Door een programmeerfout in het DIP-token, een essentieel utility-token binnen het Etherisc-ecosysteem, kon een aanvaller ongeveer $111.098 aan USD Coin (USDC) wegsluizen, zo heeft blockchainbeveiligingsbedrijf Slowmist bekendgemaakt.
Key Takeaways
Slowmist: één ontbrekende regel code kostte het DIP-token 111.000 dollar
GESCHREVEN DOOR
DELEN
- </span></p>
- <p><span style="font-weight: 400;">Belangrijkste punten: </span></p>
- <ul>
- <li><span style="font-weight: 400;">Slowmist meldde dat een ontbrekende return-instructie in de code van het DIP-token leidde tot het wegvloeien van ongeveer $111.098 aan USDC. </span></li>
- <li><span style="font-weight: 400;">Door de fout werden overschrijvingen via Pancakeswap verdubbeld, wat bijdraagt aan de meer dan 2.150 incidenten die Slowmist dit jaar heeft geregistreerd. </span></li>
- <li><span style="font-weight: 400;">DeFi heeft in 2026 meer dan $1 miljard verloren aan exploits, waardoor de vraag naar audits in de tweede helft van het jaar hoog blijft.</span></li>
- </ul>
- <p><span style="font-weight: 400;">
Een overboeking die twee keer werd uitgevoerd
Slowmist bracht het incident onder de aandacht in een dreigingsmelding en schatte het verlies op 111.097,6 USDC. Het bedrijf verklaarde dat in de "_transfer()"-functie van het DIP-token een "return"-instructie ontbrak in de tak die transacties verwerkt die via de Pancakeswap-router worden geleid (een dienst die gedecentraliseerde beurzen gebruiken om tokens te ruilen tegen liquiditeitspools). Het team voegde hieraan toe:
"De aanvaller maakte hier misbruik van door `skim(router)` aan te roepen om dubbele DIP-overboekingen te activeren, en vervolgens `sync()` om de DIP-reserve op een extreem lage waarde in te stellen, waardoor de AMM-prijs werd gemanipuleerd om de pool leeg te halen."
Ondanks een gedetailleerde analyse heeft Slowmist de naam van de aanvaller niet bekendgemaakt en evenmin aangegeven of het gestolen geld op korte termijn kan worden teruggevorderd.
De werkwijze van de hele operatie lijkt vrij alledaags, aangezien gedecentraliseerde beurzen zoals Pancakeswap vertrouwen op geautomatiseerde routercontracten om tokens tussen handelaren en liquiditeitspools te verplaatsen. Een token kan naar eigen inzicht aangepaste logica toevoegen aan zijn eigen overdrachtsfunctie, maar wanneer die logica de interacties met de router verkeerd afhandelt, ontstaat er ruimte voor herhaalde, onbedoelde uitbetalingen.
In het geval van DIP zorgde het ontbrekende „return“-commando ervoor dat code die na één overdracht had moeten stoppen, in plaats daarvan doorging en een tweede keer werd uitgevoerd. Elke transactie die via de router verliep, werd in feite twee keer uitbetaald, waardoor er stilletjes USDC uit de pool wegvloeide.
De bug had geen flash-lening, oracle-truc of gestolen sleutel nodig om te werken (alleen een gat in de eigen code van het token). Dergelijke router-bewuste tokens en tokens met overdrachtskosten komen veel voor op aan Binance gekoppelde chains, waar projecten vaak extra gedrag aan standaard tokensjablonen toevoegen. Elke toegevoegde vertakking is een extra plek waar een fout zich kan verbergen, en geautomatiseerde swaps kunnen die fout duizenden keren activeren voordat iemand het opmerkt.
Onderdeel van een kostbaar 2026 voor DeFi
Het verlies bij DIP is klein in vergelijking met de grote inbreuken van dit jaar, maar het past in een gestage reeks van fouten op codeniveau. Alleen al in de openbare hackdatabase van Slowmist zijn meer dan 2.150 incidenten en ongeveer 37,8 miljard dollar aan cumulatieve verliezen geregistreerd. De afgelopen dagen registreerde de tracker een verlies van 105.000 dollar bij Thetanuts Finance en een exploit van 2,1 miljoen dollar bij Aztec Connect.
Nog specifieker gezien blijkt dat bugs in smart contracts een groot deel van de schade van dit jaar hebben veroorzaakt, waarbij DeFi-protocollen (vanaf vorige maand) meer dan 1 miljard dollar hebben verloren aan hacks en exploits. Slowmist heeft de geldafvoer bij Aztec Connect zelf teruggevoerd naar een verouderd contract en heeft een diefstal van 174.570 dollar bij Grok-Bankr toegeschreven aan een kunstmatige intelligentie (AI)-agent die werd misleid om een overboeking goed te keuren.
Ten slotte meldde Bitcoin.com News eerder dit jaar dat Zetachain zijn mainnet had stilgelegd nadat Slowmist een ontbrekende toegangscontrole in het GatewayZEVM-contract had ontdekt, nog een geval waarbij één enkele logische fout aanvallers een opening bood.
Aangezien er geen herstel is bevestigd en de aanvaller nog steeds niet is geïdentificeerd, onderstreept het DIP-incident een terugkerende les: één ontbrekende regel kan al voldoende zijn om een pool leeg te halen, en onafhankelijke audits blijven de belangrijkste verdedigingslinie nu de verliezen in DeFi toenemen.
Dit artikel is met behulp van AI uit het Engels vertaald. De originele Engelstalige versie is de gezaghebbende bron; geautomatiseerde vertalingen kunnen onnauwkeurigheden bevatten, met name in juridische en regelgevende terminologie.
