Slowmist: Zaradi ene same manjkajoče vrstice kode je bil DIP-token oškodovan za 111.000 dolarjev

Prenos, ki se je izvedel dvakrat

Slowmist je na incident opozoril v obvestilu o grožnjah in izgubo ocenil na 111.097,6 USDC. Podjetje je pojasnilo, da je v funkciji »_transfer()« tokena DIP manjkala izjava »return« v veji, ki obdeluje transakcije, usmerjene prek usmerjevalnika Pancakeswap (storitev, ki jo decentralizirane borze uporabljajo za zamenjavo tokenov v likvidnostnih bazenih). Ekipa je še dodala:

»Napadalec je to izkoristil tako, da je s klicem `skim(router)` sprožil dvojne prenose DIP, nato pa s `sync()` nastavil rezervo DIP na izredno nizko vrednost, s čimer je manipuliral ceno AMM in izpraznil sklad.«

Kljub podrobni analizi podjetje Slowmist ni navedlo imena napadalca niti ni povedalo, ali bo mogoče ukradena sredstva kmalu izterjati.

Mehanizem celotne operacije se zdi precej običajen, saj se decentralizirane borze, kot je Pancakeswap, zanašajo na avtomatizirane pogodbe usmerjevalnikov za prenos tokenov med trgovci in likvidnostnimi skladi. Token lahko prosto doda lastno logiko k svoji funkciji prenosa, vendar ko ta logika nepravilno obravnava interakcije z usmerjevalnikom, se odprejo vrata za ponavljajoča se, nenamerna izplačila.

V primeru DIP je manjkajoči »return« pomenil, da se je koda, ki bi se morala ustaviti po enem prenosu, namesto tega izvedla še drugič. Vsaka trgovina, ki je prišla v stik z usmerjevalnikom, je bila dejansko izplačana dvakrat, kar je tiho izčrpavalo USDC iz sklada.

Za delovanje te napake ni bilo potrebno nobeno hitro posojilo, trik z orakljem ali ukraden ključ (le vrzel v lastni kodi tokena). Takšni žetoni, ki upoštevajo usmerjevalnik in provizijo za prenos, so pogosti na verigah, povezanih z Binanceom, kjer projekti pogosto dodajajo dodatno vedenje k standardnim predlogam za žetone. Vsaka dodana veja je še eno mesto, kjer se lahko skriva napaka, avtomatizirane zamenjave pa lahko to napako sprožijo tisočkrat, preden jo kdo opazi.

Del dragega leta 2026 za DeFi

Izguba DIP je majhna v primerjavi z najbolj odmevnimi varnostnimi kršitvami tega leta, vendar se uvršča v niz stalnih napak na ravni kode. Samo javna baza podatkov o hekerskih napadih Slowmist je zabeležila več kot 2.150 incidentov in skupne izgube v višini približno 37,8 milijarde dolarjev. V zadnjih dneh je sledilnik zabeležil izgubo v višini 105.000 dolarjev pri Thetanuts Finance in izkoriščanje ranljivosti pri Aztec Connect v višini 2,1 milijona dolarjev.

Še natančneje je mogoče ugotoviti, da so napake v pametnih pogodbah povzročile velik del letošnje škode, saj so protokoli DeFi zaradi hekov in zlorab izgubili več kot 1 milijardo dolarjev (stanje iz prejšnjega meseca). Podjetje Slowmist je izčrpanje sredstev pri Aztec Connectu pripisalo zastareli pogodbi, krajo 174.570 dolarjev pri Grok-Bankr pa je pripisalo agentu umetne inteligence (AI), ki je bil zaveden, da je odobril prenos.

Nazadnje je Bitcoin.com News v začetku leta poročal, da je Zetachain začasno ustavil delovanje svojega glavnega omrežja, potem ko je Slowmist v pogodbi GatewayZEVM odkril manjkajoči nadzor dostopa – še en primer, ko je ena sama logična vrzel napadalcem odprla pot.

Ker ni potrjena nobena obnova in napadalec ostaja neznan, ta epizoda DIP ponovno potrjuje lekcijo, da lahko že ena sama manjkajoča vrstica zadostuje za izpraznitev sklada, neodvisne revizije pa ostajajo glavna obrambna linija, saj izgube v sektorju DeFi naraščajo.