Компанія Slowmist, що спеціалізується на безпеці блокчейнів, повідомила, що через помилку в коді токена DIP — важливого утилітарного активу екосистеми Etherisc — зловмиснику вдалося вивести приблизно 111 098 доларів у USD Coin (USDC).
Key Takeaways
Slowmist: одна пропущена рядок коду призвела до втрати 111 000 доларів для токена DIP
АВТОР
ПОДІЛИТИСЯ
- </span></p>
- <p><span style="font-weight: 400;">Основні висновки: </span></p>
- <ul>
- <li><span style="font-weight: 400;">За даними Slowmist, відсутність оператора return у коді токена DIP призвела до виведення близько 111 098 доларів у USDC. </span></li>
- <li><span style="font-weight: 400;">Ця вразливість призвела до подвоєння обсягу переказів через Pancakeswap, що додалося до понад 2 150 інцидентів, зареєстрованих Slowmist цього року. </span></li>
- <li><span style="font-weight: 400;">У 2026 році DeFi втратила понад 1 млрд доларів через зловживання, що зумовило високий попит на аудит у другій половині року.</span></li>
- </ul>
- <p><span style="font-weight: 400;">
Переказ, який відбувся двічі
Slowmist повідомила про цей інцидент у сповіщенні про загрози, оцінивши збитки у 111 097,6 USDC. Компанія зазначила, що у функції «_transfer()» токена DIP бракувало оператора «return» у гілці, яка обробляє транзакції, що маршрутизуються через маршрутизатор Pancakeswap (сервіс, який децентралізовані біржі використовують для обміну токенів з пулами ліквідності). Команда також додала:
«Зловмисник скористався цим, викликавши `skim(router)`, щоб ініціювати подвійні перекази DIP, а потім `sync()`, щоб встановити резерв DIP на надзвичайно низьке значення, маніпулюючи ціною AMM для виведення коштів із пулу».
Незважаючи на детальний аналіз, Slowmist не назвала зловмисника та не повідомила, чи можна найближчим часом повернути вкрадені кошти.
Механізм усієї операції видається досить банальним, враховуючи, що децентралізовані біржі, такі як Pancakeswap, покладаються на автоматизовані контракти маршрутизаторів для переміщення токенів між трейдерами та пулами ліквідності. Токен може вільно додавати власну логіку до своєї функції переказу, але коли ця логіка неправильно обробляє взаємодію з маршрутизатором, це відкриває можливість для повторюваних, ненавмисних виплат.
У випадку з DIP відсутність слова «return» призвела до того, що код, який мав зупинитися після одного переказу, натомість проскочив і виконав операцію вдруге. Кожна операція, що проходила через маршрутизатор, фактично оплачувалася двічі, непомітно викачуючи USDC з пулу.
Для спрацювання цієї помилки не знадобилися ні флеш-позики, ні маніпуляції з оракулами, ні вкрадені ключі (лише прогалина у власному коді токена). Такі токени, що взаємодіють з маршрутизатором та передбачають комісію за переказ, є поширеними на ланцюгах, пов’язаних із Binance, де проєкти часто додають додаткові функції до стандартних шаблонів токенів. Кожна додана гілка — це ще одне місце, де може приховатися помилка, а автоматизовані свопи можуть запускати цю помилку тисячі разів, перш ніж хтось це помітить.
Частина дорогого 2026 року для DeFi
Втрати DIP є незначними порівняно з гучними інцидентами цього року, але вони вписуються в постійну серію збоїв на рівні коду. Лише у публічній базі даних зломів Slowmist зареєстровано понад 2 150 інцидентів та сукупні збитки на суму близько 37,8 млрд доларів. Останніми днями сервіс зафіксував збитки на суму 105 000 доларів у Thetanuts Finance та експлойт Aztec Connect на суму 2,1 млн доларів.
Якщо говорити ще конкретніше, можна побачити, що значну частину збитків за рік спричинили помилки в смарт-контрактах, причому протоколи DeFi втратили понад 1 млрд доларів через хакерські атаки та експлойти (станом на минулий місяць). Компанія Slowmist сама встановила, що витік коштів з Aztec Connect стався через застарілий контракт, а крадіжку 174 570 доларів у Grok-Bankr пов’язала з агентом штучного інтелекту (ШІ), якого обманом змусили схвалити переказ.
Нарешті, Bitcoin.com News повідомляв раніше цього року, що Zetachain призупинив роботу своєї основної мережі після того, як Slowmist виявив відсутність контролю доступу в контракті GatewayZEVM — ще один випадок, коли одна логічна прогалина надала зловмисникам можливість для атаки.
Оскільки відновлення коштів не підтверджено, а зловмисник досі не встановлений, інцидент із DIP ще раз підкреслює постійний урок: однієї відсутньої лінії коду може вистачити, щоб спустошити пул, а незалежні аудити залишаються головною лінією оборони в умовах зростання збитків у секторі DeFi.
Цю статтю перекладено з англійської мови за допомогою штучного інтелекту. Оригінальна англомовна версія є авторитетним джерелом; автоматичні переклади можуть містити неточності, особливо в юридичній та нормативній термінології.
