Slowmist: одна-единственная пропущенная строка кода привела к потере 111 000 долларов для токена DIP

Перевод, который прошел дважды

Slowmist сообщила об этом инциденте в оповещении об угрозах, оценив убыток в 111 097,6 USDC. Компания сообщила, что в функции «_transfer()» токена DIP отсутствовал оператор «return» в ветке, обрабатывающей транзакции, проходящие через маршрутизатор Pancakeswap (инструмент, который децентрализованные биржи используют для обмена токенов с пулами ликвидности). Команда также добавила:

«Злоумышленник воспользовался этим, вызвав `skim(router)` для инициирования двойных переводов DIP, а затем `sync()` для установки резерва DIP на крайне низкое значение, манипулируя ценой AMM с целью опустошения пула».

Несмотря на подробный анализ, Slowmist не назвала имя злоумышленника и не сообщила, удастся ли в ближайшее время вернуть похищенные средства.

Механика всей операции, по-видимому, довольно банальна, учитывая, что децентрализованные биржи, такие как Pancakeswap, полагаются на автоматизированные контракты-маршрутизаторы для перемещения токенов между трейдерами и пулами ликвидности. Токен может свободно добавлять собственную логику в свою функцию перевода, но когда эта логика некорректно обрабатывает взаимодействия с маршрутизатором, открывается возможность для повторяющихся, непреднамеренных выплат.

В случае с DIP отсутствие ключевого слова «return» привело к тому, что код, который должен был остановиться после одного перевода, вместо этого прошел дальше и выполнился во второй раз. Каждая сделка, затронувшая маршрутизатор, фактически оплачивалась дважды, незаметно истощая пул USDC.

Для проявления этой ошибки не требовалось ни флэш-кредита, ни манипуляций с оракулом, ни украденного ключа (достаточно было лишь пробела в собственном коде токена). Такие токены, поддерживающие маршрутизаторы и взимающие комиссию за перевод, широко распространены в цепочках, связанных с Binance, где проекты часто добавляют дополнительные функции к стандартным шаблонам токенов. Каждая добавленная ветвь — это ещё одно место, где может скрываться ошибка, и автоматические свопы могут запускать эту ошибку тысячи раз, прежде чем кто-либо это заметит.

Часть дорогостоящего 2026 года для DeFi

Убыток DIP невелик по сравнению с громкими взломами этого года, но он вписывается в непрекращающуюся череду сбоев на уровне кода. Только в публичной базе данных взломов Slowmist зарегистрировано более 2 150 инцидентов и совокупные убытки на сумму около 37,8 млрд долларов. В последние дни сервис зафиксировал убыток в размере 105 000 долларов у Thetanuts Finance и взлом Aztec Connect на сумму 2,1 млн долларов.

Если говорить более конкретно, то можно заметить, что большую часть ущерба за год нанесли ошибки в смарт-контрактах: протоколы DeFi потеряли более 1 млрд долларов из-за взломов и уязвимостей (по состоянию на прошлый месяц). Сама компания Slowmist установила, что утечка средств из Aztec Connect произошла из-за устаревшего контракта, а кражу 174 570 долларов из Grok-Bankr приписала агенту искусственного интеллекта (ИИ), которого обманом заставили одобрить перевод.

Наконец, Bitcoin.com News сообщал ранее в этом году, что Zetachain приостановила работу своей основной сети после того, как Slowmist выявила отсутствие контроля доступа в контракте GatewayZEVM — еще один случай, когда единственный пробел в логике открыл злоумышленникам лазейку.

Поскольку восстановление средств не подтверждено, а злоумышленник по-прежнему не установлен, инцидент с DIP еще раз подтверждает извечный урок: одной недостающей строчки может хватить, чтобы опустошить пул, а независимые аудиты остаются основной линией защиты на фоне роста убытков в сфере DeFi.