Slowmist: O singură linie de cod omisă a dus la pierderea a 111.000 de dolari din fondul DIP al tokenului

• </span></p>
• <p><span style="font-weight: 400;">Concluzii cheie: </span></p>
• <ul>
• <li><span style="font-weight: 400;">Slowmist a declarat că lipsa unei instrucțiuni „return” din codul tokenului DIP a dus la sustragerea a aproximativ 111.098 USD în USDC. </span></li>
• <li><span style="font-weight: 400;">Vulnerabilitatea a dublat transferurile efectuate prin Pancakeswap, adăugându-se la cele peste 2.150 de incidente înregistrate de Slowmist în acest an. </span></li>
• <li><span style="font-weight: 400;">DeFi a pierdut peste 1 miliard de dolari din cauza exploatărilor în 2026, menținând cererea de audit la un nivel ridicat în perspectiva celui de-al doilea semestru.</span></li>
• </ul>
• <p><span style="font-weight: 400;">

Un transfer care s-a executat de două ori

Slowmist a semnalat incidentul într-o alertă de informații privind amenințările, estimând pierderea la 111.097,6 USDC. Compania a declarat că funcției „_transfer()” a tokenului DIP îi lipsea o instrucțiune „return” în ramura care gestionează tranzacțiile dirijate prin routerul Pancakeswap (un serviciu pe care platformele de schimb descentralizate îl utilizează pentru a schimba tokenuri cu fonduri de lichiditate). Echipa a adăugat în continuare:

„Atacatorul a exploatat această vulnerabilitate apelând `skim(router)` pentru a declanșa transferuri DIP duble, apoi `sync()` pentru a seta rezerva DIP la o valoare extrem de scăzută, manipulând prețul AMM pentru a goli fondul.”

În ciuda unei analize detaliate, Slowmist nu a dezvăluit identitatea atacatorului și nici nu a precizat dacă fondurile furate vor putea fi recuperate în curând.

Mecanismul întregii operațiuni pare destul de banal, având în vedere că bursele descentralizate, precum Pancakeswap, se bazează pe contracte de router automatizate pentru a transfera token-uri între traderi și fondurile de lichiditate. Un token poate adăuga liber logică personalizată la propria funcție de transfer, dar atunci când acea logică gestionează greșit interacțiunile cu routerul, se deschide ușa către plăți repetate și neintenționate.

În cazul DIP, lipsa cuvântului „return” a făcut ca codul, care ar fi trebuit să se oprească după un singur transfer, să continue și să se execute a doua oară. Fiecare tranzacție care a trecut prin router a generat efectiv o plată dublă, epuizând în tăcere USDC-ul din fondul de lichiditate.

Bug-ul nu a avut nevoie de niciun împrumut flash, nici de vreo manevră prin oracol, nici de o cheie furată pentru a funcționa (doar o lacună în propriul cod al tokenului). Astfel de tokenuri care țin cont de router și care percep comisioane la transfer sunt comune pe lanțurile legate de Binance, unde proiectele adaugă adesea comportamente suplimentare la șabloanele standard de tokenuri. Fiecare ramificație adăugată reprezintă un alt loc în care se poate ascunde o eroare, iar schimburile automate pot declanșa acea eroare de mii de ori înainte ca cineva să observe.

O parte dintr-un an 2026 costisitor pentru DeFi

Pierderea DIP este mică în comparație cu breșele de securitate care au făcut senzație în acest an, dar se înscrie într-un șir neîntrerupt de eșecuri la nivel de cod. Numai baza de date publică a Slowmist privind atacurile cibernetice a înregistrat peste 2.150 de incidente și pierderi cumulate de aproximativ 37,8 miliarde de dolari. În ultimele zile, platforma de monitorizare a înregistrat o pierdere de 105.000 de dolari la Thetanuts Finance și o exploatare a Aztec Connect în valoare de 2,1 milioane de dolari.

Mai precis, se poate observa că erorile din contractele inteligente au generat o mare parte din pagubele înregistrate în acest an, protocoalele DeFi pierzând peste 1 miliard de dolari din cauza atacurilor și exploatărilor (conform datelor de luna trecută). Slowmist a identificat că pierderea de la Aztec Connect s-a datorat unui contract învechit și a atribuit furtul de 174.570 de dolari de la Grok-Bankr unui agent de inteligență artificială (IA) care a fost păcălit să aprobe un transfer.

În cele din urmă, Bitcoin.com News a raportat la începutul anului că Zetachain și-a suspendat rețeaua principală după ce Slowmist a identificat o lipsă a controlului de acces în contractul său GatewayZEVM, un alt caz în care o singură lacună logică le-a oferit atacatorilor o breșă.

În absența unei recuperări confirmate și a identificării atacatorului, episodul DIP subliniază o lecție recurentă: o singură linie lipsă poate fi suficientă pentru a goli un fond comun, iar auditurile independente rămân principala linie de apărare pe măsură ce pierderile din sectorul DeFi cresc.