読む
提供
Crypto News

Slowmist:たった1行のコードの抜けが、DIPトークンから11万1000ドルを流出させました

ブロックチェーンセキュリティ企業Slowmistの発表によると、Etheriscエコシステムの重要なユーティリティ資産であるDIPトークンのコーディング上の欠陥により、攻撃者が約111,098ドル相当のUSDCを不正に流用できる状態になっていました 主なポイント

Key Takeaways

  • Key Takeaways

著者
Shiraz JagatiShiraz Jagati
共有
Slowmist:たった1行のコードの抜けが、DIPトークンから11万1000ドルを流出させました
  • : </span></p>
  • <ul>
  • <li><span style="font-weight: 400;">Slowmistによると、DIPトークンのコードにreturn文が欠落していたため、約111,098ドル相当のUSDCが流出したということです。 </span></li>
  • <li><span style="font-weight: 400;">この欠陥によりPancakeswap経由の送金量が2倍となり、Slowmistが今年記録した2,150件以上のインシデントに加わりました。 </span></li>
  • <li><span style="font-weight: 400;">2026年にはDeFiがエクスプロイトにより10億ドル以上を失っており、下半期に向けて監査需要は引き続き高い水準にあります。</span></li>
  • </ul>
  • <p><span style="font-weight: 400;">

2回実行された送金

Slowmistは脅威インテジェンスアラートでこのインシデントを報告し、損失額を111,097.6 USDCと特定しました。 同社によると、DIPトークンの「_transfer()」関数において、Pancakeswapルーター(分散型取引所が流動性プールとのトークン交換に利用する機能)を経由する取引を処理する分岐に「return」文が欠落していたという。同チームはさらに次のように付け加えた。

「攻撃者はこの脆弱性を悪用し、`skim(router)`を呼び出してDIPの二重送金を引き起こした後、`sync()`を実行してDIPの準備金を極めて低い値に設定し、AMM価格を操作してプールを空にしました。」

詳細な分析を提示したものの、Slowmistは攻撃者の氏名を明かさず、盗まれた資金が近い将来に回収可能かどうかについても言及しませんでした。Pancakeswapのような分散型取引所がトレーダーと流動性プール間のトークン移動に自動化されたルーター契約に依存していることを考えると、この攻撃の手口全体は極めてありふれたものに思われます。 トークンは独自の転送関数にカスタムロジックを追加できるが、そのロジックがルーターとのやり取りを誤って処理すると、意図しない支払いが繰り返し発生する余地が生まれてしまう。
DIPのケースでは、「return」文が欠落していたため、本来なら1回の転送で停止すべきコードがそのまま実行され、2回目の転送が行われてしまった。 ルーター経由の各取引は事実上2度清算され、プールからUSDCが気付かないうちに流出していきました。このバグを悪用するのにフラッシュローンやオラクルを悪用する手法、盗まれた鍵などは一切必要なく、トークン自身のコードに存在する欠陥だけで十分でした。 このようなルーター対応型や「転送時手数料」型のトークンはバイナンス関連チェーンで一般的であり、プロジェクトでは標準的なトークンテンプレートに追加の挙動を組み込むことがよくあります。追加される分岐の一つひとつがミスが潜む新たな場所となり、自動スワップによって誰かが気付く前にそのミスが何千回も引き起こされる可能性があります。

DeFiにとって損失の大きかった2026年の一幕

DIPの損失額は、今年発生した注目すべきセキュリティ侵害事件に比べれば小さいものの、コードレベルの不具合が絶え間なく発生している現状の一端をなしています。 Slowmistの公開ハッキングデータベースだけでも、2,150件以上のインシデントと累計で約378億ドルの損失が記録されています。ここ数日のみでも、同トラッカーはThetanuts Financeでの10万5,000ドルの損失やAztec Connectでの210万ドルに上るエクスプロイトを記録しました。

特にスマートコントラクトのバグが被害の大部分を占めており、DeFiプロトコルはハッキングやエクスプロイトにより10億ドル以上の損失を被っています(先月時点)。 Slowmist社は、Aztec Connectからの資金流出の原因を非推奨コントラクトに特定し、Grok-Bankrでの17万4,570ドルの盗難については、送金承認を騙されたAIエージェントが原因であると突き止めました。

さらにBitcoin.com Newsは今年初めに、SlowmistがZetachainのGatewayZEVMコントラクトにアクセス制御の欠落を特定したことを受け、Zetachainがメインネットを一時停止したと報じました。これもまた、単一のロジックの欠陥が攻撃者に侵入の隙を与えた事例です。

回復は確認されておらず、攻撃者の身元も依然として不明である中、このDIPの事件は、「たった1行の欠落がプールを空にするのに十分である」という繰り返される教訓を改めて浮き彫りにしており、DeFiの損失が増加する中、独立した監査が依然として主要な防衛線であることを示しています。

この記事はAIを使用して英語から翻訳されました。英語の原文が正式な情報源であり、自動翻訳には、特に法律および規制に関する用語において不正確な部分が含まれる場合があります。

この記事のタグ
Decentralized finance (Defi)USDC