EtheriscエコシステムのDIPトークン流出事件
ブロックチェーンセキュリティ企業Slowmistによると、Etheriscエコシステムの重要なユーティリティ資産であるDIPトークンのコーディングの欠陥により、攻撃者が約$111,098のUSD Coin(USDC)を流出させたことが明らかになりました。
流出の原因と影響
主なポイントとして、SlowmistはDIPトークンのコードにおける欠落したreturnステートメントがこの流出を引き起こしたと述べています。この欠陥はPancakeswapを介した転送を二重化し、今年だけでSlowmistが記録した2,150件以上のインシデントに追加されました。DeFiは2026年までに1億ドル以上を悪用に失うと予測され、H2に向けて監査の需要が高まっています。
Slowmistはこの事件を脅威インテリジェンスアラートで警告し、損失を111,097.6 USDCと特定しました。
同社は、DIPトークンの「_transfer」関数がPancakeswapルーターを介してルーティングされた取引を処理する際に「return」ステートメントが欠落していると指摘しました。チームはさらに次のように付け加えました。「攻撃者は`skim(router)`を呼び出して二重DIP転送を引き起こし、その後`sync`を呼び出してDIP準備金を極端に低い値に設定し、AMM価格を操作してプールを流出させました。」
攻撃のメカニズムと影響
全体の操作のメカニズムは、Pancakeswapのような分散型取引所がトレーダーと流動性プール間でトークンを移動させるために自動ルーター契約に依存していることを考えると、非常に平凡に見えます。トークンは独自の転送関数にカスタムロジックを追加することができますが、そのロジックがルーターとの相互作用を誤って処理すると、意図しない支払いが繰り返される扉が開かれます。
DIPのケースでは、欠落した「return」により、1回の転送で停止すべきコードが通過し、2回目が実行されてしまいました。ルーターに触れた各取引は実質的に二重に支払われ、静かにUSDCがプールから流出していました。このバグはフラッシュローン、オラクルトリック、または盗まれたキーを必要とせず(トークン自身のコードのギャップのみ)、ルーターを意識した手数料付きのトークンは、プロジェクトが標準トークンテンプレートに追加の動作を組み込むことが多いBinance関連のチェーンで一般的です。
DeFiのセキュリティと今後の展望
追加された各ブランチは、間違いが隠れる別の場所であり、自動スワップは誰も気づく前にその間違いを何千回も引き起こす可能性があります。DIPの損失は今年の主要な侵害に比べれば小さいですが、コードレベルの失敗の安定したリズムに合致しています。Slowmistの公開ハッキングデータベースだけでも、2,150件以上のインシデントと約378億ドルの累積損失が記録されています。
最近、トラッカーはThetanuts Financeでの$105,000の損失と$2.1百万のAztec Connectの悪用を記録しました。
さらに具体的には、スマートコントラクトのバグが今年の損害の多くを引き起こしており、DeFiプロトコルはハッキングや悪用により$1億以上を失っています(先月時点)。Slowmist自身は、Aztec Connectの流出を廃止された契約に追跡し、$174,570のGrok-Bankrの盗難を、転送を承認するように騙された人工知能(AI)エージェントに起因しています。
最後に、Bitcoin.com Newsは今年初めに、SlowmistがGatewayZEVM契約におけるアクセス制御の欠落を特定した後、Zetachainがメインネットを一時停止したと報じました。これは、攻撃者に隙間を与える単一のロジックギャップの別のケースです。回収が確認されず、攻撃者が特定されていない中で、DIPのエピソードは、単一の欠落した行がプールを空にするのに十分であるという繰り返しの教訓を強化し、DeFiの損失が増加する中で独立した監査が主要な防御線であることを示しています。
