Ett kodfel i DIP-token, en viktig nyttotoken i Etherisc-ekosystemet, gjorde det möjligt för en angripare att stjäla cirka 111 098 dollar i USD Coin (USDC), avslöjade blockkedjesäkerhetsföretaget Slowmist.
Key Takeaways
Slowmist: En enda saknad kodrad ledde till att 111 000 dollar försvann från DIP-tokenet
SKRIVEN AV
DELA
- </span></p>
- <p><span style="font-weight: 400;">Viktiga slutsatser: </span></p>
- <ul>
- <li><span style="font-weight: 400;">Slowmist uppgav att ett saknat return-uttryck i DIP-tokenets kod ledde till att cirka 111 098 USD i USDC försvann. </span></li>
- <li><span style="font-weight: 400;">Felet ledde till att överföringar via Pancakeswap fördubblades, vilket bidrog till de över 2 150 incidenter som Slowmist har registrerat i år. </span></li>
- <li><span style="font-weight: 400;">DeFi har förlorat över 1 miljard dollar till följd av säkerhetsutnyttjanden under 2026, vilket gör att efterfrågan på revisioner förblir hög inför andra halvåret.</span></li>
- </ul>
- <p><span style="font-weight: 400;">
En överföring som genomfördes två gånger
Slowmist uppmärksammade incidenten i en hotinformationsvarning och uppskattade förlusten till 111 097,6 USDC. Företaget uppgav att DIP-tokenets ”_transfer()”-funktion saknade ett ”return”-uttryck i den gren som hanterar transaktioner som dirigeras via Pancakeswap-routern (en tjänst som decentraliserade börser använder för att byta tokens mot likviditetspooler). Teamet tillade vidare:
”Angriparen utnyttjade detta genom att anropa `skim(router)` för att utlösa dubbla DIP-överföringar, och sedan `sync()` för att ställa in DIP-reserven till ett extremt lågt värde, vilket manipulerade AMM-priset för att tömma poolen.”
Trots en detaljerad redogörelse namngav Slowmist inte angriparen och uppgav inte heller om de stulna medlen skulle kunna återfås inom en snar framtid.
Mekaniken bakom hela operationen verkar vara ganska alldaglig, med tanke på att decentraliserade börser som Pancakeswap förlitar sig på automatiserade routerkontrakt för att flytta tokens mellan handlare och likviditetspooler. En token kan fritt lägga till anpassad logik i sin egen överföringsfunktion, men när den logiken hanterar routerinteraktioner felaktigt öppnas dörren för upprepade, oavsiktliga utbetalningar.
I DIP-fallet innebar den saknade ”return”-kommandot att kod som borde ha avbrutits efter en överföring istället fortsatte och kördes en andra gång. Varje transaktion som passerade routern betalades i praktiken ut två gånger, vilket i tysthet tömde poolen på USDC.
Bugen behövde varken ett flashlån, ett orakeltrick eller en stulen nyckel för att fungera (bara en lucka i tokenets egen kod). Sådana routermedvetna tokens med överföringsavgifter är vanliga på Binance-kopplade kedjor, där projekt ofta lägger till extra beteenden i standardmallar för tokens. Varje tillagd gren är ytterligare en plats där ett misstag kan gömma sig, och automatiserade byten kan utlösa det misstaget tusentals gånger innan någon märker det.
En del av ett kostsamt 2026 för DeFi
Förlusten för DIP är liten jämfört med årets mest uppmärksammade säkerhetsöverträdelser, men den passar in i en stadig ström av fel på kodnivå. Enbart Slowmists offentliga hackdatabas har registrerat mer än 2 150 incidenter och cirka 37,8 miljarder dollar i ackumulerade förluster. Under de senaste dagarna har spåraren registrerat en förlust på 105 000 dollar hos Thetanuts Finance och en exploatering av Aztec Connect på 2,1 miljoner dollar.
Mer specifikt kan man se att buggar i smarta kontrakt har orsakat en stor del av årets skador, där DeFi-protokoll har förlorat mer än 1 miljard dollar till hack och utnyttjanden (per förra månaden). Slowmist spårade själva Aztec Connect-tappet till ett föråldrat kontrakt och kunde koppla en stöld på 174 570 dollar från Grok-Bankr till en AI-agent som lurades att godkänna en överföring.
Slutligen rapporterade Bitcoin.com News tidigare i år att Zetachain pausade sitt mainnet efter att Slowmist identifierat en saknad åtkomstkontroll i dess GatewayZEVM-kontrakt – ännu ett fall där en enda logisk lucka gav angripare en öppning.
Eftersom ingen återhämtning har bekräftats och angriparen fortfarande är oidentifierad, understryker DIP-incidenten en återkommande lärdom: att en enda saknad rad kan räcka för att tömma en pool, och att oberoende revisioner förblir den viktigaste försvarslinjen i takt med att förlusterna inom DeFi ökar.
Den här artikeln har översatts från engelska med hjälp av AI. Den engelska originalversionen är den auktoritativa källan; automatiska översättningar kan innehålla felaktigheter, särskilt i juridisk och regulatorisk terminologi.
