DIP-Token erlitt einen Verlust von 111.097,6 USDC, nachdem ein Codierungsfehler einen Double-Transfer-Exploit ermöglichte, wie die Sicherheitsfirma Slowmist berichtete.
Grundursache im Smart Contract
Die Analyse von Slowmist ergab, dass die Routine _transfer() des Tokens eine return-Anweisung in der Verzweigung weggelassen hat, die über den Router von PancakeSwap weitergeleitete Geschäfte verarbeitet. Da die Funktion nach der ersten Übertragung weiter ausgeführt wurde, löste jeder berechtigte Handel eine zweite, unbeabsichtigte Auszahlung aus. Die fehlende Rendite verwandelte einen routinemäßigen Token-Austausch in einen systematischen Abfluss von USDC aus dem Liquiditätspool.
Angriffsvektor und Ausführung
Der Angreifer rief skim(router) auf, um die doppelten Übertragungen zu initiieren, und rief dann sync() auf, um die DIP-Reserve künstlich zu verringern. Durch die Senkung der Reserve brach der Preis des automatisierten Market Makers zusammen, sodass der böswillige Akteur die verbleibenden Gelder abheben konnte. Slowmist gab die Identität des Angreifers nicht bekannt und wies darauf hin, dass die Wiederherstellung des gestohlenen USDC weiterhin ungewiss sei.
Auswirkungen auf Investoren und den Kryptomarkt
Investoren, die DIP halten, sehen sich nun mit einem reduzierten Token-Preis und einem geringeren Vertrauen in das zugrunde liegende Blockchain-Protokoll konfrontiert. Der Vorfall unterstreicht die Notwendigkeit strenger Code-Audits, insbesondere für gebührenpflichtige Token, die mit dezentralen Börsenroutern interagieren. Wie der Kryptomarkt beobachtet, dient der Verstoß als warnendes Beispiel für Entwickler, die ihre Liquidität schützen und das Vertrauen der Anleger wahren wollen.