Slowmist: Satu Baris Kode yang Terlewat Mengakibatkan Kerugian Sebesar $111.000 pada Token DIP

Transfer yang Terjadi Dua Kali

Slowmist menandai insiden tersebut dalam peringatan intelijen ancaman, dengan memperkirakan kerugian sebesar 111.097,6 USDC. Perusahaan tersebut mengatakan bahwa fungsi "_transfer()" token DIP tidak memiliki pernyataan "return" di cabang yang menangani perdagangan yang dialihkan melalui router Pancakeswap (layanan yang digunakan bursa terdesentralisasi untuk menukar token dengan kolam likuiditas). Tim tersebut menambahkan:

"Penyerang memanfaatkan celah ini dengan memanggil `skim(router)` untuk memicu transfer DIP ganda, lalu `sync()` untuk mengatur cadangan DIP ke nilai yang sangat rendah, sehingga memanipulasi harga AMM untuk menguras kolam likuiditas."

Meskipun memberikan penjelasan terperinci, Slowmist tidak menyebutkan nama penyerang atau menyatakan apakah dana yang dicuri dapat dipulihkan dalam waktu dekat.

Mekanisme keseluruhan operasi ini tampaknya cukup biasa, mengingat bursa terdesentralisasi seperti Pancakeswap mengandalkan kontrak router otomatis untuk memindahkan token antara pedagang dan kolam likuiditas. Sebuah token bebas menambahkan logika khusus ke fungsi transfernya sendiri, tetapi ketika logika tersebut salah menangani interaksi dengan router, hal itu membuka peluang terjadinya pembayaran berulang yang tidak disengaja.

Dalam kasus DIP, hilangnya kata "return" menyebabkan kode yang seharusnya berhenti setelah satu transfer malah terus berjalan dan dieksekusi untuk kedua kalinya. Setiap transaksi yang melewati router secara efektif dibayarkan dua kali, sehingga secara diam-diam menguras USDC dari kolam likuiditas.

Bug tersebut tidak memerlukan pinjaman kilat, trik oracle, atau kunci yang dicuri untuk berfungsi (hanya celah dalam kode token itu sendiri). Token yang mendukung router dan mengenakan biaya transfer seperti ini umum ditemukan di rantai yang terhubung dengan Binance, di mana proyek-proyek sering menambahkan perilaku tambahan ke templat token standar. Setiap cabang yang ditambahkan menjadi tempat tersendiri bagi kesalahan untuk bersembunyi, dan pertukaran otomatis dapat memicu kesalahan tersebut ribuan kali sebelum ada yang menyadarinya.

Bagian dari Tahun 2026 yang Mahal bagi DeFi

Kerugian DIP memang kecil dibandingkan dengan insiden pelanggaran besar lainnya tahun ini, tetapi hal ini sejalan dengan serangkaian kegagalan di tingkat kode yang terus berlanjut. Basis data peretasan publik Slowmist saja telah mencatat lebih dari 2.150 insiden dan kerugian kumulatif sekitar $37,8 miliar. Dalam beberapa hari terakhir, pelacak tersebut mencatat kerugian sebesar $105.000 di Thetanuts Finance dan eksploitasi senilai $2,1 juta di Aztec Connect.

Lebih spesifik lagi, dapat dilihat bahwa bug kontrak pintar telah menjadi penyebab utama kerugian sepanjang tahun ini, dengan protokol DeFi mengalami kerugian lebih dari $1 miliar akibat peretasan dan eksploitasi (per bulan lalu). Slowmist sendiri melacak penyebab pengurasan dana di Aztec Connect ke sebuah kontrak yang sudah tidak digunakan lagi dan mengaitkan pencurian sebesar $174.570 di Grok-Bankr pada sebuah agen kecerdasan buatan (AI) yang ditipu untuk menyetujui sebuah transfer.

Terakhir, Bitcoin.com News melaporkan pada awal tahun ini bahwa Zetachain menghentikan sementara mainnet-nya setelah Slowmist mengidentifikasi adanya kontrol akses yang hilang dalam kontrak GatewayZEVM-nya, sebuah kasus lain di mana satu celah logika saja sudah cukup memberi peluang bagi penyerang.

Tanpa adanya konfirmasi pemulihan dan penyerang yang masih belum teridentifikasi, insiden DIP ini memperkuat pelajaran berulang bahwa satu baris kode yang hilang saja sudah cukup untuk mengosongkan sebuah pool, dan audit independen tetap menjadi garis pertahanan utama seiring meningkatnya kerugian di sektor DeFi.