Slowmist: uma única linha de código ausente causou uma perda de US$ 111.000 no token DIP

Uma transferência executada duas vezes

A Slowmist sinalizou o incidente em um alerta de inteligência de ameaças, estimando o prejuízo em 111.097,6 USDC. A empresa afirmou que a função “_transfer()” do token DIP não possuía uma instrução “return” no ramo que lida com transações encaminhadas pelo roteador do Pancakeswap (um recurso que as exchanges descentralizadas utilizam para trocar tokens contra pools de liquidez). A equipe acrescentou ainda:

“O invasor explorou essa falha chamando `skim(router)` para acionar transferências duplas de DIP e, em seguida, `sync()` para definir a reserva de DIP em um valor extremamente baixo, manipulando o preço do AMM para esvaziar o pool.”

Apesar de uma análise detalhada, a Slowmist não revelou o nome do invasor nem informou se os fundos roubados poderiam ser recuperados em breve.

A mecânica de toda a operação parece bastante comum, já que exchanges descentralizadas como a Pancakeswap dependem de contratos de roteador automatizados para movimentar tokens entre negociadores e pools de liquidez. Um token pode adicionar livremente lógica personalizada à sua própria função de transferência, mas quando essa lógica lida incorretamente com as interações do roteador, abre-se a porta para pagamentos repetidos e indesejados.

No caso do DIP, a falta do comando “return” fez com que o código, que deveria ter parado após uma transferência, continuasse e fosse executado uma segunda vez. Cada negociação que passou pelo roteador efetivamente gerou um pagamento duplo, drenando discretamente o USDC do pool.

O bug não precisou de nenhum empréstimo relâmpago, truque de oráculo ou chave roubada para funcionar (apenas uma falha no próprio código do token). Esses tokens sensíveis ao roteador e com taxa de transferência são comuns em cadeias vinculadas à Binance, onde os projetos costumam adicionar comportamentos extras aos modelos padrão de tokens. Cada ramificação adicionada é mais um lugar onde um erro pode se esconder, e as trocas automatizadas podem acionar esse erro milhares de vezes antes que alguém perceba.

Parte de um 2026 oneroso para a DeFi

A perda do DIP é pequena se comparada às principais violações do ano, mas se encaixa em uma sequência constante de falhas no nível do código. Somente o banco de dados público de hacks da Slowmist registrou mais de 2.150 incidentes e cerca de US$ 37,8 bilhões em perdas acumuladas. Nos últimos dias, o rastreador registrou uma perda de US$ 105.000 na Thetanuts Finance e uma exploração de US$ 2,1 milhões na Aztec Connect.

Mais especificamente, percebe-se que bugs em contratos inteligentes foram responsáveis por grande parte dos prejuízos do ano, com os protocolos DeFi tendo perdido mais de US$ 1 bilhão devido a ataques e explorações (até o mês passado). A própria Slowmist rastreou a drenagem da Aztec Connect até um contrato obsoleto e atribuiu um roubo de US$ 174.570 do Grok-Bankr a um agente de inteligência artificial (IA) que foi induzido a aprovar uma transferência.

Por fim, o Bitcoin.com News noticiou no início do ano que a Zetachain suspendeu sua mainnet depois que a Slowmist identificou uma falha no controle de acesso em seu contrato GatewayZEVM — mais um caso em que uma única falha de lógica abriu uma brecha para os invasores.

Sem nenhuma recuperação confirmada e com o invasor ainda não identificado, o episódio da DIP reforça uma lição recorrente: uma única linha ausente pode ser suficiente para esvaziar um pool, e as auditorias independentes continuam sendo a principal linha de defesa à medida que as perdas no DeFi aumentam.