Slowmist 报告称,DIP 代币存在代码漏洞,通过代币转账函数中缺少的 return 语句,从 111,097.6 USDC 中抽走资金。该漏洞在交易通过 Pancakeswap 路由器进行时会允许重复转账,使攻击者能够操纵自动做市商价格并抽空流动性池。该事件也使 Slowmist 在 2026 年记录的超过 2,150 起漏洞利用事件增加了又一起。该年里,DeFi 协议因黑客攻击与代码层面的故障已损失超过 10 亿美元。
缺少 return 语句导致 DIP 代币重复转账
Slowmist 在一则威胁情报警报中指出了此次事件,并将损失锁定在 111,097.6 USDC。该公司表示,DIP 代币的 "_transfer()" 函数在处理通过 Pancakeswap 路由器路由的分支中缺少一个 "return" 语句。Slowmist 表示:"攻击者通过调用 skim(router) 触发两次 DIP 转账,然后调用 sync() 将 DIP 储备设为极低数值,从而操纵 AMM 价格并抽干资金池。"
Slowmist 没有点名攻击者,也未说明被盗资金是否可能追回。
像 Pancakeswap 这样的去中心化交易所依赖自动路由器合约在交易者与流动性池之间转移代币。在 DIP 案例中,缺少的 "return" 意味着本应在一次转账后停止执行的代码会再次执行。每一笔触达路由器的交易都将付出两次代价,从而从资金池中流失 USDC。
该漏洞不需要闪电贷、预言机操纵或被盗密钥。在 Binance 关联的链上,路由器感知型以及带有手续费/转账税(fee-on-transfer)的代币很常见,项目会在标准代币模板上添加额外行为。
Slowmist 在 2026 年 2,150+ 起漏洞利用事件中记录了 DIP 被利用
Slowmist 的公开黑客数据库已记录超过 2,150 起事件,以及约 378 亿美元的累计损失。追踪器记录了近期 Thetanuts Finance 的一笔 10.5 万美元损失,以及 Aztec Connect 的一次 210 万美元漏洞利用。
智能合约漏洞推动了今年的大部分损害,截至上个月,DeFi 协议因黑客攻击与漏洞利用已损失超过 10 亿美元。Slowmist 将 Aztec Connect 的资金抽干追溯到一个已被弃用的合约,并将 17.457 万美元的 Grok-Bankr 盗窃归因于一个被愚弄的 AI 代理,该代理被诱导批准了一次转账。
Bitcoin.com News 在年初报道称,Zetachain 在 Slowmist 发现其 GatewayZEVM 合约中存在缺失的访问控制后暂停了主网。
FAQ
是什么导致 DIP 代币损失了 111,000 美元的 USDC?
Slowmist 报告称,DIP 代币的 "_transfer()" 函数中缺少 return 语句,使得当交易通过 Pancakeswap 路由器路由时会发生重复转账,从流动性池中抽走 111,097.6 USDC。
Slowmist 在 2026 年记录了多少起 DeFi 漏洞利用?
Slowmist 的公开黑客数据库在 2026 年已记录超过 2,150 起事件,所有已记录漏洞利用的累计损失约为 378 亿美元。
