Um ataque de sybil farming contra WUSD.fi e GLOVE drenou cerca de US$ 200 mil de pools de liquidez da Uniswap V3 na rede Ethereum. Pelos dados públicos, a falha não estava exatamente no código do contrato, mas no desenho do mecanismo de recompensas.

Um invasor explorou, em 25 de maio, uma brecha econômica ligada aos protocolos WUSD.fi e GLOVE. A operação retirou aproximadamente US$ 200 mil de duas pools da Uniswap V3 na Ethereum. Assim, o caso ganhou relevância porque não envolveu manipulação de oracle, reentrância nem um erro clássico de smart contract.

Em vez disso, o ponto vulnerável estava no sistema de distribuição de recompensas. O mecanismo, segundo a apuração em cadeia, não validava de forma adequada quem podia receber os incentivos. Como resultado, o invasor repetiu o processo com múltiplas carteiras recém-criadas.

Além disso, a dinâmica permitiu a emissão contínua de tokens GLOVE. Depois, o atacante despejou esses ativos nas pools de liquidez. O pesquisador de segurança blockchain exvulsec detalhou o caso no X, ao rastrear as movimentações do atacante e a sequência operacional observada em cadeia.

Mecanismo de recompensa permitiu repetição em massa

No centro do episódio está uma função do contrato da WUSD.fi chamada WUSD._englove. Segundo exvulsec, qualquer carteira nova que fizesse o wrap de ao menos 100 WUSD e mantivesse menos de 2 GLOVE podia chamar a função Glove.mintCreditless. Com isso, esse endereço podia receber até 2 tokens GLOVE.

Contudo, esse fluxo não trazia verificação de identidade, limitação por usuário nem uma barreira efetiva contra repetições em massa. Na prática, isso abriu espaço para um ataque de farming sybil. Em outras palavras, o invasor não precisava repetir a ação com uma única carteira.

Bastava criar novos endereços para se qualificar novamente em cada rodada. Ademais, ele teria implantado contratos auxiliares baseados no padrão EIP-7702, tomado um flash loan em USDT via Morpho e executado sucessivos ciclos de wrap e unwrap com endereços inéditos.

Cada nova carteira atendia outra vez aos critérios do programa de recompensas. Por isso, o sistema seguia emitindo GLOVE sem controle suficiente para travar a repetição. Nesse sentido, a exploração não exigiu quebrar o protocolo. O invasor apenas levou a lógica de incentivos ao extremo, com automação e escala.

O episódio reforça um risco conhecido em finanças descentralizadas. Afinal, um contrato pode funcionar como foi programado e, ainda assim, gerar perdas relevantes quando o modelo econômico está mal calibrado.

Venda nas pools da Uniswap V3 expôs o impacto

Os tokens GLOVE emitidos seguiram para a Uniswap V3. Segundo os registros observáveis no momento da apuração original, a pool GLO-USDC perdeu 11.702 USDC. Já a pool GLO-USDT registrou saída de 8.079 USDT.

Esses registros aparecem na trilha pública da exploração, enquanto o prejuízo total relatado no caso ficou perto de US$ 200 mil. Uma transação no Etherscan mostra parte da execução da estratégia e a liquidação dos ativos nas pools afetadas.

Além disso, a operação chamou atenção porque combinou flash loan, rotação de carteiras novas e venda rápida dos tokens recém-emitidos. Dessa forma, o atacante extraiu valor da liquidez antes que a dinâmica fosse interrompida. Ainda que o volume por carteira parecesse limitado, a repetição em escala ampliou o impacto total.

Comunidade técnica aponta falha de desenho econômico

A leitura da comunidade técnica foi direta. A conta SecureAI no X afirmou que a exploração não decorreu necessariamente de uma falha tradicional no contrato. O problema estaria no desenho do mecanismo de incentivos.

Essa distinção importa porque auditorias costumam examinar a lógica do código. No entanto, nem sempre elas submetem a arquitetura econômica do protocolo ao mesmo nível de pressão aplicado por um agente malicioso em ambiente real.

De fato, segurança de código e segurança de modelo econômico não são a mesma coisa em DeFi. Quando um protocolo premia qualquer endereço novo sem camadas adicionais de controle, ele cria uma superfície de exploração que pode ser automatizada com relativa facilidade.

Aliás, a conta aegixe_cn, voltada ao público de língua chinesa no X, classificou o incidente como mais um caso de abuso de incentivos. Além disso, alertou usuários sobre a necessidade de entender a mecânica interna de um protocolo antes de alocar capital. Esse aviso ganha peso em um momento de sucessivos episódios envolvendo liquidez e emissão de tokens na Ethereum.

DeFi amplia debate sobre incentivos e emissão

O caso de WUSD.fi e GLOVE mostra que nem toda perda em DeFi nasce de um vetor técnico sofisticado. Neste episódio, não houve dependência de manipulação de preços externos nem exploração de falhas clássicas de execução.

Em vez disso, uma função de mint distribuiu tokens para qualquer participante que surgisse com um endereço novo e atendesse critérios mínimos. Como consequência, o processo continuou enquanto novas carteiras permaneceram aptas a reivindicar as recompensas.

Em 2026, esse tipo de incidente vem ampliando a discussão sobre modelos de incentivo em protocolos ligados à liquidez e à emissão de tokens. Portanto, o episódio reforça que o invasor nem sempre precisa violar o sistema. Às vezes, basta usar a própria regra do protocolo de forma extrema e repetitiva para extrair valor das pools.

No caso de WUSD.fi e GLOVE, os dados públicos convergem para a mesma leitura. O invasor combinou flash loan, rotação de carteiras novas e liquidação rápida dos tokens emitidos na Uniswap V3. Assim, a trilha apresentada por exvulsec, os registros no Etherscan e as avaliações de perfis como SecureAI e aegixe_cn indicam que a perda ocorreu porque o mecanismo de recompensa do GLOVE permitia emissões repetidas para novos endereços sem controles suficientes.