Etherisc-ekosysteemin keskeisen hyödykkeen, DIP-tokenin, koodausvirhe antoi hyökkääjälle mahdollisuuden siirtää tililtä noin 111 098 dollaria USD Coinina (USDC), paljasti lohkoketjuturvallisuusyritys Slowmist.
Key Takeaways
Slowmist: Yksi puuttuva koodirivi aiheutti 111 000 dollarin menetyksen DIP-tokenille
KIRJOITTAJA
JAA
- </span></p>
- <p><span style="font-weight: 400;">Tärkeimmät kohdat: </span></p>
- <ul>
- <li><span style="font-weight: 400;">Slowmistin mukaan DIP-tokenin koodista puuttuva return-lause johti noin 111 098 dollarin arvosta USDC:n menetykseen. </span></li>
- <li><span style="font-weight: 400;">Virhe kaksinkertaisti Pancakeswapin kautta tehdyt siirrot, mikä lisäsi Slowmistin tänä vuonna kirjaamien tapauksien määrää yli 2 150:een. </span></li>
- <li><span style="font-weight: 400;">DeFi on menettänyt vuonna 2026 yli miljardi dollaria hyökkäysten seurauksena, mikä pitää auditointikysynnän korkealla toisella vuosipuoliskolla.</span></li>
- </ul>
- <p><span style="font-weight: 400;">
Kaksi kertaa suoritettu siirto
Slowmist ilmoitti tapauksesta uhkatiedusteluhälytyksessä ja arvioi menetyksen suuruudeksi 111 097,6 USDC:tä. Yrityksen mukaan DIP-tokenin ”_transfer()”-funktiosta puuttui ”return”-lause haaraosasta, joka käsittelee Pancakeswap-reitittimen kautta ohjattuja kauppoja (palvelu, jota hajautetut pörssit käyttävät tokenien vaihtamiseen likviditeettipoolien kanssa). Tiimi lisäsi vielä:
”Hyökkääjä hyödynsi tätä kutsumalla `skim(router)`-funktiota laukaistakseen kaksinkertaiset DIP-siirrot ja sen jälkeen `sync()`-funktiota asettaakseen DIP-reservin erittäin alhaiseksi arvoksi, manipuloiden AMM-hintaa tyhjentääkseen likviditeettipoolin.”
Yksityiskohtaisesta selvityksestä huolimatta Slowmist ei paljastanut hyökkääjän nimeä eikä kertonut, voidaanko varastetut varat saada takaisin lähiaikoina.
Koko operaation toimintamekanismi vaikuttaa varsin tavanomaiselta, kun otetaan huomioon, että Pancakeswapin kaltaiset hajautetut pörssit käyttävät automatisoituja reitittimen sopimuksia tokenien siirtämiseen kauppiaiden ja likviditeettipoolien välillä. Tokenille on vapaasti mahdollista lisätä omaa logiikkaa sen siirto-toimintoon, mutta kun kyseinen logiikka käsittelee reitittimen vuorovaikutusta virheellisesti, se avaa oven toistuville, tahattomille maksuille.
DIP-tapauksessa puuttuva ”return”-komento tarkoitti, että koodi, jonka olisi pitänyt pysähtyä yhden siirron jälkeen, jatkoi sen sijaan toimintaansa ja suoritettiin toisen kerran. Jokainen reitittimen kautta kulkenut kauppa maksoi käytännössä kahdesti, mikä kulutti hiljaa USDC:tä poolista.
Virheen toimimiseen ei tarvittu flash-lainaa, oracle-temppua tai varastettua avainta (vain aukko tokenin omassa koodissa). Tällaiset reitittimen tunnistavat ja siirtokohtaisia maksuja perivät tokenit ovat yleisiä Binanceen linkitetyillä ketjuilla, joissa projektit usein lisäävät ylimääräistä toiminnallisuutta vakiotoken-malleihin. Jokainen lisätty haara on uusi paikka, johon virhe voi piiloutua, ja automatisoidut vaihdot voivat laukaista kyseisen virheen tuhansia kertoja ennen kuin kukaan huomaa sitä.
Osa DeFi:n kalliista vuodesta 2026
DIP:n tappio on pieni verrattuna vuoden suurimpiin tietomurtoihin, mutta se sopii osaksi jatkuvaa kooditason virheiden sarjaa. Pelkästään Slowmistin julkinen hakkerointitietokanta on kirjannut yli 2 150 tapausta ja noin 37,8 miljardin dollarin kumulatiiviset tappiot. Viime päivinä seurantapalvelu kirjasi 105 000 dollarin tappion Thetanuts Financessa ja 2,1 miljoonan dollarin Aztec Connect -hyökkäyksen.
Vielä tarkemmin tarkasteltuna voidaan havaita, että älykkäiden sopimusten virheet ovat aiheuttaneet suuren osan vuoden vahingoista, ja DeFi-protokollat ovat menettäneet hakkerointien ja hyväksikäyttöjen seurauksena yli miljardi dollaria (viime kuun tilanteen mukaan). Slowmist jäljitti itse Aztec Connectin varojen katoamisen vanhentuneeseen sopimukseen ja osoitti 174 570 dollarin suuruisen Grok-Bankr-varkauden tekoälyagentin (AI) syyksi, joka huijattiin hyväksymään siirto.
Lopuksi Bitcoin.com News raportoi aiemmin tänä vuonna, että Zetachain keskeytti pääverkkonsa toiminnan sen jälkeen, kun Slowmist oli havainnut puuttuvan pääsynvalvonnan sen GatewayZEVM-sopimuksessa – jälleen yksi tapaus, jossa yksittäinen looginen aukko avasi hyökkääjille mahdollisuuden.
Koska varojen takaisin saamista ei ole vahvistettu ja hyökkääjää ei ole vieläkään tunnistettu, DIP-tapaus vahvistaa toistuvan opetuksen siitä, että yksi puuttuva rivi voi riittää tyhjentämään koko varantopoolin, ja riippumattomat auditoinnit ovat edelleen tärkein puolustuslinja DeFi-tappioiden kasvaessa.
Tämä artikkeli on käännetty englannista tekoälyn avulla. Alkuperäinen englanninkielinen versio on auktoritatiivinen lähde; automaattiset käännökset voivat sisältää epätarkkuuksia, erityisesti oikeudellisessa ja sääntelyyn liittyvässä terminologiassa.
