区块链安全漏洞报告
根据区块链安全公司Slowmist的报告,DIP代币(Etherisc生态系统中的重要实用资产)存在编码缺陷,导致攻击者 siphon 约111,098美元的USD Coin(USDC)。
关键要点
- Slowmist表示,DIP代币代码中缺失的返回语句导致约111,098美元的USDC被盗。
- 该缺陷通过Pancakeswap双倍转账,增加了Slowmist今年记录的2150多起事件。
- 去中心化金融(DeFi)在2026年因漏洞损失超过10亿美元,导致审计需求在下半年持续高涨。
Slowmist在一份威胁情报警报中标记了这一事件,损失金额为111,097.6 USDC。该公司表示,DIP代币的“_transfer”函数在处理通过Pancakeswap路由器进行的交易时缺少“return”语句。
团队进一步补充道:“攻击者通过调用skim(router)触发了双重DIP转账,然后使用sync将DIP储备设置为极低的值,从而操纵AMM价格以抽取流动性池。”尽管Slowmist提供了详细的分析,但并未透露攻击者的身份,也未说明被盗资金是否能够在短期内追回。
漏洞机制分析
整个操作的机制似乎相当平常,因为像Pancakeswap这样的去中心化交易所依赖自动化路由合约在交易者和流动性池之间移动代币。代币可以自由地在其转账函数中添加自定义逻辑,但当这些逻辑处理路由器交互时出现问题,就会导致重复的、意外的支付。
在DIP的案例中,缺失的“return”意味着本应在一次转账后停止的代码意外地继续执行,导致第二次转账的发生。每笔触及路由器的交易实际上都支付了两次,悄然从流动性池中抽走了USDC。
这个漏洞不需要闪电贷、预言机技巧或被盗密钥(仅仅是代币自身代码中的一个缺口)。这种对路由器敏感且在转账时收取费用的代币在与Binance相关的链上很常见,项目通常会在标准代币模板上添加额外的行为。每增加一个分支,错误隐藏的可能性就增加,而自动化交换可以在任何人注意到之前触发这个错误数千次。
持续的安全挑战
DIP的损失在今年的重大漏洞面前显得微不足道,但它符合代码层面故障的持续趋势。Slowmist的公共黑客数据库记录了超过2150起事件和约378亿美元的累计损失。最近,该追踪器记录了Thetanuts Finance的10.5万美元损失和Aztec Connect的210万美元漏洞。
更具体地说,可以看到智能合约漏洞驱动了今年大部分的损失,截至上个月,DeFi协议因黑客攻击和漏洞损失超过10亿美元。Slowmist本身追踪到Aztec Connect的损失源于一个已弃用的合约,并将174,570美元的Grok-Bankr盗窃归咎于一个被欺骗批准转账的人工智能(AI)代理。
最后,Bitcoin.com News在年初报道,Zetachain在Slowmist发现其GatewayZEVM合约中缺失访问控制后暂停了主网,这是另一个由于单一逻辑缺口而给攻击者留下机会的案例。
总结
在没有确认追回资金且攻击者身份仍未确定的情况下,DIP事件再次强调了一个反复出现的教训:一行缺失的代码足以清空一个流动性池,而独立审计仍然是DeFi损失上升时的主要防线。
