Slowmist：一行缺失的代码导致DIP代币损失111,000美元

• ： </span></p>
• <ul>
• <li><span style="font-weight: 400;">Slowmist 表示，DIP 代币代码中缺少一个 return 语句，导致约 111,098 美元的 USDC 被盗。 </span></li>
• <li><span style="font-weight: 400;">该漏洞导致通过Pancakeswap进行的转账金额翻倍，使Slowmist今年记录的事件总数增至2,150余起。 </span></li>
• <li><span style="font-weight: 400;">2026年，DeFi因漏洞攻击损失逾10亿美元，这使得下半年审计需求持续高涨。</span></li>
• </ul>
• <p><span style="font-weight: 400;">

一次被执行两次的转账

Slowmist 在一份威胁情报警报中指出了该事件，并将损失金额确定为 111,097.6 USDC。 该公司表示，DIP代币的“_transfer()”函数在处理通过Pancakeswap路由器（去中心化交易所用于在流动性池中交换代币的服务）转发的交易的分支中，缺少了“return”语句。该团队进一步补充道：

“攻击者利用这一漏洞，通过调用`skim(router) `触发 DIP 代币的双重转账，随后调用`sync() `将 DIP 储备金设置为极低数值，从而操纵 AMM 价格来清空流动性池。”

尽管分析了详细的技术细节，Slowmist 并未透露攻击者的身份，也未说明被盗资金能否在短期内追回。 鉴于 Pancakeswap 等去中心化交易所依赖自动路由器合约在交易者和流动性池之间转移代币，此次攻击的运作机制似乎相当寻常。 代币可以自由地在其转账函数中添加自定义逻辑，但当该逻辑未能正确处理与路由器的交互时，就会导致重复且非预期的支付。 在 DIP 案例中，由于缺少“return”语句，本应在一次转账后停止的代码反而继续执行，导致第二次转账发生。 每次经过路由器的交易实际上都支付了两次，悄无声息地从流动性池中抽走了USDC。该漏洞的触发无需闪电贷、预言机漏洞或密钥被盗（仅需代币自身代码中的一个漏洞）。 此类支持路由器且采用“转账收费”机制的代币在币安关联链上十分常见，相关项目通常会在标准代币模板上附加额外功能。每个新增的分支都是错误潜藏的隐患，而自动交易可能在无人察觉的情况下触发该错误数千次。

DeFi 2026 年代价高昂的事件之一

与今年那些备受瞩目的安全事件相比，DIP的损失微不足道，但它印证了代码层级故障持续不断的趋势。 仅Slowmist的公开黑客攻击数据库就已记录了超过2,150起事件，累计损失约378亿美元。近日，该追踪平台记录了Thetanuts Finance的10.5万美元损失以及Aztec Connect的210万美元漏洞利用事件。

更具体地说，可以看出智能合约漏洞是今年造成大部分损失的主因，DeFi 协议因黑客攻击和漏洞利用造成的损失已超过 10 亿美元（截至上个月）。 Slowmist 团队追踪发现，Aztec Connect 的资金外流源于一个已弃用的合约；而 Grok-Bankr 遭遇的 174,570 美元盗窃案，则是因一个人工智能（AI）代理被诱骗批准了转账操作所致。

最后，Bitcoin.com News 今年早些时候曾报道，在 Slowmist 发现 Zetachain 的 GatewayZEVM 合约中存在访问控制缺失后，该项目暂停了主网运行——这又是单个逻辑漏洞为攻击者提供可乘之机的典型案例。

由于尚未确认资金能否追回，且攻击者身份仍未查明，此次 DIP 事件再次印证了一个反复出现的教训：仅缺失一行代码就足以让资金池被清空；随着 DeFi 损失不断攀升，独立审计仍是主要防线。