Lỗi lập trình trong DIP token dẫn đến thiệt hại lớn
Một lỗi lập trình trong DIP token, một tài sản tiện ích thiết yếu của hệ sinh thái Etherisc, đã cho phép một kẻ tấn công rút khoảng $111,098 bằng USD Coin (USDC), theo thông báo từ công ty bảo mật blockchain Slowmist.
Điểm nổi bật
Slowmist cho biết một câu lệnh trả về bị thiếu trong mã của DIP token đã dẫn đến việc rút khoảng $111,098 bằng USDC. Lỗi này đã làm tăng gấp đôi các giao dịch qua Pancakeswap, góp phần vào hơn 2,150 sự cố đã được ghi nhận bởi Slowmist trong năm nay. DeFi đã mất hơn 1 tỷ đô la do các cuộc tấn công trong năm 2026, điều này giữ cho nhu cầu kiểm toán cao khi bước vào nửa sau của năm.
Slowmist đã cảnh báo về sự cố này trong một thông báo tình báo về mối đe dọa, ước tính thiệt hại là 111,097.6 USDC. Công ty cho biết chức năng “_transfer” của DIP token đã thiếu một câu lệnh “return” trong nhánh xử lý các giao dịch được định tuyến qua bộ định tuyến Pancakeswap (một dịch vụ mà các sàn giao dịch phi tập trung sử dụng để hoán đổi token với các bể thanh khoản).
Nhóm nghiên cứu đã bổ sung: “Kẻ tấn công đã khai thác điều này bằng cách gọi skim(router) để kích hoạt các giao dịch DIP gấp đôi, sau đó sync để đặt dự trữ DIP ở mức giá cực kỳ thấp, thao túng giá AMM để rút cạn bể.”
Mặc dù có một phân tích chi tiết, Slowmist không nêu tên kẻ tấn công hoặc cho biết liệu số tiền bị đánh cắp có thể được khôi phục trong thời gian sớm hay không. Cơ chế của toàn bộ hoạt động dường như khá bình thường, vì các sàn giao dịch phi tập trung như Pancakeswap dựa vào các hợp đồng bộ định tuyến tự động để di chuyển token giữa các nhà giao dịch và các bể thanh khoản.
Một token có thể tự do thêm logic tùy chỉnh vào chức năng chuyển nhượng của nó, nhưng khi logic đó xử lý sai các tương tác với bộ định tuyến, cánh cửa mở ra cho các khoản thanh toán không mong muốn lặp đi lặp lại.
Trong trường hợp DIP, việc thiếu “return” có nghĩa là mã lẽ ra đã dừng lại sau một lần chuyển nhượng lại tiếp tục thực hiện lần thứ hai. Mỗi giao dịch chạm vào bộ định tuyến thực tế đã trả tiền hai lần, âm thầm rút cạn USDC từ bể. Lỗi này không cần khoản vay chớp nhoáng, mẹo oracle, hoặc khóa bị đánh cắp để hoạt động (chỉ cần một khoảng trống trong mã của token).
Những token nhận thức về bộ định tuyến và phí trên mỗi giao dịch là phổ biến trên các chuỗi liên kết với Binance, nơi các dự án thường gắn thêm hành vi bổ sung vào các mẫu token tiêu chuẩn. Mỗi nhánh bổ sung là một nơi khác để một sai sót có thể ẩn nấp, và các giao dịch tự động có thể kích hoạt sai sót đó hàng nghìn lần trước khi ai đó nhận ra.
Hệ quả và bài học rút ra
Sự mất mát của DIP là nhỏ so với các vi phạm nổi bật trong năm, nhưng nó phù hợp với một chuỗi các thất bại ở cấp độ mã. Cơ sở dữ liệu hack công khai của Slowmist đã ghi nhận hơn 2,150 sự cố và khoảng 37.8 tỷ đô la trong tổng thiệt hại. Trong những ngày gần đây, trình theo dõi đã ghi nhận một khoản mất mát 105,000 đô la tại Thetanuts Finance và một vụ khai thác 2.1 triệu đô la tại Aztec Connect.
Cụ thể hơn, có thể thấy rằng các lỗi hợp đồng thông minh đã gây ra nhiều thiệt hại trong năm, với các giao thức DeFi đã mất hơn 1 tỷ đô la do các cuộc tấn công và khai thác (tính đến tháng trước). Slowmist đã truy vết vụ rút cạn Aztec Connect đến một hợp đồng đã lỗi thời và gán một vụ trộm 174,570 đô la Grok-Bankr cho một tác nhân trí tuệ nhân tạo (AI) đã bị lừa để phê duyệt một giao dịch.
Cuối cùng, Bitcoin.com News đã báo cáo trước đó trong năm rằng Zetachain đã tạm dừng mạng chính của mình sau khi Slowmist xác định một lỗ hổng kiểm soát truy cập trong hợp đồng GatewayZEVM của nó, một trường hợp khác của một khoảng trống logic đơn lẻ đã tạo cơ hội cho kẻ tấn công.
Với việc không có xác nhận khôi phục và kẻ tấn công vẫn chưa được xác định, sự cố DIP củng cố một bài học lặp đi lặp lại rằng một dòng mã bị thiếu có thể đủ để làm cạn kiệt một bể, và các cuộc kiểm toán độc lập vẫn là hàng phòng thủ chính khi các khoản lỗ DeFi gia tăng.
