WUSD.fi シビルファーミング攻撃が $200K を GLOVE プールから流出させる

WUSD.fiとGLOVEに対するシビルファーミング攻撃により、Ethereum上のUniswap V3流動性プールから約$200K が流出しました。監査では報酬メカニズムの欠陥は検出されませんでした。

誰かがプロトコルよりも先に計算式を解明していた。5月25日、単一の攻撃者がEthereum上のWUSD.fiとGLOVEプロトコルに結びついた2つのUniswap V3プールから約$200K を持ち去った。これは契約コードのバグというよりも、誰に報酬を与えているのかを問わなかった報酬メカニズムの問題だった。

ブロックチェーンセキュリティ研究者のexvulsecは、X上でこの事件を指摘し、完全なオンチェーンの追跡を示した。攻撃者はフラッシュローンを使い、新しいウォレットを循環させ、収穫したGLOVEトークンを流動性プールに投下する前に誰にも気付かれずに行動した。

誰もストレステストしなかった仕組み

WUSD.fiのコントラクト内にはWUSD._engloveという関数が存在する。exvulsecによると、X上で、少なくとも100WUSDをラップしながら2GLOVE未満を保持する新しいウォレットは、Glove.mintCreditlessを呼び出し、最大2GLOVEトークンを受け取ることができた。身元確認もレート制限も何もない。

攻撃者はEIP-7702のヘルパーコントラクトを展開し、Morpho USDTのフラッシュローンを引き出し、その後、繰り返しラップとアンラップのサイクルを新しいウォレットアドレス間で行った。各新アドレスは再び資格を得て、GLOVEのミントが続いた。

収穫されたGLOVEはそのままUniswap V3に投入された。GLO-USDCプールは11,702 USDCの明らかな流出を記録し、GLO-USDTプールは8,079 USDTを失った。これらの数字は報告時にEtherscanで確認された。

コミュニティが気付いた点

XのSecureAIはシンプルに指摘した：この脆弱性はコントラクト自体ではなく、報酬メカニズムの設計にあった。監査はコードのロジックを見る傾向が強いが、経済的インセンティブの経路をストレステストすることはほとんどない。

中国語の暗号通貨アカウントaegixe_cnもXでこれを「インセンティブの乱用攻撃」と呼び、ユーザーに対して資金を投入する前にプロトコルの仕組みを理解するよう警告した。その種のリマインダーは、$200K がすでにプールを離れた後では響き方が変わる。DeFiの脆弱性は今年も積み重なっており、5月だけでもEthereum上で複数の流動性層のインシデントが発生している。

オラクル操作もリエントラシーもなく、ただ新しいアドレスを持つ者にトークンを配るミント関数だけが存在した。攻撃は、新しいアドレスが資格を得続ける限り続いた。そして、それは続き、2026年にはDeFiに約$770M の損失をもたらすパターンの一部となった。申請書によると。