Kodefejl i DIP-tokenet fører til stort tab
En kodefejl i DIP-tokenet, et væsentligt nyttigt aktiv i Etherisc-økosystemet, gjorde det muligt for en angriber at siphonere cirka $111.098 i USD Coin (USDC), afslørede blockchain-sikkerhedsfirmaet Slowmist.
Nøglepunkter
- Slowmist oplyste, at en manglende returneringssætning i DIP-tokenets kode drænede omkring $111.098 i USDC.
- Fejlen fordoblede overførsler via Pancakeswap, hvilket bidrog til over 2.150 hændelser, der er registreret af Slowmist i år.
- DeFi-sektoren har mistet over $1 milliard til udnyttelser i 2026, hvilket holder efterspørgslen efter revision høj ind i H2.
- Slowmist markerede hændelsen i en trusselintelligensadvarsel og satte tabet til 111.097,6 USDC.
Detaljer om angrebet
Firmaet forklarede, at DIP-tokenets “_transfer”-funktion manglede en “return”-sætning i den gren, der håndterer handler, der rutes gennem Pancakeswap-routeren (et tilbud, som decentrale børser bruger til at bytte tokens mod likviditetspools). Teamet tilføjede:
“Angriberen udnyttede dette ved at kalde
skim(router)for at udløse dobbelte DIP-overførsler og dereftersyncfor at sætte DIP-reserven til en ekstremt lav værdi, hvilket manipulerede AMM-prisen for at dræne puljen.”
På trods af en detaljeret gennemgang nævnte Slowmist ikke angriberen eller sagde, om de stjålne midler kunne blive genvundet snart. Mekanikken i hele operationen synes at være ret almindelig, givet at decentrale børser som Pancakeswap er afhængige af automatiserede routerkontrakter til at flytte tokens mellem handlende og likviditetspools.
Konsekvenser og fremtidige udsigter
I DIP-sagen betød den manglende “return”, at koden, der skulle have stoppet efter én overførsel, i stedet faldt igennem og blev udført en anden gang. Hver handel, der berørte routeren, betalte effektivt ud to gange, hvilket stille og roligt blødede USDC fra puljen. Fejlen krævede ingen flash-lån, oracle-trick eller stjålet nøgle for at fungere (kun et hul i tokenets egen kode).
DIP-tab er lille i forhold til årets overskriftsbrud, men det passer ind i en konstant trommerytme af kode-niveau fejl. Slowmists offentlige hack-database alene har registreret mere end 2.150 hændelser og omkring $37,8 milliarder i kumulative tab. I de seneste dage har tracker registreret et tab på $105.000 ved Thetanuts Finance og en $2,1 million Aztec Connect-udnyttelse.
Endda mere specifikt kan man se, at smart contract-fejl har drevet meget af årets skade, med DeFi-protokoller, der har mistet mere end $1 milliard til hacks og udnyttelser (pr. sidste måned). Slowmist selv sporede Aztec Connect-drænet til en forældet kontrakt og satte et $174.570 Grok-Bankr-tyveri på en kunstig intelligens (AI) agent, der blev narret til at godkende en overførsel.
Endelig rapporterede Bitcoin.com News tidligere på året, at Zetachain satte sin mainnet på pause, efter at Slowmist identificerede en manglende adgangskontrol i sin GatewayZEVM-kontrakt, endnu et tilfælde af et enkelt logikhul, der gav angribere en åbning. Uden nogen bekræftet genvinding og angriberen stadig uidentificeret, styrker DIP-episoden en tilbagevendende lektion: en enkelt manglende linje kan være nok til at tømme en pulje, og uafhængige revisioner forbliver den primære forsvarslinje, mens DeFi-tab stiger.
