Slowmist: Isang Nawawalang Linya ng Code ang Nag-ubos ng $111,000 mula sa DIP Token

Isang Transfer na Nangyari Nang Dalawang Beses

Tinukoy ng Slowmist ang insidente sa isang threat intelligence alert, at itinakda ang pagkalugi sa 111,097.6 USDC. Sinabi ng kumpanya na ang function na “_transfer()” ng DIP token ay kulang ng isang “return” statement sa branch na humahawak ng mga trade na dumaraan sa Pancakeswap router (isang serbisyo na ginagamit ng mga decentralized exchange upang mag-swap ng mga token laban sa mga liquidity pool). Dagdag pa ng team:

“Sinamantala ito ng attacker sa pamamagitan ng pagtawag sa `skim(router)` upang i-trigger ang dobleng DIP transfers, saka `sync()` upang itakda ang DIP reserve sa napakababang halaga, minamanipula ang AMM price upang ma-drain ang pool.”

Sa kabila ng detalyadong paliwanag, hindi pinangalanan ng Slowmist ang attacker o sinabi kung maaari bang mabawi ang mga nanakaw na pondo sa lalong madaling panahon.

Ang mekanismo ng buong operasyon ay tila pangkaraniwan, dahil ang mga decentralized exchange tulad ng Pancakeswap ay umaasa sa mga automated router contract upang ilipat ang mga token sa pagitan ng mga trader at mga liquidity pool. Malaya ang isang token na magdagdag ng custom logic sa sarili nitong transfer function, ngunit kapag mali ang paghawak ng lohikang iyon sa mga interaksiyon sa router, nabubuksan ang pinto sa paulit-ulit at hindi sinasadyang mga payout.

Sa kaso ng DIP, ang nawawalang “return” ay nangangahulugang ang code na dapat ay huminto matapos ang isang transfer ay sa halip ay nagpatuloy at naisagawa ang pangalawang beses. Bawat trade na dumaan sa router ay epektibong nagbayad nang doble, tahimik na inuubos ang USDC mula sa pool.

Hindi kinailangan ng bug ang anumang flash loan, oracle trick, o ninakaw na key upang gumana (tanging isang puwang sa sariling code ng token). Karaniwan ang mga ganitong router-aware at fee-on-transfer token sa mga chain na konektado sa Binance, kung saan madalas ikinakabit ng mga proyekto ang dagdag na behavior sa mga standard token template. Bawat idinagdag na branch ay isa pang lugar na maaaring pagtaguan ng pagkakamali, at maaaring ma-trigger ng mga automated swap ang pagkakamaling iyon nang libo-libong beses bago ito mapansin ng sinuman.

Bahagi ng Magastos na 2026 para sa DeFi

Maliit ang pagkawala sa DIP kumpara sa mga pangunahing paglabag ng taon, ngunit umaayon ito sa tuluy-tuloy na serye ng mga kabiguan sa antas ng code. Ang pampublikong hack database pa lamang ng Slowmist ay nakapagtala na ng mahigit 2,150 insidente at humigit-kumulang $37.8 bilyon sa pinagsama-samang pagkalugi. Sa mga nagdaang araw, naitala ng tracker ang $105,000 na pagkalugi sa Thetanuts Finance at isang $2.1 milyon na Aztec Connect exploit.

Mas partikular pa, makikita na ang mga bug sa smart contract ang nagtulak sa malaking bahagi ng pinsala ngayong taon, kung saan ang mga DeFi protocol ay nawalan ng mahigit $1 bilyon dahil sa mga hack at exploit (hanggang noong nakaraang buwan). Tinukoy mismo ng Slowmist ang pag-drain sa Aztec Connect bilang nagmula sa isang deprecated contract at itinuro ang isang $174,570 na Grok-Bankr na pagnanakaw sa isang artificial intelligence (AI) agent na nalinlang upang aprubahan ang isang transfer.

Sa huli, iniulat ng Bitcoin.com News mas maaga ngayong taon na ipinahinto ng Zetachain ang mainnet nito matapos matukoy ng Slowmist ang isang nawawalang access control sa GatewayZEVM contract nito, isa na namang kaso ng iisang puwang sa lohika na nagbibigay sa mga attacker ng pagkakataon.

Dahil walang nakumpirmang recovery at hindi pa rin nakikilala ang attacker, pinatitibay ng insidente sa DIP ang paulit-ulit na aral na sapat na ang isang nawawalang linya upang maubos ang isang pool, at nananatiling pangunahing depensa ang mga independent audit habang tumataas ang mga pagkalugi sa DeFi.