За последние сутки два DeFi-протокола понесли убытки из-за критических просчетов в дизайне смарт-контрактов. GLOVE и vsdCRV лишились в общей сложности $291 тыс., что вновь привлекло внимание к уязвимостям экономических стимулов, которые часто остаются незамеченными при стандартном аудите.
25 мая злоумышленник атаковал пулы ликвидности WUSD.fi и GLOVE на Ethereum, воспользовавшись функцией WUSD._englove. Любой новый кошелек, обернув не менее 100 WUSD и имея на балансе менее 2 GLOVE, мог вызвать Glove.mintCreditless и бесплатно получить до 2 токенов GLOVE без каких-либо ограничений по скорости или числу запросов. Атакующий задействовал мгновенный заем через Morpho USDT и контракты EIP-7702, создавая множество свежих адресов и повторяя циклы упаковки/распаковки. Каждый новый адрес снова подходил под условия, что позволяло бесконечно «фармить» GLOVE. Все добытые токены немедленно сбрасывались в пулы Uniswap V3: пул GLO-USDC потерял 11 702 USDC, а пул GLO-USDT — 8 079 USDT. Общий ущерб оценивается в $200 000. По словам исследователя exvulsec, «аудит не обнаружил изъян в механизме вознаграждений», а в SecureAI подчеркнули, что проблема была не в коде, а в экономическом дизайне. Китайский аккаунт aegixe_cn напомнил пользователям о необходимости изучать механику протокола перед вложением средств — урок ценой почти $200 тыс. С начала 2026 года суммарные потери DeFi от подобных атак уже достигли $770 млн.
На следующий день, 27 мая, исследователи обнаружили аномальную активность в контракте vsdCRV протокола StakeDAO на Arbitrum. Предположительно, уязвимость бесконечной эмиссии позволила создать около 5,4 трлн синтетических токенов vsdCRV. По предварительным данным, злоумышленник манипулировал механизмом расчета долей и индексов вознаграждений, что привело к некорректной валидации чеканки. После раздувания предложения он смог вывести из хранилищ $91 000. Инцидент не связан с компрометацией приватных ключей; корень проблемы — в сбое внутреннего бухгалтерского учета смарт-контракта. В момент обнаружения атака еще продолжалась, и аналитики продолжают мониторинг в реальном времени. Пострадавший инструмент vsdCRV является деривативом ликвидного стейкинга, привязанным к позициям Curve Finance.
Обе атаки демонстрируют, что даже при формально верном коде протоколы остаются уязвимы перед нестандартным использованием экономических стимулов, и призывают разработчиков к более глубокому стресс-тестированию механик вознаграждений.
