Дефект коду токена DIP спричинив витік 111 000 доларів через експлойт експлойтера Pancakeswap Router

Slowmist повідомила про вразливість у коді токена DIP, яка вивела 111,0976 USDC через відсутній оператор return у функції transfer токена. Вада дозволяла подвійні перекази, коли угоди маршрутизувалися через роутер Pancakeswap, даючи зловмиснику змогу маніпулювати ціною в автоматизованому маркет-мейкері та вивести ліквідність з пулу. Інцидент додається до понад 2 150 експлойтів, зафіксованих Slowmist у 2026 році — році, коли протоколи DeFi втратили понад $1 мільярд через хакі та збої на рівні коду.

Відсутній return-оператор увімкнув подвійні перекази DIP-токенів

Slowmist позначила інцидент у сповіщенні про загрози, оцінивши збиток у 111,0976 USDC. Компанія заявила, що у функції DIP-токена "_transfer()" бракувало оператора "return" у гілці, яка обробляє угоди, маршрутизовані через роутер Pancakeswap. Slowmist зазначила: "Зловмисник використав це, викликавши skim(router) для запуску подвійних DIP-переказів, а потім sync(), щоб встановити резерв DIP на надто низьке значення, маніпулюючи ціною AMM і виводячи пул."

Slowmist не назвала зловмисника і не повідомила, чи можна повернути викрадені кошти.

Децентралізовані біржі на кшталт Pancakeswap покладаються на автоматизовані роутер-контракти, щоб переносити токени між трейдерами та пулами ліквідності. У випадку DIP відсутній "return" означав, що код, який мав зупинитися після одного переказу, виконувався вдруге. Кожна угода, що торкалася роутера, сплачувала двічі, випалюючи USDC з пулу.

Помилка не вимагала flash loan, маніпуляцій з оракулом або вкраденого ключа. Токени з підтримкою роутера та fee-on-transfer є поширеними на мережах, пов’язаних із Binance, де проєкти додають додаткову поведінку до стандартних токен-шаблонів.

Slowmist фіксує експлойт DIP серед 2 150+ інцидентів у 2026 році

Публічна база хаків Slowmist зареєструвала понад 2 150 інцидентів і приблизно $37,8 мільярда сукупних збитків. Трекер зафіксував збиток у $105 000 для Thetanuts Finance та експлойт на $2,1 мільйона в Aztec Connect у днях, що минули.

Помилки смартконтрактів спричинили значну частину шкоди цього року: за станом на минулий місяць протоколи DeFi втратили понад $1 мільярд через хакі та експлойти. Slowmist пов’язала злив коштів у Aztec Connect із застарілим контрактом і оцінила крадіжку $174 570 у Grok-Bankr на АІ-агенті, якого підвели до того, щоб він погодив переказ.

Раніше на початку року Bitcoin.com News повідомляв, що Zetachain зупинила свою основну мережу після того, як Slowmist виявила відсутність належного контролю доступу в її контракті GatewayZEVM.

FAQ

Що спричинило втрату DIP-токеном $111 000 у USDC?
Slowmist повідомила, що відсутній оператор return у функції DIP-токена "_transfer()" дозволив подвійні перекази, коли угоди маршрутизувалися через роутер Pancakeswap, вивівши 111,0976 USDC з пулу ліквідності.

Скільки експлойтів DeFi задокументувала Slowmist у 2026 році?
Публічна база хаків Slowmist зареєструвала понад 2 150 інцидентів у 2026 році, а сукупні збитки за всіма зафіксованими експлойтами становлять приблизно $37,8 мільярда.