Slowmist: Jedna jedina linija koda koja je nedostajala ispraznila je 111.000 $ iz DIP tokena

Transfer koji se izvršio dvaput

Slowmist je označio incident u upozorenju iz obavještajnih podataka o prijetnjama, procijenivši gubitak na 111.097,6 USDC. Tvrtka je navela da je funkciji DIP tokena “_transfer()” nedostajala naredba “return” u grani koja obrađuje trgovine usmjerene kroz Pancakeswap router (rješenje koje decentralizirane burze koriste za zamjenu tokena protiv poolova likvidnosti). Tim je dodatno naveo:

“Napadač je to iskoristio pozivom `skim(router)` kako bi pokrenuo dvostruke DIP transfere, a zatim `sync()` kako bi postavio DIP rezervu na ekstremno nisku vrijednost, manipulirajući AMM cijenom i ispraznio pool.”

Unatoč detaljnom objašnjenju, Slowmist nije imenovao napadača niti je rekao mogu li se ukradena sredstva uskoro povratiti.

Mehanika cijele operacije djeluje prilično uobičajeno, s obzirom na to da se decentralizirane burze poput Pancakeswapa oslanjaju na automatizirane router ugovore za premještanje tokena između trgovaca i poolova likvidnosti. Token može dodati prilagođenu logiku u vlastitu funkciju prijenosa, no kada ta logika pogrešno rukuje interakcijama s routerom, otvaraju se vrata ponovljenim, nenamjernim isplatama.

U slučaju DIP-a, nedostajući “return” značio je da kod koji je trebao stati nakon jednog transfera umjesto toga nastavlja i izvršava se drugi put. Svaka trgovina koja je dodirnula router praktički je isplaćivala dvaput, tiho iscrpljujući USDC iz poola.

Za funkcioniranje buga nije bio potreban flash loan, trik s oracleom niti ukradeni ključ (samo rupa u vlastitom kodu tokena). Takvi tokeni svjesni routera i s naknadom pri prijenosu česti su na lancima povezanim s Binanceom, gdje projekti često nadograđuju standardne predloške tokena dodatnim ponašanjem. Svaka dodana grana novo je mjesto na kojem se može sakriti greška, a automatizirane zamjene mogu tu grešku aktivirati tisućama puta prije nego što itko primijeti.

Dio skupe 2026. za DeFi

Gubitak DIP-a malen je u odnosu na najveće proboje ove godine, ali se uklapa u stalan niz propusta na razini koda. Samo Slowmistova javna baza podataka o hakiranjima zabilježila je više od 2.150 incidenata i oko 37,8 milijardi USD kumulativnih gubitaka. Posljednjih dana, alat za praćenje zabilježio je gubitak od 105.000 USD u Thetanuts Financeu i exploit Aztec Connecta od 2,1 milijun .

Još konkretnije, može se vidjeti da su bugovi u pametnim ugovorima uzrokovali velik dio ovogodišnje štete, pri čemu su DeFi protokoli izgubili više od 1 milijarde USD zbog hakiranja i exploitova (zaključno s prošlim mjesecom). Sam Slowmist pripisao je odlivanje sredstava iz Aztec Connecta zastarjelom ugovoru i povezao krađu od 174.570 USD u Grok-Bankr s agentom umjetne inteligencije (AI) koji je bio prevaren da odobri prijenos.

Naposljetku, Bitcoin.com News izvijestio je ranije ove godine da je Zetachain pauzirao svoj mainnet nakon što je Slowmist identificirao nedostajuću kontrolu pristupa u njegovom ugovoru GatewayZEVM, još jedan slučaj u kojem je jedna logička rupa napadačima otvorila priliku.

Bez potvrđenog povrata sredstava i s napadačem koji je i dalje neidentificiran, epizoda s DIP-om učvršćuje ponavljajuću pouku: jedna jedina nedostajuća linija može biti dovoljna da isprazni pool, a neovisni auditi ostaju glavna linija obrane dok DeFi gubici rastu.