Slowmist: Én enkelt manglende kodelinje tappet 111 000 dollar fra DIP-tokenet

En overføring som kjørte to ganger

Slowmist markerte hendelsen i et trusselintelligensvarsel, og anslo tapet til 111 097,6 USDC. Selskapet sa at DIP-tokenets «_transfer()»-funksjon manglet en «return»-setning i grenen som håndterer handler rutet gjennom Pancakeswap-routeren (et tilbud som desentraliserte børser bruker for å bytte tokens mot likviditetspooler). Teamet la videre til:

“Angriperen utnyttet dette ved å kalle `skim(router)` for å utløse doble DIP-overføringer, deretter `sync()` for å sette DIP-reserven til en ekstremt lav verdi, manipulere AMM-prisen og tappe poolen.”

Til tross for en detaljert gjennomgang, navnga ikke Slowmist angriperen eller sa om de stjålne midlene kunne gjenopprettes i nær fremtid.

Mekanikkene i hele operasjonen virker å være ganske dagligdagse, gitt at desentraliserte børser som Pancakeswap er avhengige av automatiserte router-kontrakter for å flytte tokens mellom tradere og likviditetspooler. Et token står fritt til å legge til egendefinert logikk i sin egen overføringsfunksjon, men når den logikken håndterer router-interaksjoner feil, åpnes døren for gjentatte, utilsiktede utbetalinger.

I DIP-tilfellet betydde den manglende «return» at kode som skulle ha stoppet etter én overføring, i stedet falt gjennom og ble kjørt en gang til. Hver handel som berørte routeren betalte i praksis ut dobbelt, og tappet i det stille USDC fra poolen.

Buggen trengte ingen flash-lån, oracle-triks eller stjålet nøkkel for å fungere (bare et hull i tokenets egen kode). Slike router-bevisste og fee-on-transfer-tokens er vanlige på Binance-tilknyttede kjeder, der prosjekter ofte skrur på ekstra oppførsel på standard token-maler. Hver ekstra gren er enda et sted en feil kan gjemme seg, og automatiserte bytter kan utløse den feilen tusenvis av ganger før noen legger merke til det.

Del av et kostbart 2026 for DeFi

DIP-tapet er lite sammenlignet med årets største innbrudd, men det passer inn i en jevn trommerytme av feil på kodenivå. Slowmists offentlige hackdatabase alene har loggført mer enn 2 150 hendelser og rundt 37,8 milliarder dollar i samlede tap. De siste dagene registrerte sporeren et tap på 105 000 dollar hos Thetanuts Finance og en Aztec Connect-utnyttelse på 2,1 millioner dollar.

Enda mer spesifikt kan man se at smartkontrakt-feil har stått bak mye av årets skade, der DeFi-protokoller har tapt mer enn 1 milliard dollar til hacks og utnyttelser (per forrige måned). Slowmist selv sporet Aztec Connect-tappingen til en avviklet kontrakt og knyttet et tyveri på 174 570 dollar av Grok-Bankr til en agent for kunstig intelligens (AI) som ble lurt til å godkjenne en overføring.

Til slutt rapporterte Bitcoin.com News tidligere i år at Zetachain satte sin mainnet på pause etter at Slowmist identifiserte manglende tilgangskontroll i GatewayZEVM-kontrakten, nok et tilfelle der et enkelt logisk hull ga angripere en åpning.

Uten noen bekreftet gjenoppretting og med angriperen fortsatt uidentifisert, understreker DIP-episoden en tilbakevendende lærdom: én enkelt manglende linje kan være nok til å tømme en pool, og uavhengige revisjoner forblir den viktigste forsvarslinjen når DeFi-tapene øker.