Kesalahan Kode Token DIP Mengakibatkan Kerugian Signifikan
Sebuah kesalahan dalam kode token DIP, aset utilitas penting dari ekosistem Etherisc, telah memungkinkan seorang penyerang untuk menguras sekitar $111,098 dalam USD Coin (USDC), seperti yang diungkapkan oleh perusahaan keamanan blockchain Slowmist.
Poin Penting
- Slowmist menyatakan bahwa hilangnya pernyataan return dalam kode token DIP menyebabkan kerugian sekitar $111,098 dalam USDC.
- Kesalahan ini menggandakan transfer melalui Pancakeswap, menambah lebih dari 2,150 insiden yang tercatat oleh Slowmist tahun ini.
- DeFi telah kehilangan lebih dari $1 miliar akibat eksploitasi pada tahun 2026, menjaga permintaan audit tetap tinggi menjelang paruh kedua tahun ini.
Slowmist menandai insiden ini dalam peringatan intelijen ancaman, menetapkan kerugian pada 111,097.6 USDC. Perusahaan tersebut menjelaskan bahwa fungsi _transfer token DIP kehilangan pernyataan return di cabang yang menangani perdagangan yang diarahkan melalui router Pancakeswap (penawaran yang digunakan bursa terdesentralisasi untuk menukar token melawan kumpulan likuiditas).
Tim tersebut menambahkan: “Penyerang mengeksploitasi ini dengan memanggil skim(router) untuk memicu transfer DIP ganda, kemudian sync untuk mengatur cadangan DIP ke nilai yang sangat rendah, memanipulasi harga AMM untuk menguras kumpulan.” Meskipun penjelasan yang diberikan cukup rinci, Slowmist tidak menyebutkan nama penyerang atau apakah dana yang dicuri dapat dipulihkan dalam waktu dekat.
Mekanika Eksploitasi
Mekanika dari seluruh operasi tampaknya cukup umum, mengingat bursa terdesentralisasi seperti Pancakeswap bergantung pada kontrak router otomatis untuk memindahkan token antara pedagang dan kumpulan likuiditas. Sebuah token bebas untuk menambahkan logika kustom ke fungsi transfernya sendiri, tetapi ketika logika tersebut salah menangani interaksi router, pintu terbuka untuk pembayaran yang tidak diinginkan berulang kali.
Dalam kasus DIP, hilangnya return berarti kode yang seharusnya berhenti setelah satu transfer justru jatuh dan dieksekusi untuk kedua kalinya. Setiap perdagangan yang menyentuh router secara efektif membayar dua kali, secara diam-diam menguras USDC dari kumpulan. Bug ini tidak memerlukan pinjaman kilat, trik oracle, atau kunci yang dicuri untuk berfungsi (hanya celah dalam kode token itu sendiri).
Token yang sadar router dan biaya pada transfer umum di rantai yang terhubung dengan Binance, di mana proyek sering menambahkan perilaku ekstra ke template token standar. Setiap cabang tambahan adalah tempat lain bagi kesalahan untuk bersembunyi, dan pertukaran otomatis dapat memicu kesalahan itu ribuan kali sebelum ada yang menyadarinya.
Statistik Kerugian DeFi
Kerugian DIP kecil dibandingkan dengan pelanggaran besar tahun ini, tetapi sesuai dengan ritme yang stabil dari kegagalan tingkat kode. Basis data peretasan publik Slowmist saja telah mencatat lebih dari 2,150 insiden dan sekitar $37,8 miliar dalam kerugian kumulatif. Dalam beberapa hari terakhir, pelacak mencatat kerugian $105,000 di Thetanuts Finance dan eksploitasi $2,1 juta di Aztec Connect.
Lebih spesifik lagi, dapat dilihat bahwa bug kontrak pintar telah menyebabkan banyak kerusakan tahun ini, dengan protokol DeFi kehilangan lebih dari $1 miliar akibat peretasan dan eksploitasi (hingga bulan lalu). Slowmist sendiri melacak drainase Aztec Connect ke kontrak yang sudah tidak digunakan dan menetapkan pencurian $174,570 Grok-Bankr pada agen kecerdasan buatan (AI) yang tertipu untuk menyetujui transfer.
Terakhir, Bitcoin.com News melaporkan lebih awal tahun ini bahwa Zetachain menghentikan mainnet-nya setelah Slowmist mengidentifikasi hilangnya kontrol akses dalam kontrak GatewayZEVM-nya, kasus lain dari satu celah logika yang memberikan penyerang kesempatan.
Kesimpulan
Tanpa pemulihan yang dikonfirmasi dan penyerang yang masih tidak teridentifikasi, insiden DIP memperkuat pelajaran berulang bahwa satu baris kode yang hilang dapat cukup untuk mengosongkan sebuah kumpulan, dan audit independen tetap menjadi garis pertahanan utama saat kerugian DeFi meningkat.
