Kodfel i DIP-token leder till stöld av USDC
Ett kodfel i DIP-token, en viktig nyttotillgång inom Etherisc-ekosystemet, möjliggjorde för en angripare att stjäla cirka $111,098 i USD Coin (USDC), enligt blockchain-säkerhetsföretaget Slowmist.
Nyckelpunkter
- Slowmist rapporterade att en saknad retur-sats i DIP-tokenens kod ledde till att cirka $111,098 i USDC försvann.
- Felet resulterade i dubblerade överföringar via Pancakeswap, vilket bidrog till över 2,150 incidenter som registrerats av Slowmist under året.
- DeFi-sektorn har förlorat över $1 miljard till utnyttjanden under 2026, vilket ökar efterfrågan på noggranna revisioner.
Slowmist flaggade incidenten i en hotintelligensvarning och angav förlusten till 111,097.6 USDC. Företaget förklarade att DIP-tokenens ”transfer”-funktion saknade en ”return”-sats i den gren som hanterar affärer genom Pancakeswap-router.
“Angriparen utnyttjade detta genom att kalla
skim(router)för att utlösa dubbla DIP-överföringar, följt avsyncför att sätta DIP-reserven till ett extremt lågt värde, vilket manipulerade AMM-priset och tömde poolen.”
Trots en detaljerad genomgång namngav Slowmist inte angriparen eller angav om de stulna medlen kunde återhämtas inom kort.
Vanliga mekanismer och risker
Mekaniken bakom operationen verkar ganska vanlig, med tanke på att decentraliserade börser som Pancakeswap förlitar sig på automatiserade routerkontrakt för att flytta tokens mellan handlare och likviditetspooler. En token kan fritt lägga till anpassad logik till sin egen överföringsfunktion, men när denna logik hanterar routerinteraktioner felaktigt, öppnas dörren för upprepade, oavsiktliga utbetalningar.
I DIP-fallet innebar den saknade ”return”-satsen att koden som skulle ha stoppat efter en överföring istället föll igenom och exekverade en andra gång. Varje handel som berörde routern betalade effektivt ut två gånger, vilket ledde till en tyst blödning av USDC från poolen. Felet krävde ingen flash-lån, orakelknep eller stulen nyckel för att fungera – endast ett gap i tokenens egen kod.
Sådana routermedvetna och avgiftsbaserade tokens är vanliga på Binance-länkade kedjor, där projekt ofta lägger till extra beteende på standardtoken-mallar. Varje tillagd gren är en potentiell plats för ett misstag att gömma sig, och automatiserade byten kan utlösa det misstaget tusentals gånger innan någon märker det.
Ökande förluster och behov av revisioner
DIP-förlusten är liten jämfört med årets rubrikbrott, men den passar in i en stadig takt av kodnivåfel. Slowmists offentliga hackdatabas har registrerat mer än 2,150 incidenter och cirka $37.8 miljarder i kumulativa förluster. Under de senaste dagarna registrerade spåraren en förlust på $105,000 vid Thetanuts Finance och ett $2.1 miljoner Aztec Connect-utnyttjande.
Ännu mer specifikt kan man se att buggar i smarta kontrakt har orsakat mycket av årets skador, med DeFi-protokoll som har förlorat mer än $1 miljard till hack och utnyttjanden. Slowmist spårade själv Aztec Connect-tömningen till ett avvecklat kontrakt och knöt en stöld på $174,570 från Grok-Bankr till en artificiell intelligens (AI)-agent som lurades att godkänna en överföring.
Slutligen rapporterade Bitcoin.com News tidigare i år att Zetachain pausade sitt mainnet efter att Slowmist identifierade en saknad åtkomstkontroll i sitt GatewayZEVM-kontrakt, ett annat fall av ett enda logikgap som gav angripare en öppning.
Utan någon bekräftad återhämtning och med angriparen fortfarande oidentifierad, förstärker DIP-episoden en återkommande läxa där en enda saknad rad kan vara tillräcklig för att tömma en pool, och oberoende revisioner förblir det främsta försvarslinjen när DeFi-förlusterna ökar.
