Leer
Impulsado por
Crypto News

Slowmist: una sola línea de código que faltaba provocó una pérdida de 111 000 dólares en el token DIP

Un fallo de programación en el token DIP, un activo de utilidad esencial del ecosistema Etherisc, permitió a un atacante sustraer aproximadamente 111 098 dólares en USD Coin (USDC), según reveló la empresa de seguridad de cadenas de bloques Slowmist. Puntos

Key Takeaways

  • Key Takeaways

ESCRITO POR
Shiraz JagatiShiraz Jagati
COMPARTIR
Slowmist: una sola línea de código que faltaba provocó una pérdida de 111 000 dólares en el token DIP
  • clave: </span></p>
  • <ul>
  • <li><span style="font-weight: 400;">Slowmist señaló que la ausencia de una instrucción «return» en el código del token DIP provocó la pérdida de unos 111 098 dólares en USDC. </span></li>
  • <li><span style="font-weight: 400;">El fallo duplicó las transferencias a través de Pancakeswap, sumándose a los más de 2.150 incidentes registrados por Slowmist este año. </span></li>
  • <li><span style="font-weight: 400;">El sector DeFi ha perdido más de 1 000 millones de dólares debido a vulnerabilidades en 2026, lo que mantiene alta la demanda de auditorías de cara al segundo semestre.</span></li>
  • </ul>
  • <p><span style="font-weight: 400;">

Una transferencia que se ejecutó dos veces

Slowmist señaló el incidente en una alerta de inteligencia sobre amenazas, cuantificando la pérdida en 111 097,6 USDC. La empresa señaló que a la función «_transfer()» del token DIP le faltaba una instrucción «return» en la rama que gestiona las operaciones enrutadas a través del enrutador de Pancakeswap (una herramienta que utilizan los intercambios descentralizados para intercambiar tokens contra fondos de liquidez). El equipo añadió además:

«El atacante aprovechó esto llamando a `skim(router)`, para desencadenar transferencias dobles de DIP, y a continuación a `sync()`, para establecer la reserva de DIP en un valor extremadamente bajo, manipulando así el precio del AMM y vaciando el fondo común».

A pesar de ofrecer un análisis detallado, Slowmist no reveló la identidad del atacante ni indicó si los fondos robados podrían recuperarse en un futuro próximo. El funcionamiento de toda la operación parece bastante habitual, dado que las plataformas de intercambio descentralizadas como Pancakeswap se basan en contratos de enrutador automatizados para mover tokens entre los usuarios y los fondos de liquidez. Un token puede añadir libremente lógica personalizada a su propia función de transferencia, pero cuando esa lógica gestiona incorrectamente las interacciones con el enrutador, se abre la puerta a pagos repetidos e involuntarios.
En el caso de DIP, la falta del «return» hizo que el código, que debería haberse detenido tras una transferencia, continuara ejecutándose y realizara una segunda transferencia. Cada operación que pasaba por el enrutador se pagaba, en la práctica, dos veces, lo que provocaba una sangría silenciosa de USDC del fondo común. El error no necesitó ningún préstamo relámpago, truco de oráculo ni clave robada para funcionar (solo una laguna en el propio código del token). Estos tokens que tienen en cuenta el enrutador y aplican comisiones por transferencia son habituales en las cadenas vinculadas a Binance, donde los proyectos suelen añadir comportamientos adicionales a las plantillas estándar de los tokens. Cada rama añadida es otro lugar donde puede ocultarse un error, y los intercambios automatizados pueden desencadenar ese error miles de veces antes de que nadie se dé cuenta.

Parte de un costoso 2026 para DeFi

La pérdida de DIP es pequeña en comparación con las brechas de seguridad más sonadas del año, pero encaja en una sucesión constante de fallos a nivel de código. Solo la base de datos pública de hackeos de Slowmist ha registrado más de 2.150 incidentes y unas pérdidas acumuladas de unos 37.8 mil millones de dólares. En los últimos días, el rastreador registró una pérdida de 105.000 dólares en Thetanuts Finance y un exploit de 2,1 millones de dólares en Aztec Connect.

Más concretamente, se puede observar que los errores en los contratos inteligentes han sido la causa de gran parte de los daños de este año, ya que los protocolos DeFi han perdido más de 1.000 millones de dólares a causa de ataques y vulnerabilidades (hasta el mes pasado). La propia Slowmist atribuyó la fuga de fondos de Aztec Connect a un contrato obsoleto y señaló que el robo de 174 570 dólares en Grok-Bankr se debió a un agente de inteligencia artificial (IA) al que se engañó para que aprobara una transferencia.

Por último, Bitcoin.com News informó a principios de año de que Zetachain suspendió su red principal después de que Slowmist identificara una falta de control de acceso en su contrato GatewayZEVM, otro caso en el que una única laguna lógica brindó una oportunidad a los atacantes.

Sin que se haya confirmado la recuperación y con el atacante aún sin identificar, el episodio de DIP refuerza una lección recurrente: una sola línea que falte puede bastar para vaciar un fondo común, y las auditorías independientes siguen siendo la principal línea de defensa a medida que aumentan las pérdidas en el sector DeFi.

Este artículo fue traducido del inglés mediante IA. La versión original en inglés es la fuente autorizada; las traducciones automáticas pueden contener imprecisiones, especialmente en la terminología legal y regulatoria.

Etiquetas en esta historia
Decentralized finance (Defi)USDC