Slowmist: una sola riga di codice mancante ha causato una perdita di 111.000 dollari al token DIP

• chiave: </span></p>
• <ul>
• <li><span style="font-weight: 400;">Slowmist ha affermato che la mancanza di un'istruzione "return" nel codice del token DIP ha causato la sottrazione di circa 111.098 dollari in USDC. </span></li>
• <li><span style="font-weight: 400;">La vulnerabilità ha raddoppiato i trasferimenti effettuati tramite Pancakeswap, aggiungendosi agli oltre 2.150 incidenti registrati da Slowmist quest’anno. </span></li>
• <li><span style="font-weight: 400;">Nel 2026 la DeFi ha perso oltre 1 miliardo di dollari a causa di attacchi, mantenendo alta la domanda di audit in vista del secondo semestre.</span></li>
• </ul>
• <p><span style="font-weight: 400;">

Un trasferimento eseguito due volte

Slowmist ha segnalato l’incidente in un avviso di intelligence sulle minacce, quantificando la perdita in 111.097,6 USDC. L’azienda ha spiegato che alla funzione “_transfer()” del token DIP mancava un’istruzione “return” nel ramo che gestisce le operazioni instradate tramite il router di Pancakeswap (un servizio che gli exchange decentralizzati utilizzano per scambiare token con i pool di liquidità). Il team ha inoltre aggiunto:

«L’autore dell’attacco ha sfruttato questa vulnerabilità chiamando `skim(router)`, per innescare doppi trasferimenti di DIP, quindi `sync()`, per impostare la riserva di DIP su un valore estremamente basso, manipolando il prezzo AMM per prosciugare il pool.»

Nonostante un'analisi dettagliata, Slowmist non ha rivelato l’identità dell’autore dell’attacco né ha specificato se i fondi rubati potranno essere recuperati a breve. La meccanica dell’intera operazione sembra piuttosto banale, dato che gli exchange decentralizzati come Pancakeswap si affidano a contratti router automatizzati per trasferire i token tra i trader e i pool di liquidità. Un token è libero di aggiungere una logica personalizzata alla propria funzione di trasferimento, ma quando tale logica gestisce in modo errato le interazioni con il router, si apre la porta a pagamenti ripetuti e non intenzionali. Nel caso del DIP, la mancanza del comando "return" ha fatto sì che il codice, che avrebbe dovuto interrompersi dopo un trasferimento, invece continuasse ed venisse eseguito una seconda volta. Ogni operazione che passava attraverso il router comportava di fatto un pagamento doppio, prosciugando silenziosamente l’USDC dal pool. Il bug non ha richiesto alcun flash loan, stratagemma oracolare o chiave rubata per funzionare (solo una falla nel codice stesso del token). Tali token “router-aware” e con commissioni sul trasferimento sono comuni sulle catene collegate a Binance, dove i progetti spesso aggiungono comportamenti extra ai modelli standard dei token. Ogni ramo aggiunto è un altro punto in cui un errore può nascondersi, e gli swap automatizzati possono innescare quell’errore migliaia di volte prima che qualcuno se ne accorga.

Parte di un 2026 costoso per la DeFi

La perdita subita da DIP è modesta rispetto alle violazioni più clamorose dell’anno, ma si inserisce in una serie costante di fallimenti a livello di codice. Il solo database pubblico sugli hack di Slowmist ha registrato oltre 2.150 incidenti e circa 37,8 miliardi di dollari di perdite cumulative. Negli ultimi giorni, il tracker ha registrato una perdita di 105.000 dollari su Thetanuts Finance e un exploit da 2,1 milioni di dollari su Aztec Connect.

Più specificatamente, si può notare che i bug degli smart contract hanno causato gran parte dei danni dell’anno, con i protocolli DeFi che hanno perso oltre 1 miliardo di dollari a causa di attacchi e exploit (dati aggiornati al mese scorso). La stessa Slowmist ha ricondotto il drenaggio di fondi da Aztec Connect a un contratto obsoleto e ha attribuito un furto di 174.570 dollari ai danni di Grok-Bankr a un agente di intelligenza artificiale (AI) che è stato indotto con l’inganno ad approvare un trasferimento.

Infine, Bitcoin.com News ha riportato all’inizio dell’anno che Zetachain ha sospeso la propria mainnet dopo che Slowmist aveva individuato un controllo di accesso mancante nel contratto GatewayZEVM, un altro caso in cui una singola lacuna logica ha offerto agli aggressori un varco.

Senza che sia stato confermato alcun recupero e con l’autore dell’attacco ancora non identificato, l’episodio di DIP rafforza una lezione ricorrente: una singola riga mancante può essere sufficiente a svuotare un pool, e gli audit indipendenti rimangono la principale linea di difesa mentre le perdite nel settore DeFi continuano a salire.