก็มีเหตุการณ์ที่ชั้น Liquidity หลายครั้งบน Ethereum
ไม่มีการบิดเบือน Oracle ไม่มี Reentrancy แค่ฟังก์ชัน Minting ที่แจกโทเค็นให้กับทุกคนที่มาพร้อมที่อยู่ใหม่ การโจมตียังดำเนินต่อไปตราบใดที่ที่อยู่ใหม่ยังคงมีคุณสมบัติ และมันก็เป็นอย่างนั้น ซึ่งเป็นส่วนหนึ่งของรูปแบบที่ทำให้ DeFi สูญเสียเงินเกือบ $770M ในปี 2026 ตามเอกสารที่ยื่น
บทความ WUSD.fi Sybil Farming Attack Drains $200K from GLOVE Pools ปรากฏครั้งแรกบน Live Bitcoin News
คุณอาจชอบเช่นกัน
Cwallet และ Staynex ร่วมมือเปิดตัว $STAY Launchpool พร้อมโทเค็น 33.3 ล้านเหรียญ
หลังการเดินทางไปโรงพยาบาล การถอยทัพที่ไม่คาดคิดของทรัมป์จุดประกายการคาดเดา
โอกาสการขายล่วงหน้าในระยะเริ่มต้นที่ดีที่สุด: Pepe Dollar vs PEPETO ท่ามกลางความตึงเครียดทางภูมิรัฐศาสตร์ของอิหร่าน
