El token DIP sufrió una pérdida de 111.097,6 USDC después de que un fallo de codificación permitiera un exploit de doble transferencia, según informó la empresa de seguridad Slowmist.
Causa raíz en el contrato inteligente
El análisis de Slowmist reveló que la rutina _transfer() del token omitió una declaración return en la rama que procesa las operaciones enrutadas a través del enrutador de PancakeSwap. Debido a que la función continuó ejecutándose después de la primera transferencia, cada operación elegible desencadenó un segundo pago no deseado. La rentabilidad faltante convirtió un intercambio de tokens de rutina en una fuga sistemática de USDC del fondo de liquidez.
Vector de ataque y ejecución
El atacante invocó skim(router) para iniciar las transferencias duplicadas, luego llamó a sync() para reducir artificialmente la reserva DIP. Al reducir la reserva, el precio del creador de mercado automatizado colapsó, lo que permitió al actor malicioso extraer los fondos restantes. Slowmist no reveló la identidad del atacante y señaló que la recuperación del USDC robado sigue siendo incierta.
Impacto en los inversores y el mercado criptográfico
Los inversores que tienen DIP ahora se enfrentan a un precio reducido del token y a una menor confianza en el protocolo blockchain subyacente. El incidente subraya la necesidad de realizar auditorías de código rigurosas, especialmente para los tokens de pago por transferencia que interactúan con enrutadores de intercambio descentralizados. Mientras el mercado de las criptomonedas observa, la infracción sirve como advertencia para los desarrolladores que buscan proteger la liquidez y mantener la confianza de los inversores.