Az Etherisc ökoszisztéma egyik alapvető hasznosságú eszközének, a DIP tokennek egy kódolási hibája miatt egy támadó körülbelül 111 098 dollár értékű USD Coin (USDC)-t tudott elcsapolni – derítette ki a Slowmist blokklánc-biztonsági cég.
Key Takeaways
Slowmist: Egyetlen hiányzó kódsor 111 000 dollár veszteséget okozott a DIP tokennek
ÍRTA
MEGOSZTÁS
- </span></p>
- <p><span style="font-weight: 400;">Főbb tanulságok: </span></p>
- <ul>
- <li><span style="font-weight: 400;">A Slowmist szerint a DIP token kódjában hiányzó return utasítás miatt körülbelül 111 098 dollár értékű USDC-t sikerült eltéríteni. </span></li>
- <li><span style="font-weight: 400;">A hiba miatt a Pancakeswap-on keresztül végrehajtott átutalások száma megduplázódott, ami tovább növelte a Slowmist által idén nyilvántartásba vett több mint 2 150 incidenst. </span></li>
- <li><span style="font-weight: 400;">A DeFi 2026-ban több mint 1 milliárd dollárt veszített a biztonsági rések kihasználása miatt, ami a második félévben is magas szinten tartja az audit iránti keresletet.</span></li>
- </ul>
- <p><span style="font-weight: 400;">
Egy kétszer végrehajtott átutalás
A Slowmist egy fenyegetés-figyelmeztető riasztásban jelezte az esetet, és a veszteséget 111 097,6 USDC-re becsülte. A cég szerint a DIP token „_transfer()” függvényéből hiányzott egy „return” utasítás abban az ágban, amely a Pancakeswap útválasztón keresztül irányított tranzakciókat kezeli (ez egy olyan szolgáltatás, amelyet a decentralizált tőzsdék használnak a tokenek likviditási poolokkal történő cseréjéhez). A csapat hozzátette:
„A támadó ezt úgy használta ki, hogy a `skim(router)` hívásával kettős DIP-átutalásokat indított el, majd a `sync()` hívásával a DIP-tartalékot rendkívül alacsony értékre állította, manipulálva az AMM-árat a likviditási pool kiürítése érdekében.”
A részletes elemzés ellenére a Slowmist nem nevezte meg a támadót, és nem közölte, hogy a lopott pénzeszközök hamarosan visszaszerezhetők-e.
Az egész művelet mechanizmusa meglehetősen hétköznapi jellegűnek tűnik, tekintve, hogy az olyan decentralizált tőzsdék, mint a Pancakeswap, automatizált router-szerződésekre támaszkodnak a tokenek kereskedők és likviditási poolok közötti mozgatásához. Egy token szabadon hozzáadhat egyéni logikát a saját átutalási funkciójához, de ha ez a logika nem kezeli megfelelően az útválasztóval való interakciókat, az utat nyit az ismételt, nem szándékos kifizetéseknek.
A DIP-esetben a hiányzó „return” azt jelentette, hogy a kód, amelynek egy átutalás után le kellett volna állnia, ehelyett továbbfutott, és másodszor is végrehajtódott. Minden olyan kereskedés, amely érintette az útválasztót, gyakorlatilag kétszer fizetett ki, ezzel észrevétlenül elszívva az USDC-t a likviditási medencéből.
A hiba működéséhez nem volt szükség flash-kölcsönre, orákulum-trükkre vagy ellopott kulcsra (csupán a token saját kódjában lévő résre). Az ilyen útválasztó-érzékeny és átutalási díjat felszámító tokenek gyakoriak a Binance-hez kapcsolódó láncokon, ahol a projektek gyakran extra viselkedést építenek be a szabványos token-sablonokba. Minden hozzáadott elágazás egy újabb hely, ahol elrejtőzhet egy hiba, és az automatizált cserék ezernyi alkalommal kiválthatják azt a hibát, mielőtt bárki is észrevenné.
A DeFi számára költséges 2026-os év része
A DIP-veszteség csekély az év legjelentősebb biztonsági incidenseihez képest, de illeszkedik a kódszintű hibák folyamatos sorozatába. A Slowmist nyilvános hack-adatbázisa önmagában több mint 2 150 incidenst és mintegy 37,8 milliárd dollár összesített veszteséget rögzített. Az elmúlt napokban a nyomkövető 105 000 dolláros veszteséget regisztrált a Thetanuts Finance esetében, valamint egy 2,1 millió dolláros Aztec Connect-kizsákmányolást.
Még pontosabban megnézve látható, hogy az intelligens szerződések hibái okozták az év kárainak nagy részét, a DeFi-protokollok pedig (a múlt hónap adatai szerint) több mint 1 milliárd dollárt veszítettek hackelések és kihasználások miatt. Maga a Slowmist egy elavult szerződéshez vezette vissza az Aztec Connect-es pénzkivonást, a Grok-Bankr-nál történt 174 570 dolláros lopást pedig egy olyan mesterséges intelligencia (AI) ügynökre vezette vissza, amelyet rávettek egy átutalás jóváhagyására.
Végül a Bitcoin.com News az év elején arról számolt be, hogy a Zetachain felfüggesztette a mainnetjét, miután a Slowmist hiányzó hozzáférés-ellenőrzést azonosított a GatewayZEVM szerződésében – ez egy újabb példa arra, hogy egyetlen logikai rés is lehetőséget adhat a támadóknak.
Mivel a visszaszerzés nem történt meg, és a támadó személye továbbra sem ismert, a DIP-incidens megerősíti azt a visszatérő tanulságot, hogy egyetlen hiányzó sor is elegendő lehet egy pool kiürítéséhez, és a DeFi-veszteségek emelkedésével a független auditok továbbra is a védelem fő vonalát jelentik.
Ezt a cikket mesterséges intelligencia segítségével fordították le angolról. Az eredeti angol nyelvű változat a hiteles forrás; az automatikus fordítások pontatlanságokat tartalmazhatnak, különösen a jogi és szabályozási terminológiában.
