WUSD.fi Serangan Pertanian Sybil Menguras $200K dari Kolam GLOVE

Serangan farming sybil pada WUSD.fi dan GLOVE menguras sekitar $200K dari kolam likuiditas Uniswap V3 di Ethereum. Tidak ada audit yang menangkap kelemahan mekanisme imbalan.

Seseorang menemukan rumusnya sebelum protokol melakukannya. Pada 25 Mei, seorang penyerang tunggal pergi dengan sekitar $200K dari dua kolam Uniswap V3 yang terkait dengan protokol WUSD.fi dan GLOVE di Ethereum. Bukan bug dalam kode kontrak secara tepat. Lebih kepada kasus mekanisme imbalan yang tidak pernah menanyakan siapa yang diberi imbalan.

Peneliti keamanan blockchain exvulsec menandai insiden tersebut di X, menjabarkan jejak lengkap di blockchain. Penyerang menggunakan pinjaman kilat, berputar melalui dompet baru, dan menjual token GLOVE yang dipanen ke dalam kolam likuiditas sebelum ada yang menyadarinya.

Mekanisme yang Tidak Pernah Diuji Coba

Di dalam kontrak WUSD.fi terdapat fungsi bernama WUSD._englove. Menurut exvulsec di X, dompet baru yang membungkus setidaknya 100 WUSD sambil memegang kurang dari 2 GLOVE dapat memanggil Glove.mintCreditless dan menerima hingga 2 token GLOVE. Tidak ada pemeriksaan identitas. Tidak ada batasan tarif. Tidak ada apa-apa.

Penyerang mengeluarkan kontrak pembantu EIP-7702, menarik pinjaman kilat Morpho USDT, lalu menjalankan siklus pembungkusan dan pembongkaran berulang di berbagai alamat dompet baru. Setiap alamat baru kembali memenuhi syarat. GLOVE terus dicetak.

GLOVE yang dipanen langsung masuk ke Uniswap V3. Kolam GLO-USDC kehilangan 11.702 USDC dalam drainase yang terlihat. Kolam GLO-USDT kehilangan 8.079 USDT. Kedua angka ini dikonfirmasi melalui Etherscan saat pelaporan.

Apa yang Diketahui Komunitas

SecureAI di X menyatakan secara sederhana: eksploitasi ini bukan dari kontraknya sendiri. Melainkan dari desain mekanisme imbalan. Audit biasanya memeriksa logika kode. Mereka jarang menguji jalur insentif ekonomi secara stres seperti yang dilakukan penyerang.

Akun kripto berbahasa Cina aegixe_cn di X menyebut ini sebagai serangan penyalahgunaan insentif lain dan memperingatkan pengguna untuk memahami mekanisme protokol sebelum menaruh uang. Pengingat semacam itu berbeda saat $200K sudah meninggalkan kolam. Eksploitasi DeFi semakin bertambah tahun ini, dengan Mei saja terjadi beberapa insiden lapisan likuiditas di seluruh Ethereum.

Tanpa manipulasi oracle. Tanpa reentrancy. Hanya fungsi pencetakan token yang memberikan token kepada siapa saja yang muncul dengan alamat baru. Serangan ini berlanjut selama alamat baru terus memenuhi syarat. Dan mereka melakukannya, sebagai bagian dari pola yang telah merugikan DeFi hampir $770M pada tahun 2026. Menurut dokumen-dokumen pelaporan.