Firma Slowmist, zajmująca się bezpieczeństwem łańcuchów bloków, ujawniła, że błąd w kodzie tokenu DIP – kluczowego aktywa użytkowego ekosystemu Etherisc – umożliwił atakującemu wykradzenie około 111 098 dolarów w USD Coin (USDC).
Key Takeaways
Slowmist: Jedna brakująca linijka kodu spowodowała utratę 111 000 dolarów z tokenu DIP
NAPISAŁ
UDOSTĘPNIJ
- </span></p>
- <p><span style="font-weight: 400;">Najważniejsze wnioski: </span></p>
- <ul>
- <li><span style="font-weight: 400;">Firma Slowmist stwierdziła, że brak instrukcji return w kodzie tokenu DIP spowodował utratę około 111 098 USD w USDC. </span></li>
- <li><span style="font-weight: 400;">Błąd ten spowodował podwojenie wartości transferów realizowanych za pośrednictwem platformy Pancakeswap, co stanowi kolejny z ponad 2 150 incydentów odnotowanych przez Slowmist w bieżącym roku. </span></li>
- <li><span style="font-weight: 400;">W 2026 r. sektor DeFi stracił ponad 1 mld USD w wyniku ataków, co sprawia, że popyt na audyty pozostaje wysoki w drugiej połowie roku.</span></li>
- </ul>
- <p><span style="font-weight: 400;">
Przelew, który został zrealizowany dwukrotnie
Firma Slowmist zgłosiła ten incydent w alercie dotyczącym zagrożeń, szacując stratę na 111 097,6 USDC. Firma stwierdziła, że w funkcji „_transfer()” tokenu DIP brakowało instrukcji „return” w gałęzi obsługującej transakcje kierowane przez router Pancakeswap (narzędzie wykorzystywane przez zdecentralizowane giełdy do wymiany tokenów z pulami płynności). Zespół dodał ponadto:
„Atakujący wykorzystał tę lukę, wywołując funkcję `skim(router)`, aby wywołać podwójne transfery DIP, a następnie `sync()`, aby ustawić rezerwę DIP na wyjątkowo niską wartość, manipulując ceną AMM w celu opróżnienia puli”.
Pomimo szczegółowej analizy firma Slowmist nie podała tożsamości atakującego ani nie poinformowała, czy skradzione środki będą mogły zostać wkrótce odzyskane.
Mechanizm całej operacji wydaje się dość prozaiczny, biorąc pod uwagę, że zdecentralizowane giełdy, takie jak Pancakeswap, opierają się na zautomatyzowanych kontraktach routerowych w celu przenoszenia tokenów między inwestorami a pulami płynności. Token może dowolnie dodawać własną logikę do swojej funkcji transferu, ale gdy logika ta nieprawidłowo obsługuje interakcje z routerem, otwiera się furtka do powtarzających się, niezamierzonych wypłat.
W przypadku DIP brakujące słowo „return” spowodowało, że kod, który powinien był zatrzymać się po jednym transferze, zamiast tego przeszedł dalej i wykonał się po raz drugi. Każda transakcja, która przeszła przez router, była w efekcie rozliczana dwukrotnie, co po cichu powodowało odpływ USDC z puli.
Błąd ten nie wymagał do działania ani pożyczki błyskawicznej, ani sztuczki z oracle, ani skradzionego klucza (wystarczyła jedynie luka w samym kodzie tokenu). Takie tokeny uwzględniające router i opłaty za transfer są powszechne w łańcuchach powiązanych z Binance, gdzie projekty często dodają dodatkowe zachowania do standardowych szablonów tokenów. Każda dodana gałąź to kolejne miejsce, w którym może ukryć się błąd, a zautomatyzowane wymiany mogą wywołać ten błąd tysiące razy, zanim ktokolwiek to zauważy.
Część kosztownego roku 2026 dla DeFi
Strata związana z DIP jest niewielka w porównaniu z głośnymi naruszeniami bezpieczeństwa, które miały miejsce w tym roku, ale wpisuje się w ciągłą serię awarii na poziomie kodu. Sama publiczna baza danych włamania Slowmist odnotowała ponad 2 150 incydentów i około 37,8 mld dolarów łącznych strat. W ostatnich dniach serwis ten odnotował stratę w wysokości 105 000 dolarów w Thetanuts Finance oraz atak na Aztec Connect, który przyniósł stratę 2,1 mln dolarów.
Jeśli spojrzeć jeszcze dokładniej, widać, że błędy w inteligentnych kontraktach spowodowały znaczną część tegorocznych strat, a protokoły DeFi straciły ponad 1 mld dolarów w wyniku ataków hakerskich i exploitów (stan na zeszły miesiąc). Sama firma Slowmist ustaliła, że wyciek środków z Aztec Connect wynikał z przestarzałego kontraktu, a kradzież 174 570 dolarów z Grok-Bankr przypisała agentowi sztucznej inteligencji (AI), którego oszukano, by zatwierdził przelew.
Wreszcie serwis Bitcoin.com News poinformował na początku roku, że Zetachain wstrzymał działanie swojej sieci głównej po tym, jak firma Slowmist zidentyfikowała brak kontroli dostępu w kontrakcie GatewayZEVM – był to kolejny przypadek, w którym pojedyncza luka logiczna otworzyła atakującym furtkę.
Ponieważ nie potwierdzono odzyskania środków, a tożsamość atakującego pozostaje nieznana, incydent z DIP potwierdza powtarzającą się lekcję, że wystarczy jedna brakująca linijka kodu, by opróżnić pulę środków, a niezależne audyty pozostają główną linią obrony w obliczu rosnących strat w sektorze DeFi.
Ten artykuł został przetłumaczony z języka angielskiego przy użyciu sztucznej inteligencji. Oryginalna wersja angielska jest źródłem autorytatywnym; tłumaczenia automatyczne mogą zawierać nieścisłości, zwłaszcza w terminologii prawnej i regulacyjnej.
