Incident de sécurité dans l’écosystème Etherisc
Un défaut de codage dans le token DIP, un actif utilitaire essentiel de l’écosystème Etherisc, a permis à un attaquant de siphonner environ 111 098 $ en USD Coin (USDC), selon la société de sécurité blockchain Slowmist.
Points clés
- Slowmist a déclaré qu’une instruction de retour manquante dans le code du token DIP a entraîné le siphonage d’environ 111 098 $ en USDC.
- Ce défaut a doublé les transferts via Pancakeswap, s’ajoutant aux plus de 2 150 incidents enregistrés par Slowmist cette année.
- Le secteur DeFi a perdu plus d’un milliard de dollars à cause d’exploits en 2026, ce qui maintient une forte demande d’audits à l’approche du second semestre.
- Slowmist a signalé l’incident dans une alerte de renseignement sur les menaces, évaluant la perte à 111 097,6 USDC.
Analyse technique de l’incident
La société a précisé que la fonction « _transfer » du token DIP manquait d’une instruction « return » dans la branche qui gère les échanges routés via le routeur Pancakeswap (un outil utilisé par les échanges décentralisés pour échanger des tokens contre des pools de liquidité). L’équipe a ajouté :
« L’attaquant a exploité cela en appelant
skim(router)pour déclencher des transferts doubles de DIP, puissyncpour définir la réserve de DIP à une valeur extrêmement basse, manipulant ainsi le prix de l’AMM pour vider le pool. »
Malgré une analyse détaillée, Slowmist n’a pas nommé l’attaquant ni indiqué si les fonds volés pouvaient être récupérés prochainement. Les mécanismes de l’ensemble de l’opération semblent assez banals, étant donné que les échanges décentralisés tels que Pancakeswap s’appuient sur des contrats de routeur automatisés pour déplacer des tokens entre les traders et les pools de liquidité. Un token peut ajouter une logique personnalisée à sa propre fonction de transfert, mais lorsque cette logique gère mal les interactions avec le routeur, cela ouvre la porte à des paiements répétés et non intentionnels.
Dans le cas du DIP, l’absence de « return » signifiait que le code qui aurait dû s’arrêter après un transfert s’est exécuté une seconde fois. Chaque échange touchant le routeur a donc effectivement payé deux fois, siphonnant discrètement des USDC du pool. Ce bug n’avait besoin d’aucun prêt flash, d’astuce oracle ou de clé volée pour fonctionner, mais simplement d’une lacune dans le code du token lui-même.
Conséquences et leçons à tirer
De tels tokens, conscients du routeur et avec des frais sur transfert, sont courants sur les chaînes liées à Binance, où les projets ajoutent souvent un comportement supplémentaire aux modèles de tokens standard. Chaque branche ajoutée est un autre endroit où une erreur peut se cacher, et les échanges automatisés peuvent déclencher cette erreur des milliers de fois avant que quiconque ne s’en aperçoive.
La perte du DIP est modeste par rapport aux violations majeures de l’année, mais elle s’inscrit dans un rythme constant d’échecs au niveau du code. La base de données publique des hacks de Slowmist a enregistré à elle seule plus de 2 150 incidents et environ 37,8 milliards de dollars de pertes cumulées. Ces derniers jours, le tracker a enregistré une perte de 105 000 $ chez Thetanuts Finance et un exploit de 2,1 millions de dollars d’Aztec Connect.
Plus précisément, on peut constater que les bugs de contrats intelligents ont causé une grande partie des dommages de l’année, les protocoles DeFi ayant perdu plus d’un milliard de dollars à cause de hacks et d’exploits (à partir du mois dernier). Slowmist lui-même a retracé le drain d’Aztec Connect à un contrat obsolète et a attribué un vol de 174 570 $ de Grok-Bankr à un agent d’intelligence artificielle (IA) qui a été trompé pour approuver un transfert.
Enfin, Bitcoin.com News a rapporté plus tôt dans l’année que Zetachain avait suspendu son mainnet après que Slowmist ait identifié un contrôle d’accès manquant dans son contrat GatewayZEVM, un autre cas d’une simple lacune logique offrant aux attaquants une ouverture. Sans récupération confirmée et avec l’attaquant toujours non identifié, l’épisode DIP renforce une leçon récurrente : une seule ligne manquante peut suffire à vider un pool, et les audits indépendants demeurent la principale ligne de défense alors que les pertes DeFi continuent d’augmenter.
