ब्लॉकचेन सुरक्षा फर्म Slowmist ने खुलासा किया कि Etherisc इकोसिस्टम की एक आवश्यक यूटिलिटी संपत्ति DIP टोकन में एक कोडिंग त्रुटि ने एक हमलावर को लगभग $111,098 USD Coin (USDC) निकालने की अनुमति दी।
Slowmist: कोड की एक लाइन की कमी से DIP टोकन से $111,000 निकल गए
लेखक
शेयर
मुख्य निष्कर्ष
एक ट्रांसफर जो दो बार चला
Slowmist ने एक थ्रेट इंटेलिजेंस अलर्ट में इस घटना को चिह्नित किया, और नुकसान 111,097.6 USDC बताया। फर्म ने कहा कि DIP टोकन के "_transfer()" फ़ंक्शन में उस शाखा में "return" स्टेटमेंट का अभाव था जो Pancakeswap राउटर के माध्यम से होने वाले ट्रेड को संभालती है (यह एक ऑफ़रिंग है जिसका उपयोग विकेंद्रीकृत एक्सचेंज लिक्विडिटी पूल के खिलाफ टोकन स्वैप करने के लिए करते हैं)। टीम ने आगे कहा:
"हमलावर ने `skim(router)` को कॉल करके दोहरी DIP ट्रांसफर को ट्रिगर किया, फिर `sync()` को कॉल करके DIP रिज़र्व को एक बहुत ही कम मूल्य पर सेट किया, और पूल को खाली करने के लिए AMM मूल्य में हेरफेर किया।"
विस्तृत ब्योरे के बावजूद, स्लोमिस्ट ने हमलावर का नाम नहीं बताया और न ही यह कहा कि चोरी किए गए फंड जल्द ही वसूले जा सकते हैं या नहीं।
पूरे ऑपरेशन की कार्यप्रणाली काफी सामान्य लगती है, यह देखते हुए कि पैंकेकस्वैप जैसे विकेंद्रीकृत एक्सचेंज ट्रेडर्स और लिक्विडिटी पूल्स के बीच टोकन भेजने के लिए स्वचालित राउटर कॉन्ट्रैक्ट्स पर निर्भर करते हैं। एक टोकन अपने ट्रांसफर फ़ंक्शन में कस्टम लॉजिक जोड़ने के लिए स्वतंत्र है, लेकिन जब वह लॉजिक राउटर इंटरैक्शन को गलत तरीके से संभालता है, तो बार-बार, अनपेक्षित भुगतान का रास्ता खुल जाता है।
DIP मामले में, छूटे हुए "return" का मतलब था कि वह कोड जो एक ट्रांसफर के बाद रुक जाना चाहिए था, वह इसके बजाय चलता रहा और दूसरी बार निष्पादित हो गया। रूटर से जुड़े प्रत्येक ट्रेड ने प्रभावी रूप से दो बार भुगतान किया, जिससे पूल से चुपचाप USDC निकलता रहा।इस बग को काम करने के लिए किसी फ्लैश लोन, ओरेकल ट्रिक, या चोरी की गई कुंजी की आवश्यकता नहीं थी (केवल टोकन के अपने कोड में एक खामी)। इस तरह के राउटर-अवेयर और ट्रांसफर-पर-फीस वाले टोकन बाइनेंस-लिंक्ड चेनों पर आम हैं, जहाँ प्रोजेक्ट अक्सर मानक टोकन टेम्प्लेट में अतिरिक्त व्यवहार जोड़ देते हैं। प्रत्येक जोड़ी गई शाखा गलती के छिपने की एक और जगह है, और स्वचालित स्वैप्स किसी के ध्यान में आने से पहले हजारों बार उस गलती को ट्रिगर कर सकते हैं।
DeFi के लिए महंगा 2026 का एक हिस्सा
DIP का नुकसान साल के प्रमुख उल्लंघनों के मुकाबले छोटा है, लेकिन यह कोड-स्तर की विफलताओं की एक लगातार चल रही श्रृंखला में फिट बैठता है। केवल Slowmist के सार्वजनिक हैक डेटाबेस में ही 2,150 से अधिक घटनाओं और कुल मिलाकर 37.8 अरब डॉलर का नुकसान दर्ज किया गया है। हाल के दिनों में, इस ट्रैकर ने Thetanuts Finance पर 105,000 डॉलर का नुकसान और Aztec Connect पर 2.1 मिलियन डॉलर के शोषण (exploit) को दर्ज किया है।
और भी विशेष रूप से, यह देखा जा सकता है कि स्मार्ट कॉन्ट्रैक्ट बग्स ने इस साल के अधिकांश नुकसान को जन्म दिया है, जिसमें DeFi प्रोटोकॉल हैक्स और एक्सप्लॉइट्स (पिछले महीने तक) में $1 बिलियन से अधिक खो चुके हैं। Slowmist ने खुद Aztec Connect ड्रेन को एक अप्रचलित कॉन्ट्रैक्ट तक ट्रेस किया और $174,570 की Grok-Bankr चोरी का दोष एक आर्टिफिशियल इंटेलिजेंस (AI) एजेंट पर लगाया जिसे एक ट्रांसफर को मंजूरी देने के लिए धोखा दिया गया था।
अंत में, Bitcoin.com न्यूज़ ने साल की शुरुआत में रिपोर्ट किया था कि स्लोमिस्ट द्वारा इसके गेटवेZEVM कॉन्ट्रैक्ट में एक गायब एक्सेस कंट्रोल की पहचान करने के बाद ज़ेटाचेन ने अपना मेननेट रोक दिया था, यह हमलावरों को एक अवसर देने वाले एकल लॉजिक गैप का एक और मामला था।
कोई रिकवरी की पुष्टि नहीं हुई है और हमलावर अभी भी अज्ञात है, यह DIP प्रकरण एक बार फिर यह सबक देता है कि एक ही लाइन का गायब होना पूल को खाली करने के लिए पर्याप्त हो सकता है, और जैसे-जैसे DeFi हानियाँ बढ़ रही हैं, स्वतंत्र ऑडिट रक्षा की मुख्य कड़ी बने हुए हैं।
यह लेख AI का उपयोग करके अंग्रेज़ी से अनुवादित किया गया था। मूल अंग्रेज़ी संस्करण आधिकारिक स्रोत है; स्वचालित अनुवादों में अशुद्धियाँ हो सकती हैं, विशेष रूप से कानूनी और नियामक शब्दावली में।
