Slowmist: Satu Baris Kod Yang Hilang Telah Menguras $111,000 Daripada Token DIP

Pemindahan Yang Berlaku Dua Kali

Slowmist menandai insiden itu dalam satu amaran risikan ancaman, dengan menganggarkan kerugian pada 111,097.6 USDC. Firma itu berkata fungsi “_transfer()” token DIP kekurangan pernyataan “return” dalam cabang yang mengendalikan dagangan yang dirutekan melalui penghala Pancakeswap (penyelesaian yang digunakan bursa terdesentralisasi untuk menukar token terhadap kolam kecairan). Pasukan itu turut menambah:

“Penyerang mengeksploitasi perkara ini dengan memanggil `skim(router)` untuk mencetuskan pemindahan DIP berganda, kemudian `sync()` untuk menetapkan rizab DIP kepada nilai yang amat rendah, memanipulasi harga AMM untuk mengosongkan kolam.”

Walaupun terdapat perincian yang terperinci, Slowmist tidak menamakan penyerang atau menyatakan sama ada dana yang dicuri boleh diperoleh kembali dalam masa terdekat.

Mekanisme keseluruhan operasi ini kelihatan agak biasa, memandangkan bursa terdesentralisasi seperti Pancakeswap bergantung pada kontrak penghala automatik untuk menggerakkan token antara pedagang dan kolam kecairan. Sesebuah token bebas menambah logik tersuai pada fungsi pemindahannya sendiri, tetapi apabila logik itu tersilap mengendalikan interaksi penghala, terbuka ruang kepada pembayaran berulang yang tidak disengajakan.

Dalam kes DIP, ketiadaan “return” bermaksud kod yang sepatutnya berhenti selepas satu pemindahan sebaliknya terus jatuh ke bawah dan dilaksanakan buat kali kedua. Setiap dagangan yang menyentuh penghala itu pada dasarnya dibayar dua kali, secara senyap-senyap mengalirkan keluar USDC daripada kolam.

Pepijat itu tidak memerlukan pinjaman kilat (flash loan), helah oracle, atau kunci yang dicuri untuk berfungsi (hanya jurang dalam kod token itu sendiri). Token yang peka kepada penghala dan token yuran-atas-pemindahan (fee-on-transfer) seperti ini adalah lazim pada rantaian berkaitan Binance, di mana projek sering menambah tingkah laku tambahan pada templat token standard. Setiap cabang yang ditambah ialah satu lagi tempat untuk kesilapan bersembunyi, dan pertukaran automatik boleh mencetuskan kesilapan itu beribu-ribu kali sebelum sesiapa menyedarinya.

Sebahagian Daripada Tahun 2026 Yang Mahal Untuk DeFi

Kerugian DIP adalah kecil berbanding pencerobohan utama tahun ini, tetapi ia selari dengan rentetan kegagalan pada peringkat kod yang berterusan. Pangkalan data awam hack database milik Slowmist sahaja telah merekodkan lebih daripada 2,150 insiden dan kira-kira $37.8 bilion kerugian terkumpul. Dalam beberapa hari kebelakangan ini, penjejak itu merekodkan kerugian $105,000 di Thetanuts Finance dan eksploit Aztec Connect bernilai $2.1 juta.

Lebih khusus lagi, dapat dilihat bahawa pepijat kontrak pintar telah mendorong sebahagian besar kerosakan sepanjang tahun ini, dengan protokol DeFi telah kehilangan lebih daripada $1 bilion akibat penggodaman dan eksploit (setakat bulan lepas). Slowmist sendiri mengesan pengaliran keluar Aztec Connect kepada kontrak yang telah dinyahguna (deprecated) dan mengaitkan kecurian Grok-Bankr bernilai $174,570 kepada ejen kecerdasan buatan (AI) yang diperdaya untuk meluluskan satu pemindahan.

Akhir sekali, Bitcoin.com News melaporkan lebih awal tahun ini bahawa Zetachain menghentikan sementara mainnetnya selepas Slowmist mengenal pasti kawalan akses yang hilang dalam kontrak GatewayZEVM, satu lagi kes di mana satu jurang logik tunggal memberi penyerang peluang.

Tanpa pemulihan yang disahkan dan penyerang masih belum dikenal pasti, episod DIP mengukuhkan pengajaran berulang bahawa satu baris yang hilang sahaja sudah memadai untuk mengosongkan sebuah kolam, dan audit bebas kekal sebagai barisan pertahanan utama ketika kerugian DeFi meningkat.