Ein Programmierfehler im DIP-Token
Ein Programmierfehler im DIP-Token, einem zentralen Dienstleistungsvermögen des Etherisc-Ökosystems, ermöglichte es einem Angreifer, rund 111.098 USD in USD Coin (USDC) abzuzweigen, wie die Blockchain-Sicherheitsfirma Slowmist berichtete.
Wichtige Erkenntnisse
Slowmist stellte fest, dass eine fehlende Rückgabefunktion im Code des DIP-Tokens für den Verlust von etwa 111.098 USDC verantwortlich war. Der Fehler führte zu doppelten Überweisungen über Pancakeswap und trug zu über 2.150 Vorfällen bei, die Slowmist in diesem Jahr dokumentiert hat. Im Jahr 2026 hat DeFi über 1 Milliarde USD durch Exploits verloren, was die Nachfrage nach Audits in der zweiten Jahreshälfte hoch hält. Slowmist wies in einem Bedrohungsintelligenz-Alert auf den Vorfall hin und bezifferte den Verlust auf 111.097,6 USDC.
„Der Angreifer nutzte dies aus, indem er
skim(router)aufrief, um doppelte DIP-Übertragungen auszulösen, und dannsync, um die DIP-Reserve auf einen extrem niedrigen Wert zu setzen, wodurch der AMM-Preis manipuliert wurde, um den Pool zu leeren.“
Das Unternehmen erklärte, dass die transfer-Funktion des DIP-Tokens in dem Zweig, der die über den Pancakeswap-Router geleiteten Trades behandelt, eine „return“-Anweisung fehlte. Diese Anweisung ist notwendig, damit dezentrale Börsen Token gegen Liquiditätspools tauschen können.
Mechanik des Vorfalls
Trotz einer detaillierten Analyse nannte Slowmist den Angreifer nicht und gab keine Auskunft darüber, ob die gestohlenen Gelder bald zurückgeholt werden könnten. Die Mechanik des gesamten Vorgangs scheint recht banal zu sein, da dezentrale Börsen wie Pancakeswap auf automatisierte Routerverträge angewiesen sind, um Token zwischen Händlern und Liquiditätspools zu bewegen. Ein Token kann benutzerdefinierte Logik zu seiner eigenen Übertragungsfunktion hinzufügen, aber wenn diese Logik die Router-Interaktionen nicht korrekt behandelt, öffnet sich die Tür für wiederholte, unbeabsichtigte Auszahlungen.
Im Fall des DIP bedeutete das fehlende „return“, dass der Code, der nach einer Übertragung hätte stoppen sollen, stattdessen durchfiel und ein zweites Mal ausgeführt wurde. Jeder Handel, der den Router berührte, zahlte effektiv doppelt aus und ließ USDC leise aus dem Pool abfließen. Der Fehler benötigte keinen Flash-Kredit, keinen Oracle-Trick oder einen gestohlenen Schlüssel, um zu funktionieren – nur eine Lücke im eigenen Code des Tokens.
Folgen und Ausblick
Der Verlust des DIP ist im Vergleich zu den Hauptverletzungen des Jahres gering, passt jedoch zu einem stetigen Trommelschlag von Codefehlern. Allein die öffentliche Hack-Datenbank von Slowmist hat mehr als 2.150 Vorfälle und etwa 37,8 Milliarden USD an kumulierten Verlusten dokumentiert. In den letzten Tagen verzeichnete der Tracker einen Verlust von 105.000 USD bei Thetanuts Finance und einen Verlust von 2,1 Millionen USD bei Aztec Connect.
Noch spezifischer kann man sehen, dass Smart-Contract-Fehler einen Großteil des Schadens des Jahres verursacht haben, wobei DeFi-Protokolle mehr als 1 Milliarde USD durch Hacks und Exploits verloren haben (Stand letzten Monat).
Slowmist selbst verfolgte den Aztec Connect-Abfluss auf einen veralteten Vertrag zurück und machte einen Diebstahl von 174.570 USD bei Grok-Bankr für einen künstlichen Intelligenz (AI)-Agenten verantwortlich, der dazu verleitet wurde, eine Übertragung zu genehmigen. Schließlich berichtete Bitcoin.com News früher im Jahr, dass Zetachain sein Hauptnetz pausierte, nachdem Slowmist eine fehlende Zugangskontrolle in seinem Gateway-ZEVM-Vertrag identifiziert hatte – ein weiterer Fall, in dem eine einzige Logiklücke Angreifern eine Öffnung bot.
Ohne bestätigte Rückgewinnung und den noch nicht identifizierten Angreifer verstärkt die DIP-Episode eine wiederkehrende Lektion: Eine einzige fehlende Zeile kann ausreichen, um einen Pool zu leeren, und unabhängige Audits bleiben die Hauptverteidigungslinie, während die DeFi-Verluste steigen.
