Slowmist: üksainus puuduv koodirida tõi DIP-tokenile 111 000 dollari suuruse kahju

• </span></p>
• <p><span style="font-weight: 400;">Peamised järeldused: </span></p>
• <ul>
• <li><span style="font-weight: 400;">Slowmist teatas, et DIP-tokeni koodis puuduv return-lause võimaldas varastada ligikaudu 111 098 dollarit USDC-s. </span></li>
• <li><span style="font-weight: 400;">See viga kahekordistas ülekandeid Pancakeswapi kaudu, lisades Slowmisti poolt sel aastal registreeritud üle 2150 juhtumi hulka. </span></li>
• <li><span style="font-weight: 400;">DeFi on 2026. aastal kaotanud ärakasutamiste tõttu üle 1 miljardi dollari, mistõttu on auditeerimisnõudlus teisel poolaastal endiselt suur.</span></li>
• </ul>
• <p><span style="font-weight: 400;">

Kaks korda läbi viidud ülekande

Slowmist tõi juhtumi esile ohuteabe hoiatuses, hinnates kahju suuruseks 111 097,6 USDC. Ettevõte selgitas, et DIP-tokeni funktsioonist „_transfer()“ puudus „return“-lause harus, mis käsitleb Pancakeswapi ruuteri kaudu suunatud tehinguid (teenus, mida detsentraliseeritud börsid kasutavad tokenite vahetamiseks likviidsusfondide vastu). Meeskond lisas veel:

„Ründaja kasutas seda ära, kutsudes välja `skim(router)`, et käivitada kahekordsed DIP-ülekanded, seejärel `sync()`, et seada DIP-reserv äärmiselt madalale väärtusele, manipuleerides AMM-hinda, et tühjendada likviidsusfond.“

Hoolimata üksikasjalikust analüüsist ei nimetanud Slowmist ründajat ega öelnud, kas varastatud vahendeid on võimalik lähiajal tagasi saada.

Kogu operatsiooni mehhanism tundub olevat üsna tavaline, arvestades, et detsentraliseeritud börsid, nagu Pancakeswap, tuginevad automatiseeritud ruuterilepingutele, et liigutada tokeneid kauplejate ja likviidsusfondide vahel. Tokenil on vabadus lisada oma ülekandefunktsioonile kohandatud loogikat, kuid kui see loogika ei suuda ruuteri interaktsioone õigesti käsitleda, avab see ukse korduvatele, tahtmatutele väljamaksetele.

DIPi juhtumi puhul tähendas puuduv „return“ seda, et kood, mis oleks pidanud pärast ühte ülekannet peatuma, jätkas hoopis tööd ja täideti teist korda. Iga tehing, mis puutus ruuteriga kokku, maksti tegelikult välja kaks korda, mis tühjendas vaikselt USDC-d reservist.

Selle vea toimimiseks ei olnud vaja kiirlaenu, oraakli trikki ega varastatud võtit (vaid lünk tokeni enda koodis). Sellised ruuteritundlikud ja ülekandetasuga tokenid on levinud Binance’iga seotud ahelates, kus projektid lisavad tihti standardseid tokenimalle täiendavaid funktsioone. Iga lisatud haru on veel üks koht, kuhu viga võib peituda, ning automatiseeritud vahetused võivad seda viga tuhandete kordade käivitada, enne kui keegi seda märkab.

Osa DeFi jaoks kulukast 2026. aastast

DIP-i kahju on väike võrreldes selle aasta pealkirju täitnud rikkumistega, kuid see sobib kokku pideva kooditasandi ebaõnnestumiste jada. Ainuüksi Slowmisti avalik häkkimiste andmebaas on registreerinud üle 2150 juhtumi ja ligikaudu 37,8 miljardi dollari suuruse kumulatiivse kahju. Viimastel päevadel registreeris jälgimissüsteem 105 000 dollari suuruse kahju Thetanuts Finance’is ja 2,1 miljoni dollari suuruse kahju Aztec Connecti rünnaku tagajärjel.

Veel täpsemalt võib näha, et suure osa selle aasta kahjust on põhjustanud nutilepingute vead, kusjuures DeFi-protokollid on häkkimiste ja ärakasutamiste tõttu kaotanud üle 1 miljardi dollari (eelmise kuu seisuga). Slowmist ise jälitas Aztec Connecti raha väljavoolu vananenud lepinguni ning tuvastas, et 174 570 dollarit ulatunud Grok-Bankri vargus oli seotud tehisintellekti (AI) agendiga, keda peteti ülekande heakskiitmiseks.

Lõpuks teatas Bitcoin.com News aasta alguses, et Zetachain peatas oma peavõrgu töö pärast seda, kui Slowmist tuvastas puuduva juurdepääsukontrolli GatewayZEVM-lepingus – veel üks juhtum, kus üksainus loogiline lünk avas ründajatele võimaluse.

Kuna tagasisaamist ei ole kinnitatud ja ründaja on endiselt tuvastamata, kinnitab DIP-juhtum korduvat õppetundi, et üksainus puuduv rida võib piisata fondi tühjendamiseks, ning DeFi-kahjude suurenemise taustal jäävad sõltumatud auditid peamiseks kaitseliiniks.