Chyba v kódu tokenu DIP, který je klíčovým utilitárním aktivem ekosystému Etherisc, umožnila útočníkovi odcizit přibližně 111 098 USD v USD Coin (USDC), jak odhalila společnost Slowmist zabývající se bezpečností blockchainů.
Slowmist: Jediný chybějící řádek kódu způsobil ztrátu 111 000 dolarů pro token DIP
NAPSAL
SDÍLET
Hlavní závěry
Převod, který proběhl dvakrát
Společnost Slowmist na tento incident upozornila v bezpečnostním hlášení a vyčíslila ztrátu na 111 097,6 USDC. Společnost uvedla, že ve funkci „_transfer()“ tokenu DIP chyběl příkaz „return“ ve větvi, která zpracovává transakce směrované přes router Pancakeswap (služba, kterou decentralizované burzy používají k výměně tokenů za likviditní fondy). Tým dále dodal:
„Útočník toho využil voláním `skim(router)`, čímž spustil dvojité převody DIP, a následně voláním `sync()`, čímž nastavil rezervu DIP na extrémně nízkou hodnotu a manipulací s cenou AMM vyprázdnil fond.“
Navzdory podrobnému rozboru společnost Slowmist neoznámila jméno útočníka ani neuvedla, zda by bylo možné ukradené prostředky v dohledné době získat zpět.
Mechanika celé operace se jeví jako poměrně běžná, vzhledem k tomu, že decentralizované burzy, jako je Pancakeswap, spoléhají na automatizované routerové smlouvy k přesunu tokenů mezi obchodníky a likviditními fondy. Token si může do své vlastní přenosové funkce přidat vlastní logiku, ale pokud tato logika nesprávně zpracovává interakce s routerem, otevírá se tím prostor pro opakované, nezamýšlené výplaty.
V případě DIP znamenalo chybějící „return“, že kód, který se měl po jednom převodu zastavit, místo toho pokračoval a provedl se podruhé. Každý obchod, který prošel směrovačem, byl v podstatě vyplacen dvakrát, čímž z fondu tiše odčerpával USDC.
K tomu, aby tato chyba fungovala, nebylo zapotřebí žádného bleskového úvěru, triku s oráklem ani ukradeného klíče (stačila pouze mezera ve vlastním kódu tokenu). Takové tokeny, které komunikují s routerem a mají poplatek za převod, jsou běžné na řetězcích propojených s Binance, kde projekty často přidávají do standardních šablon tokenů další chování. Každá přidaná větev je dalším místem, kde se může skrývat chyba, a automatizované swapy mohou tuto chybu spustit tisíckrát, než si toho někdo všimne.
Součást nákladného roku 2026 pro DeFi
Ztráta v případě DIP je ve srovnání s nejvýznamnějšími bezpečnostními incidenty tohoto roku malá, ale zapadá do soustavné řady selhání na úrovni kódu. Jen veřejná databáze hacků společnosti Slowmist zaznamenala více než 2 150 incidentů a kumulativní ztráty ve výši přibližně 37,8 miliardy dolarů. V posledních dnech tento tracker zaznamenal ztrátu 105 000 dolarů u Thetanuts Finance a zneužití v hodnotě 2,1 milionu dolarů u Aztec Connect.
Ještě konkrétněji lze vidět, že chyby ve smart kontraktech způsobily velkou část letošních škod, přičemž DeFi protokoly přišly v důsledku hacků a zneužití o více než 1 miliardu dolarů (k minulému měsíci). Společnost Slowmist sama vysledovala odliv prostředků u Aztec Connect k zastaralému kontraktu a krádež ve výši 174 570 dolarů u Grok-Bankr přiřadila agentovi umělé inteligence (AI), který byl podveden tak, aby schválil převod.
A konečně, Bitcoin.com News již dříve v tomto roce informoval, že Zetachain pozastavil provoz své hlavní sítě poté, co společnost Slowmist identifikovala chybějící kontrolu přístupu ve smlouvě GatewayZEVM – další případ, kdy jediná logická mezera poskytla útočníkům příležitost.
Vzhledem k tomu, že nebylo potvrzeno žádné navrácení prostředků a útočník zůstává neidentifikován, případ DIP znovu potvrzuje opakující se poučení, že jediný chybějící řádek může stačit k vyprázdnění fondu, a že nezávislé audity zůstávají hlavní obrannou linií v době, kdy ztráty v oblasti DeFi stoupají.
Tento článek byl přeložen z angličtiny pomocí umělé inteligence. Původní anglická verze je autoritativním zdrojem; automatické překlady mohou obsahovat nepřesnosti, zejména v právní a regulační terminologii.
