Incidenti di Sicurezza nel Settore DeFi
Un difetto di codifica nel token DIP, un asset di utilità fondamentale dell’ecosistema Etherisc, ha permesso a un attaccante di sottrarre circa $111,098 in USD Coin (USDC), come rivelato dalla società di sicurezza blockchain Slowmist.
Punti Chiave
- Slowmist ha dichiarato che una mancanza di dichiarazione di ritorno nel codice del token DIP ha causato il drenaggio di circa $111,098 in USDC.
- Questo difetto ha raddoppiato i trasferimenti tramite Pancakeswap, contribuendo a oltre 2,150 incidenti registrati da Slowmist quest’anno.
- Il settore DeFi ha perso oltre $1 miliardo a causa di exploit nel 2026, mantenendo alta la domanda di audit in vista del secondo semestre.
Dettagli dell’Incidente
Slowmist ha segnalato l’incidente in un avviso di intelligence sulle minacce, fissando la perdita a 111,097.6 USDC. La società ha affermato che la funzione “_transfer” del token DIP mancava di una dichiarazione “return” nel ramo che gestisce le transazioni instradate attraverso il router Pancakeswap.
“L’attaccante ha sfruttato questo chiamando
skim(router)per attivare trasferimenti DIP doppi, quindisyncper impostare la riserva DIP a un valore estremamente basso, manipolando il prezzo AMM per svuotare il pool.”
Nonostante un’analisi dettagliata, Slowmist non ha nominato l’attaccante né ha indicato se i fondi rubati potessero essere recuperati a breve.
Meccaniche dell’Attacco
Le meccaniche dell’intera operazione sembrano piuttosto banali, dato che gli scambi decentralizzati come Pancakeswap si basano su contratti router automatizzati per spostare token tra trader e pool di liquidità. Un token è libero di aggiungere logica personalizzata alla propria funzione di trasferimento, ma quando quella logica gestisce male le interazioni con il router, si apre la porta a pagamenti ripetuti e non intenzionati.
Nel caso del DIP, la mancanza di “return” significava che il codice che avrebbe dovuto fermarsi dopo un trasferimento è invece continuato ed è stato eseguito una seconda volta. Ogni transazione che ha toccato il router ha effettivamente pagato due volte, estraendo silenziosamente USDC dal pool. Il bug non aveva bisogno di prestiti flash, trucchi oracle o chiavi rubate per funzionare; bastava un gap nel codice del token stesso.
Implicazioni e Riflessioni
Token consapevoli del router e con commissioni sui trasferimenti sono comuni sulle catene collegate a Binance, dove i progetti spesso aggiungono comportamenti extra ai modelli di token standard. Ogni ramo aggiunto è un ulteriore punto in cui un errore può nascondersi, e gli scambi automatizzati possono attivare quell’errore migliaia di volte prima che qualcuno se ne accorga.
La perdita del DIP è piccola rispetto alle violazioni di punta dell’anno, ma si inserisce in un ritmo costante di fallimenti a livello di codice. Il database pubblico degli hack di Slowmist ha registrato oltre 2,150 incidenti e circa $37.8 miliardi in perdite cumulative.
Nei giorni recenti, il tracker ha registrato una perdita di $105,000 presso Thetanuts Finance e un exploit di $2.1 milioni su Aztec Connect.
Ancora più specificamente, si può notare che i bug dei contratti intelligenti hanno causato gran parte dei danni dell’anno, con i protocolli DeFi che hanno perso oltre $1 miliardo a causa di hack ed exploit (fino al mese scorso).
Slowmist stessa ha rintracciato il drenaggio di Aztec Connect a un contratto deprecato e ha attribuito un furto di $174,570 di Grok-Bankr a un agente di intelligenza artificiale (AI) che è stato ingannato nell’approvare un trasferimento.
Conclusioni
Infine, Bitcoin.com News ha riportato all’inizio dell’anno che Zetachain ha sospeso il suo mainnet dopo che Slowmist ha identificato un controllo di accesso mancante nel suo contratto GatewayZEVM, un altro caso di un singolo gap logico che ha dato agli attaccanti un’apertura.
Senza alcun recupero confermato e con l’attaccante ancora non identificato, l’episodio DIP rafforza una lezione ricorrente: una singola riga mancante può essere sufficiente per svuotare un pool, e gli audit indipendenti rimangono la principale linea di difesa mentre le perdite nel settore DeFi continuano ad aumentare.
