Incidente de Seguridad en el Token DIP
Un error de codificación en el token DIP, un activo utilitario esencial del ecosistema Etherisc, permitió que un atacante drenara aproximadamente $111,098 en USD Coin (USDC), según reveló la firma de seguridad blockchain Slowmist.
Puntos Clave
- Slowmist informó que una declaración de retorno faltante en el código del token DIP facilitó el drenaje de alrededor de $111,098 en USDC.
- Este error provocó transferencias duplicadas a través de Pancakeswap, sumando más de 2,150 incidentes registrados por Slowmist en lo que va del año.
- El sector DeFi ha perdido más de $1 mil millones en exploits en 2026, lo que mantiene alta la demanda de auditorías en el segundo semestre.
Slowmist destacó el incidente en una alerta de inteligencia de amenazas, fijando la pérdida en 111,097.6 USDC. La firma explicó que la función _transfer del token DIP carecía de una declaración return en la rama que maneja las operaciones enrutadas a través del enrutador de Pancakeswap, una herramienta utilizada por intercambios descentralizados para intercambiar tokens contra grupos de liquidez. Además, el equipo agregó:
“El atacante explotó esto llamando a
skim(router)para activar transferencias dobles de DIP, y luegosyncpara establecer la reserva de DIP en un valor extremadamente bajo, manipulando así el precio del AMM para drenar el grupo.”
A pesar de ofrecer un desglose detallado, Slowmist no identificó al atacante ni indicó si los fondos robados podrían recuperarse pronto.
Mecánica del Ataque
La mecánica de toda la operación parece bastante sencilla, dado que los intercambios descentralizados como Pancakeswap dependen de contratos de enrutador automatizados para mover tokens entre comerciantes y grupos de liquidez. Un token puede agregar lógica personalizada a su propia función de transferencia, pero cuando esa lógica maneja incorrectamente las interacciones del enrutador, se abre la puerta a pagos repetidos e involuntarios.
En el caso del DIP, la falta de return significó que el código que debería haber detenido la ejecución después de una transferencia continuó y se ejecutó una segunda vez. Cada operación que tocó el enrutador efectivamente pagó dos veces, drenando silenciosamente USDC del grupo. El error no requirió un préstamo flash, un truco de oráculo o una clave robada para funcionar, sino que se debió a un hueco en el propio código del token.
Tales tokens, que son conscientes del enrutador y tienen tarifas por transferencia, son comunes en las cadenas vinculadas a Binance, donde los proyectos a menudo añaden comportamientos adicionales a las plantillas de tokens estándar. Cada rama añadida es otro lugar donde un error puede esconderse, y los intercambios automatizados pueden activar ese error miles de veces antes de que alguien lo note.
Impacto en el Sector DeFi
La pérdida del DIP es pequeña en comparación con las violaciones más destacadas del año, pero se inscribe en un patrón constante de fallos a nivel de código. La base de datos pública de hackeos de Slowmist ha registrado más de 2,150 incidentes y aproximadamente $37.8 mil millones en pérdidas acumuladas. En los últimos días, el rastreador registró una pérdida de $105,000 en Thetanuts Finance y un exploit de $2.1 millones en Aztec Connect.
Más específicamente, se puede observar que los errores en contratos inteligentes han impulsado gran parte del daño del año, con protocolos DeFi habiendo perdido más de $1 mil millones en hackeos y exploits hasta el mes pasado. Slowmist mismo rastreó el drenaje de Aztec Connect a un contrato obsoleto y atribuyó un robo de $174,570 de Grok-Bankr a un agente de inteligencia artificial (IA) que fue engañado para aprobar una transferencia.
Por último, Bitcoin.com News informó a principios de año que Zetachain pausó su mainnet después de que Slowmist identificara un control de acceso faltante en su contrato GatewayZEVM, otro caso de un solo hueco lógico que le dio a los atacantes una apertura.
Conclusión
Sin ninguna recuperación confirmada y el atacante aún no identificado, el episodio del DIP refuerza una lección recurrente: una sola línea faltante puede ser suficiente para vaciar un grupo, y las auditorías independientes siguen siendo la principal línea de defensa a medida que las pérdidas en DeFi aumentan.
