Ошибка в коде токена DIP
Ошибка в коде токена DIP, важного утилитарного актива экосистемы Etherisc, позволила злоумышленнику вывести около $111,098 в USD Coin (USDC), сообщает компания по безопасности блокчейнов Slowmist.
Основные моменты
Slowmist сообщила, что отсутствующая инструкция возврата в коде токена DIP привела к утечке около $111,098 в USDC. Эта ошибка удвоила переводы через Pancakeswap, добавив к более чем 2,150 инцидентам, зафиксированным Slowmist в этом году. В 2026 году DeFi потерял более $1 миллиарда из-за взломов, что подчеркивает высокий спрос на аудит перед вторым полугодием.
Slowmist отметила инцидент в предупреждении о киберугрозах, оценив убытки в 111,097.6 USDC. Компания сообщила, что функция «_transfer» токена DIP не имела инструкции «return» в ветке, обрабатывающей сделки, направленные через маршрутизатор Pancakeswap.
Команда добавила: «Злоумышленник воспользовался этим, вызвав `skim(router)`, чтобы инициировать двойные переводы DIP, затем `sync`, чтобы установить резерв DIP на крайне низкое значение, манипулируя ценой AMM для опустошения пула.»
Анализ инцидента
Несмотря на подробный анализ, Slowmist не назвала злоумышленника и не сообщила, могут ли украденные средства быть восстановлены в ближайшее время. Механика всей операции кажется довольно обыденной, учитывая, что децентрализованные биржи, такие как Pancakeswap, полагаются на автоматизированные контракты маршрутизаторов для перемещения токенов между трейдерами и ликвидными пулами.
Токен может добавлять собственную логику в свою функцию перевода, но когда эта логика неправильно обрабатывает взаимодействия с маршрутизатором, открывается дверь для повторных, непреднамеренных выплат. В случае с DIP отсутствие «return» означало, что код, который должен был остановиться после одного перевода, вместо этого продолжал выполняться второй раз. Каждая сделка, касающаяся маршрутизатора, фактически выплачивала дважды, тихо истощая USDC из пула.
Для работы ошибки не требовался ни флеш-займ, ни трюк с оракулом, ни украденный ключ — только пробел в собственном коде токена.
Последствия и уроки
Такие токены, осведомленные о маршрутизаторе и взимающие плату за перевод, распространены на цепочках, связанных с Binance, где проекты часто добавляют дополнительное поведение к стандартным шаблонам токенов. Каждая добавленная ветка — это еще одно место, где может скрываться ошибка, и автоматизированные обмены могут активировать эту ошибку тысячи раз, прежде чем кто-либо это заметит.
Убытки DIP невелики по сравнению с основными нарушениями года, но они вписываются в постоянный ритм ошибок на уровне кода. Публичная база данных взломов Slowmist зафиксировала более 2,150 инцидентов и около $37.8 миллиардов совокупных убытков.
В последние дни трекер зафиксировал убыток в $105,000 на Thetanuts Finance и взлом на $2.1 миллиона в Aztec Connect.
Более конкретно, можно увидеть, что ошибки смарт-контрактов стали причиной значительной части ущерба в этом году, при этом протоколы DeFi потеряли более $1 миллиарда из-за взломов и эксплойтов (по состоянию на прошлый месяц).
Сам Slowmist проследила утечку Aztec Connect до устаревшего контракта и связала кражу в $174,570 Grok-Bankr с агентом искусственного интеллекта (AI), которого обманули, чтобы он одобрил перевод.
Наконец, Bitcoin.com News ранее в этом году сообщила, что Zetachain приостановила свою основную сеть после того, как Slowmist выявила отсутствие контроля доступа в своем контракте GatewayZEVM, еще один случай, когда одна логическая ошибка предоставила злоумышленникам возможность.
Без подтвержденного восстановления и с неидентифицированным злоумышленником, эпизод с DIP подчеркивает повторяющийся урок о том, что одна отсутствующая строка может быть достаточной для опустошения пула, и независимые аудиты остаются основной линией защиты по мере роста убытков DeFi.
