Une faille de codage dans le token DIP, un actif utilitaire essentiel de l’écosystème Etherisc, a permis à un pirate de détourner environ 111 098 $ en USD Coin (USDC), a révélé la société de sécurité blockchain Slowmist. PointsKey Takeaways
Slowmist : une seule ligne de code manquante a coûté 111 000 dollars au token DIP
ÉCRIT PAR
PARTAGER
- clés : </span></p>
- <ul>
- <li><span style="font-weight: 400;">Slowmist a indiqué qu’une instruction « return » manquante dans le code du token DIP a entraîné la perte d’environ 111 098 dollars en USDC. </span></li>
- <li><span style="font-weight: 400;">Cette faille a doublé le volume des transferts via Pancakeswap, venant s’ajouter aux plus de 2 150 incidents recensés par Slowmist cette année. </span></li>
- <li><span style="font-weight: 400;">La DeFi a perdu plus d’un milliard de dollars à cause d’exploits en 2026, ce qui maintient la demande d’audits à un niveau élevé à l’approche du second semestre.</span></li>
- </ul>
- <p><span style="font-weight: 400;">
Un transfert exécuté deux fois
Slowmist a signalé l’incident dans une alerte de veille sur les menaces, estimant la perte à 111 097,6 USDC. La société a indiqué que la fonction « _transfer() » du token DIP ne comportait pas d’instruction « return » dans la branche gérant les transactions acheminées via le routeur Pancakeswap (un service utilisé par les exchanges décentralisés pour échanger des tokens contre des réserves de liquidité). L’équipe a ajouté :
Malgré une analyse détaillée, Slowmist n’a pas révélé l’identité de l’attaquant ni indiqué si les fonds volés pourraient être récupérés prochainement. Le mécanisme de l’opération dans son ensemble semble assez banal, étant donné que les exchanges décentralisés tels que Pancakeswap s’appuient sur des contrats de routeur automatisés pour transférer des tokens entre les traders et les réservoirs de liquidité. Un token est libre d’ajouter une logique personnalisée à sa propre fonction de transfert, mais lorsque cette logique gère mal les interactions avec le routeur, cela ouvre la voie à des paiements répétés et involontaires. Dans le cas du DIP, l’absence de la commande « return » a fait qu’un code qui aurait dû s’arrêter après un seul transfert s’est poursuivi et s’est exécuté une deuxième fois. Chaque transaction passant par le routeur a ainsi été payée deux fois, vidant discrètement le pool de ses USDC. Ce bug n’a nécessité ni prêt flash, ni astuce d’oracle, ni clé volée pour fonctionner (seule une faille dans le code du jeton lui-même a suffi). Ces jetons « router-aware » et à frais de transfert sont courants sur les chaînes liées à Binance, où les projets ajoutent souvent des comportements supplémentaires aux modèles de jetons standard. Chaque branche ajoutée est un endroit supplémentaire où une erreur peut se cacher, et les swaps automatisés peuvent déclencher cette erreur des milliers de fois avant que quiconque ne s’en aperçoive.« L’attaquant a exploité cette faille en appelant `skim(router)`, puis `sync()`, pour déclencher des transferts DIP en double, puis pour fixer la réserve DIP à une valeur extrêmement faible, manipulant ainsi le prix AMM afin de vider le pool. »
Une année 2026 coûteuse pour la DeFi
La perte subie par DIP est modeste comparée aux violations les plus médiatisées de l’année, mais elle s’inscrit dans une succession ininterrompue de défaillances au niveau du code. À elle seule, la base de données publique de Slowmist sur les piratages a recensé plus de 2 150 incidents et environ 37,8 milliards de dollars de pertes cumulées. Ces derniers jours, l’outil de suivi a enregistré une perte de 105 000 dollars chez Thetanuts Finance et une exploitation d’Aztec Connect s’élevant à 2,1 millions de dollars.
Plus précisément encore, on constate que les bogues des contrats intelligents sont à l’origine d’une grande partie des dommages subis cette année, les protocoles DeFi ayant perdu plus d’un milliard de dollars à cause de piratages et d’exploits (chiffres du mois dernier). Slowmist a lui-même attribué le détournement de fonds chez Aztec Connect à un contrat obsolète et a identifié un vol de 174 570 dollars chez Grok-Bankr comme étant le fait d’un agent d’intelligence artificielle (IA) qui avait été piégé pour approuver un transfert.
Enfin, Bitcoin.com News a rapporté plus tôt dans l’année que Zetachain avait suspendu son réseau principal après que Slowmist eut identifié un contrôle d’accès manquant dans son contrat GatewayZEVM, un autre cas où une simple faille logique a offert une brèche aux attaquants.
En l’absence de confirmation d’une récupération et alors que l’attaquant n’a toujours pas été identifié, l’épisode DIP renforce un enseignement récurrent : une seule ligne manquante peut suffire à vider un pool, et les audits indépendants restent la principale ligne de défense alors que les pertes liées à la DeFi ne cessent d’augmenter.
Cet article a été traduit de l'anglais à l'aide de l'IA. La version originale en anglais fait foi ; les traductions automatiques peuvent contenir des inexactitudes, en particulier dans la terminologie juridique et réglementaire.
