WUSD.fi Sybil Farming Attack 攻击从 GLOVE 池中抽取 $200K

对WUSD.fi和GLOVE的Sybil挖矿攻击从Uniswap V3以太坊流动性池中抽走了大约$200K 。没有审计发现奖励机制的缺陷。

有人在协议之前算出了数学公式。5月25日，一名攻击者从两个与以太坊上的WUSD.fi和GLOVE协议相关的Uniswap V3池中大约获得了$200K 。这并不完全是合约代码中的漏洞，更像是一个从未问过“奖励谁”的奖励机制。

区块链安全研究员exvulsec在X上披露了事件，列出了完整的链上追踪。攻击者使用闪电贷，轮换使用多个新钱包，并在没人察觉之前将收获的GLOVE代币抛入流动性池。

无人压力测试的机制

在WUSD.fi的合约中，有一个叫做WUSD._englove的函数。根据exvulsec在X上的描述，任何持有少于2个GLOVE且包装了至少100个WUSD的新钱包，都可以调用Glove.mintCreditless，最多获得2个GLOVE代币。没有身份验证，没有速率限制，什么都没有。

攻击者部署了EIP-7702辅助合约，提取了Morpho USDT闪电贷，然后在多个新钱包地址之间反复进行包装和解包循环。每个新地址再次符合条件。GLOVE持续被铸造。

收获的GLOVE直接进入了Uniswap V3。GLO-USDC池观察到流失了11,702 USDC。GLO-USDT池损失了8,079 USDT。两个数字在报告时通过Etherscan确认。

社区的观察

SecureAI在X上直言不讳：这次漏洞不是合约本身的问题，而是奖励机制的设计问题。审计通常只关注代码逻辑，很少像攻击者那样压力测试经济激励路径。

中文加密货币账号aegixe_cn在X上称之为另一种激励滥用攻击，并提醒用户在投入资金前要理解协议机制。当$200K 已经离开池子时，这样的提醒意义不同。今年DeFi的漏洞不断堆积，仅5月就发生了多起以太坊上的流动性层面事件。

没有预言机操控，没有重入攻击。只是一个向任何出现的新地址发放代币的铸币函数。只要新地址符合条件，攻击就会持续。它们确实如此，成为2026年DeFi损失近$770M 的一个模式。根据相关文件。