Chyba v kóde tokenu DIP, ktorý je kľúčovým utilitárnym aktívom ekosystému Etherisc, umožnila útočníkovi odcudziť približne 111 098 USD v USD Coin (USDC), ako odhalila spoločnosť Slowmist zaoberajúca sa bezpečnosťou blockchainu.
Key Takeaways
Slowmist: Jediný chýbajúci riadok kódu spôsobil stratu 111 000 dolárov pre token DIP
NAPÍSAL
ZDIEĽAŤ
- </span></p>
- <p><span style="font-weight: 400;">Kľúčové body: </span></p>
- <ul>
- <li><span style="font-weight: 400;">Spoločnosť Slowmist uviedla, že chýbajúci príkaz return v kóde tokenu DIP viedol k úniku približne 111 098 USD v USDC. </span></li>
- <li><span style="font-weight: 400;">Táto chyba zdvojnásobila objem prevodov cez Pancakeswap, čím sa počet incidentov zaznamenaných spoločnosťou Slowmist v tomto roku zvýšil na viac ako 2 150. </span></li>
- <li><span style="font-weight: 400;">DeFi v roku 2026 stratilo v dôsledku zneužitia viac ako 1 miliardu USD, čo udržiava vysoký dopyt po auditoch aj v druhej polovici roka.</span></li>
- </ul>
- <p><span style="font-weight: 400;">
Prevod, ktorý prebehol dvakrát
Spoločnosť Slowmist upozornila na tento incident v správe o hrozbách a vyčíslila stratu na 111 097,6 USDC. Spoločnosť uviedla, že vo funkcii „_transfer()“ tokenu DIP chýbalo príkaz „return“ vo vetve, ktorá spracováva transakcie smerované cez smerovač Pancakeswap (služba, ktorú decentralizované burzy používajú na výmenu tokenov za likviditné fondy). Tím ďalej dodal:
„Útočník to zneužil volaním `skim(router)`, čím spustil dvojité prevody DIP, a následne volaním `sync()`, čím nastavil rezervu DIP na extrémne nízku hodnotu a manipuláciou ceny AMM vyprázdnil fond.“
Napriek podrobnému rozboru spoločnosť Slowmist neuviedla meno útočníka ani neprezradila, či by sa ukradnuté prostriedky mohli v blízkej budúcnosti získať späť.
Mechanizmus celej operácie sa zdá byť pomerne bežný, keďže decentralizované burzy, ako je Pancakeswap, sa spoliehajú na automatizované zmluvy smerovačov na presun tokenov medzi obchodníkmi a likviditnými fondmi. Token môže do svojej vlastnej funkcie prevodu pridať vlastnú logiku, ale ak táto logika nesprávne spracuje interakcie s routerom, otvára sa dvere opakovaným, neúmyselným výplatám.
V prípade DIP chýbajúce „return“ znamenalo, že kód, ktorý sa mal zastaviť po jednom prevode, namiesto toho prešiel ďalej a vykonal sa druhýkrát. Každý obchod, ktorý prešiel smerovačom, bol v podstate vyplatený dvakrát, čím sa z fondu nenápadne vytrácali USDC.
Na to, aby táto chyba fungovala, nebola potrebná žiadna blesková pôžička, trik s orákulom ani ukradnutý kľúč (stačila len medzera vo vlastnom kóde tokenu). Takéto tokeny, ktoré zohľadňujú router a poplatky za prevod, sú bežné v reťazcoch prepojených s Binance, kde projekty často pridávajú dodatočné správanie do štandardných šablón tokenov. Každá pridaná vetva je ďalším miestom, kde sa môže skryť chyba, a automatizované výmeny môžu túto chybu spustiť tisíckrát, kým si to niekto všimne.
Súčasť nákladného roka 2026 pre DeFi
Strata v prípade DIP je v porovnaní s najväčšími bezpečnostnými incidentmi tohto roka malá, zapadá však do súvislej série zlyhaní na úrovni kódu. Len verejná databáza hackov spoločnosti Slowmist zaznamenala viac ako 2 150 incidentov a kumulatívne straty vo výške približne 37,8 miliardy dolárov. V posledných dňoch tento tracker zaznamenal stratu 105 000 dolárov v projekte Thetanuts Finance a zneužitie v projekte Aztec Connect, ktoré spôsobilo škodu 2,1 milióna dolárov.
Ešte konkrétnejšie je zrejmé, že chyby v inteligentných zmluvách spôsobili veľkú časť tohtoročných škôd, pričom protokoly DeFi prišli v dôsledku hackov a zneužití o viac ako 1 miliardu dolárov (k minulému mesiacu). Spoločnosť Slowmist sama vysledovala únik prostriedkov v prípade Aztec Connect až k zastaranej zmluve a pripísala krádež vo výške 174 570 dolárov v prípade Grok-Bankr agentovi umelej inteligencie (AI), ktorého podvodom prinútili schváliť prevod.
Napokon, portál Bitcoin.com News informoval už skôr v tomto roku, že Zetachain pozastavil prevádzku svojej hlavnej siete po tom, čo spoločnosť Slowmist identifikovala chýbajúcu kontrolu prístupu v jeho zmluve GatewayZEVM – ide o ďalší prípad, keď jediná logická medzera poskytla útočníkom príležitosť.
Keďže nebolo potvrdené žiadne zotavenie a útočník stále nie je identifikovaný, tento incident s DIP potvrdzuje opakujúce sa ponaučenie, že jediný chýbajúci riadok môže stačiť na vyprázdnenie fondu, a nezávislé audity zostávajú hlavnou obrannou líniou v čase, keď straty v oblasti DeFi stúpajú.
Tento článok bol preložený z angličtiny pomocou umelej inteligencie. Pôvodná anglická verzia je autoritatívnym zdrojom; automatické preklady môžu obsahovať nepresnosti, najmä v právnej a regulačnej terminológii.
