Etherisc ekosisteminin temel bir yardımcı varlığı olan DIP token’ındaki bir kodlama hatası, bir saldırganın yaklaşık 111.098 dolarlık USD Coin (USDC) çalmasına yol açtı; bunu blok zinciri güvenlik şirketi Slowmist ortaya çıkardı.
Key Takeaways
Slowmist: Tek Bir Eksik Kod Satırı, DIP Token’dan 111.000 Dolar’ın Kaybolmasına Neden Oldu
YAZAN
PAYLAŞ
- </span></p>
- <p><span style="font-weight: 400;">Önemli Noktalar: </span></p>
- <ul>
- <li><span style="font-weight: 400;">Slowmist, DIP tokeninin kodunda eksik bir return ifadesinin yaklaşık 111.098 dolarlık USDC'nin çalınmasına yol açtığını belirtti. </span></li>
- <li><span style="font-weight: 400;">Bu kusur, Pancakeswap üzerinden yapılan transferleri iki katına çıkardı ve Slowmist’in bu yıl kaydettiği 2.150’den fazla olaya bir yenisini daha ekledi. </span></li>
- <li><span style="font-weight: 400;">DeFi, 2026 yılında istismarlar nedeniyle 1 milyar doların üzerinde kayıp yaşadı; bu durum, yılın ikinci yarısına girerken denetim talebini yüksek tutuyor.</span></li>
- </ul>
- <p><span style="font-weight: 400;">
İki Kez Gerçekleşen Bir Transfer
Slowmist, bir tehdit istihbaratı uyarısında bu olayı işaret ederek, kaybın 111.097,6 USDC olduğunu belirtti. Şirket, DIP tokeninin "_transfer()" işlevinde, Pancakeswap yönlendiricisi (merkezi olmayan borsaların likidite havuzlarına karşı token takası yapmak için kullandığı bir hizmet) üzerinden yönlendirilen işlemleri işleyen dalda bir "return" ifadesinin eksik olduğunu belirtti. Ekip ayrıca şunları ekledi:
"Saldırgan, `skim(router)` işlevini çağırarak çift DIP transferlerini tetikledi, ardından `sync()` işlevini kullanarak DIP rezervini son derece düşük bir değere ayarladı ve AMM fiyatını manipüle ederek havuzu boşalttı."
Ayrıntılı bir analiz sunmasına rağmen Slowmist, saldırganın kimliğini açıklamadı ve çalınan fonların yakın zamanda geri kazanılıp kazanılmayacağına dair bir açıklama yapmadı.
Pancakeswap gibi merkeziyetsiz borsaların, tokenları tüccarlar ve likidite havuzları arasında aktarmak için otomatik yönlendirici sözleşmelerine dayandığı düşünüldüğünde, operasyonun işleyişi oldukça sıradan görünüyor. Bir token, kendi transfer işlevine özel mantık eklemekte serbesttir; ancak bu mantık yönlendirici etkileşimlerini yanlış yönlendirdiğinde, tekrarlanan ve istenmeyen ödemelere kapı açılır.
DIP vakasında, eksik olan "return" komutu, bir transferden sonra durması gereken kodun bunun yerine devam edip ikinci kez yürütülmesine neden oldu. Yönlendiriciye ulaşan her işlem, fiilen iki kez ödeme yaptı ve havuzdan sessizce USDC'yi sızdırdı.
Bu hatanın çalışması için flaş krediye, oracle hilesine veya çalınmış anahtara gerek yoktu (sadece token'ın kendi kodundaki bir boşluk yeterliydi). Bu tür yönlendiriciye duyarlı ve transfer ücreti olan tokenlar, projelerin genellikle standart token şablonlarına ekstra davranışlar eklediği Binance bağlantılı zincirlerde yaygındır. Eklenen her dal, bir hatanın saklanabileceği başka bir yerdir ve otomatik takaslar, kimse fark etmeden önce bu hatayı binlerce kez tetikleyebilir.
DeFi için Maliyetli Bir 2026 Yılının Parçası
DIP'deki kayıp, yılın manşetlere taşınan güvenlik ihlallerinin yanında küçük kalıyor, ancak kod düzeyindeki aralıksız başarısızlıklar dizisine uyuyor. Sadece Slowmist’in halka açık hack veritabanında 2.150’den fazla olay ve yaklaşık 37,8 milyar dolarlık kümülatif kayıp kaydedilmiştir. Son günlerde, izleme sistemi Thetanuts Finance’te 105.000 dolarlık bir kayıp ve Aztec Connect’te 2,1 milyon dolarlık bir istismar vakası kaydetmiştir.
Daha da spesifik olarak, akıllı sözleşme hatalarının yılın zararlarının büyük bir kısmına yol açtığı görülebilir; DeFi protokolleri, hack ve istismarlar nedeniyle (geçen ay itibarıyla) 1 milyar dolardan fazla kayıp yaşadı. Slowmist, Aztec Connect'teki para kaybının kaynağını kullanımdan kaldırılmış bir sözleşmeye kadar izledi ve 174.570 dolarlık Grok-Bankr hırsızlığını, bir transferi onaylaması için kandırılan bir yapay zeka (AI) ajanına bağladı.
Son olarak, Bitcoin.com News yılın başlarında, Slowmist’in GatewayZEVM sözleşmesinde eksik bir erişim kontrolü tespit etmesinin ardından Zetachain’in ana ağını askıya aldığını bildirmişti; bu da saldırganlara fırsat sunan tek bir mantık boşluğunun yol açtığı bir başka vakaydı.
Geri kazanımın teyit edilmemesi ve saldırganın hâlâ kimliğinin belirlenememesi nedeniyle, bu DIP olayı, tek bir eksik satırın bir havuzu boşaltmaya yetebileceği ve DeFi kayıpları arttıkça bağımsız denetimlerin ana savunma hattı olmaya devam ettiği yönündeki tekrarlanan dersi pekiştiriyor.
Bu makale yapay zeka kullanılarak İngilizceden çevrilmiştir. Orijinal İngilizce sürüm yetkili kaynaktır; otomatik çeviriler, özellikle hukuki ve düzenleyici terminolojide hatalar içerebilir.
