Falha no código do token DIP drena US$ 111.000 via exploração do Pancakeswap Router

A Slowmist informou uma vulnerabilidade no código do token DIP que drenou 111.097,6 USDC devido a uma instrução "return" ausente na função de transferência do token. A falha permitiu transferências duplas quando as negociações eram roteadas pelo router do Pancakeswap, permitindo que um atacante manipulasse o preço do market maker automatizado e drenasse o pool de liquidez. O incidente se soma a mais de 2.150 exploits registrados pela Slowmist em 2026, um ano em que os protocolos DeFi perderam mais de US$ 1 bilhão com hacks e falhas no código.

Instrução return ausente habilitou transferências duplas do token DIP

A Slowmist identificou o incidente em um alerta de inteligência de ameaças, apontando a perda em 111.097,6 USDC. A empresa afirmou que a função "_transfer()" do token DIP não tinha uma instrução "return" no ramo que lida com negociações roteadas pelo router do Pancakeswap. A Slowmist declarou: "O atacante explorou isso chamando skim(router) para acionar transferências duplas de DIP e depois sync() para definir a reserva de DIP para um valor extremamente baixo, manipulando o preço do AMM para drenar o pool."

A Slowmist não mencionou o nome do atacante nem disse se os fundos roubados poderiam ser recuperados.

As bolsas descentralizadas, como Pancakeswap, dependem de contratos de router automatizados para mover tokens entre traders e pools de liquidez. No caso do DIP, a ausência do "return" significou que um código que deveria ter parado após uma transferência acabou sendo executado uma segunda vez. Cada negociação que tocava o router pagou duas vezes, drenando USDC do pool.

O bug não exigiu flash loan, manipulação de oráculo nem chave roubada. Tokens com roteador-aware e fee-on-transfer são comuns em cadeias ligadas à Binance, onde projetos adicionam comportamentos extras aos modelos padrão de tokens.

Slowmist registra exploit do DIP entre mais de 2.150 incidentes em 2026

O banco de dados público de hacks da Slowmist registrou mais de 2.150 incidentes e cerca de US$ 37,8 bilhões em perdas acumuladas. O rastreador registrou uma perda de US$ 105 mil na Thetanuts Finance e um exploit de US$ 2,1 milhões na Aztec Connect nos últimos dias.

Falhas em contratos inteligentes impulsionaram grande parte dos prejuízos do ano, com protocolos DeFi tendo perdido mais de US$ 1 bilhão com hacks e exploits até o mês passado. A Slowmist rastreou o desvio na Aztec Connect até um contrato desatualizado e apontou um roubo de US$ 174,570 na Grok-Bankr atribuído a um agente de IA que foi enganado a aprovar uma transferência.

A Bitcoin.com News reportou mais cedo no ano que a Zetachain pausou seu mainnet depois que a Slowmist identificou falta de controle de acesso no contrato GatewayZEVM.

FAQ

O que fez o token DIP perder US$ 111 mil em USDC?
A Slowmist informou que a ausência de uma instrução return na função "_transfer()" do token DIP permitiu transferências duplas quando as negociações eram roteadas pelo router do Pancakeswap, drenando 111.097,6 USDC do pool de liquidez.

Quantos exploits DeFi a Slowmist registrou em 2026?
O banco de dados público de hacks da Slowmist registrou mais de 2.150 incidentes em 2026, com perdas acumuladas totalizando aproximadamente US$ 37,8 bilhões em todos os exploits registrados.