Pagkakamali sa Coding ng DIP Token
Isang pagkakamali sa coding sa DIP token, isang mahalagang utility asset ng Etherisc ecosystem, ang nagbigay-daan sa isang umaatake na makuha ang humigit-kumulang $111,098 sa USD Coin (USDC), ayon sa ulat ng blockchain security firm na Slowmist.
Mga Pangunahing Punto
Ayon sa Slowmist, ang nawawalang return statement sa code ng DIP token ay nagdulot ng pagkawala ng humigit-kumulang $111,098 sa USDC. Ang flaw na ito ay nagdoble ng mga transfer sa pamamagitan ng Pancakeswap, na nagdagdag sa mahigit 2,150 insidente na naitala ng Slowmist ngayong taon. Ang DeFi ay nawalan ng higit sa $1 bilyon sa mga exploit noong 2026, na nagpapanatili ng mataas na demand para sa audit habang papasok sa ikalawang kalahati ng taon.
Itinampok ng Slowmist ang insidente sa isang threat intelligence alert, na itinatak ang pagkawala ng 111,097.6 USDC. Sinabi ng firm na ang “transfer” function ng DIP token ay nawawalan ng “return” statement sa branch na humahawak ng mga trade na dinadaan sa Pancakeswap router (isang alok na ginagamit ng mga decentralized exchange upang mag-swap ng mga token laban sa liquidity pools).
Dagdag pa ng team: “Sinamantala ng umaatake ito sa pamamagitan ng pagtawag ng skim(router) upang i-trigger ang double DIP transfers, pagkatapos ay sync upang itakda ang DIP reserve sa isang napakababang halaga, na nagmanipula sa AMM price upang maubos ang pool.”
Mga Detalye ng Insidente
Sa kabila ng detalyadong pagsusuri, hindi pinangalanan ng Slowmist ang umaatake o sinabi kung ang mga ninakaw na pondo ay maaaring maibalik sa lalong madaling panahon. Ang mekanika ng buong operasyon ay tila medyo karaniwan, dahil ang mga decentralized exchange tulad ng Pancakeswap ay umaasa sa mga automated router contracts upang ilipat ang mga token sa pagitan ng mga trader at liquidity pools. Ang isang token ay malayang magdagdag ng custom logic sa sarili nitong transfer function, ngunit kapag ang logic na iyon ay hindi maayos na humawak ng mga interaksyon sa router, nagbubukas ito ng pinto sa paulit-ulit, hindi sinasadyang mga payout.
Sa kaso ng DIP, ang nawawalang “return” ay nangangahulugang ang code na dapat ay huminto pagkatapos ng isang transfer ay nahulog at na-execute ng pangalawang beses. Bawat trade na tumama sa router ay epektibong nagbayad ng dalawang beses, tahimik na nagbubuhos ng USDC mula sa pool. Ang bug ay hindi nangangailangan ng flash loan, oracle trick, o ninakaw na susi upang gumana (tanging isang puwang sa sariling code ng token). Ang mga ganitong router-aware at fee-on-transfer tokens ay karaniwan sa mga Binance-linked chains, kung saan ang mga proyekto ay madalas na nagdadagdag ng karagdagang pag-uugali sa mga standard token templates. Ang bawat idinagdag na branch ay isa pang lugar para sa isang pagkakamali na magtago, at ang mga automated swaps ay maaaring mag-trigger ng pagkakamaling iyon ng libu-libong beses bago mapansin ng sinuman.
Mga Epekto at Aral
Ang pagkawala ng DIP ay maliit kumpara sa mga headline breaches ng taon, ngunit ito ay umaayon sa isang patuloy na ritmo ng mga pagkakamali sa antas ng code. Ang pampublikong hack database ng Slowmist ay nag-log ng higit sa 2,150 insidente at humigit-kumulang $37.8 bilyon sa kabuuang pagkawala. Sa mga nakaraang araw, naitala ng tracker ang isang $105,000 na pagkawala sa Thetanuts Finance at isang $2.1 milyon na exploit sa Aztec Connect.
Mas tiyak, makikita na ang mga bug sa smart contract ay nagdulot ng malaking bahagi ng pinsala ng taon, kung saan ang mga DeFi protocols ay nawalan ng higit sa $1 bilyon sa mga hack at exploit (hanggang sa nakaraang buwan). Sinubaybayan mismo ng Slowmist ang pag-ubos sa Aztec Connect sa isang deprecated contract at itinak ang isang $174,570 na pagnanakaw sa Grok-Bankr sa isang artificial intelligence (AI) agent na naloko upang aprubahan ang isang transfer. Sa wakas, iniulat ng Bitcoin.com News noong nakaraang taon na ang Zetachain ay huminto sa kanyang mainnet matapos matukoy ng Slowmist ang isang nawawalang access control sa kanyang GatewayZEVM contract, isa pang kaso ng isang solong puwang sa logic na nagbigay ng pagkakataon sa mga umaatake.
Sa walang kumpirmadong pagbawi at ang umaatake ay hindi pa natutukoy, ang insidente ng DIP ay nagpapalakas ng isang paulit-ulit na aral kung saan ang isang nawawalang linya ay maaaring sapat na upang maubos ang isang pool, at ang mga independiyenteng audit ay nananatiling pangunahing linya ng depensa habang tumataas ang mga pagkawala sa DeFi.
