Slowmist: Eine einzige fehlende Codezeile kostete den DIP-Token 111.000 Dollar

• Wichtigste auf einen Blick: </span></p>
• <ul>
• <li><span style="font-weight: 400;">Laut Slowmist führte eine fehlende „return“-Anweisung im Code des DIP-Tokens zum Verlust von etwa 111.098 US-Dollar in USDC. </span></li>
• <li><span style="font-weight: 400;">Der Fehler führte zu einer Verdopplung der Transfers über Pancakeswap und reiht sich damit in die Liste von mehr als 2.150 Vorfällen ein, die Slowmist in diesem Jahr registriert hat. </span></li>
• <li><span style="font-weight: 400;">DeFi hat im Jahr 2026 durch Exploits über 1 Milliarde US-Dollar verloren, was die Nachfrage nach Audits im zweiten Halbjahr weiterhin hoch hält.</span></li>
• </ul>
• <p><span style="font-weight: 400;">

Eine Überweisung, die zweimal ausgeführt wurde

Slowmist wies in einer Threat-Intelligence-Warnung auf den Vorfall hin und bezifferte den Verlust auf 111.097,6 USDC. Das Unternehmen erklärte, dass in der „_transfer()“-Funktion des DIP-Tokens eine „return“-Anweisung in dem Zweig fehlte, der Transaktionen verarbeitet, die über den Pancakeswap-Router geleitet werden (ein Dienst, den dezentrale Börsen nutzen, um Token gegen Liquiditätspools zu tauschen). Das Team fügte hinzu:

„Der Angreifer nutzte dies aus, indem er `skim(router)` aufrief, um doppelte DIP-Transfers auszulösen, und anschließend `sync()`, um die DIP-Reserve auf einen extrem niedrigen Wert zu setzen und so den AMM-Preis zu manipulieren, um den Pool zu leeren.“

Trotz einer detaillierten Analyse nannte Slowmist weder den Namen des Angreifers noch gab es an, ob die gestohlenen Gelder in absehbarer Zeit wiederbeschafft werden könnten. Die Mechanismen der gesamten Operation scheinen recht banal zu sein, da dezentrale Börsen wie Pancakeswap auf automatisierte Router-Verträge angewiesen sind, um Token zwischen Händlern und Liquiditätspools zu bewegen. Ein Token kann seiner eigenen Transferfunktion beliebige Logik hinzufügen, doch wenn diese Logik die Interaktionen mit dem Router falsch handhabt, öffnet sich die Tür für wiederholte, unbeabsichtigte Auszahlungen. Im Fall von DIP führte das fehlende „return“ dazu, dass Code, der eigentlich nach einer Übertragung hätte enden sollen, stattdessen weiterlief und ein zweites Mal ausgeführt wurde. Jeder Handel, der den Router durchlief, wurde effektiv doppelt ausgezahlt, wodurch USDC unbemerkt aus dem Pool abfloss. Der Fehler benötigte weder einen Flash-Kredit noch einen Oracle-Trick oder einen gestohlenen Schlüssel, um zu funktionieren (lediglich eine Lücke im Code des Tokens selbst). Solche router-bewussten und gebührenpflichtigen Token sind auf mit Binance verbundenen Blockchains weit verbreitet, wo Projekte oft zusätzliches Verhalten an Standard-Token-Vorlagen anhängen. Jeder hinzugefügte Zweig ist eine weitere Stelle, an der sich ein Fehler verstecken kann, und automatisierte Swaps können diesen Fehler tausende Male auslösen, bevor es jemand bemerkt.

Teil eines kostspieligen Jahres 2026 für DeFi

Der Verlust bei DIP ist im Vergleich zu den großen Sicherheitslücken des Jahres gering, reiht sich jedoch in eine stetige Abfolge von Fehlern auf Code-Ebene ein. Allein in der öffentlichen Hack-Datenbank von Slowmist wurden mehr als 2.150 Vorfälle und kumulierte Verluste in Höhe von etwa 37,8 Milliarden US-Dollar erfasst. In den letzten Tagen verzeichnete der Tracker einen Verlust von 105.000 US-Dollar bei Thetanuts Finance und einen Exploit bei Aztec Connect in Höhe von 2,1 Millionen US-Dollar.

Genauer betrachtet lässt sich feststellen, dass Fehler in Smart Contracts einen Großteil der diesjährigen Schäden verursacht haben, wobei DeFi-Protokolle (Stand: letzter Monat) mehr als 1 Milliarde US-Dollar durch Hacks und Exploits verloren haben. Slowmist selbst führte den Geldabfluss bei Aztec Connect auf einen veralteten Vertrag zurück und machte einen KI-Agenten (Künstliche Intelligenz) für einen Diebstahl bei Grok-Bankr in Höhe von 174.570 US-Dollar verantwortlich, der dazu verleitet wurde, eine Überweisung zu genehmigen.

Schließlich berichtete Bitcoin.com News Anfang des Jahres, dass Zetachain sein Mainnet vorübergehend stillgelegt habe, nachdem Slowmist eine fehlende Zugriffskontrolle in seinem „GatewayZEVM“-Vertrag identifiziert hatte – ein weiterer Fall, in dem eine einzige Logiklücke Angreifern eine Einfallstür bot.

Da keine Wiederherstellung bestätigt wurde und der Angreifer nach wie vor unbekannt ist, untermauert der DIP-Vorfall eine immer wiederkehrende Erkenntnis: Eine einzige fehlende Zeile kann ausreichen, um einen Pool zu leeren, und unabhängige Audits bleiben die wichtigste Verteidigungslinie, während die Verluste im DeFi-Bereich steigen.