Le jeton DIP a subi une perte de 111 097,6 USDC après qu'une faille de codage ait permis un exploit de double transfert, comme l'a rapporté la société de sécurité Slowmist.
Cause fondamentale du contrat intelligent
L'analyse de Slowmist a révélé que la routine _transfer() du jeton a omis une instruction return dans la branche qui traite les transactions acheminées via le routeur de PancakeSwap. Étant donné que l'exécution de la fonction a continué après le premier transfert, chaque transaction éligible a déclenché un deuxième paiement involontaire. Le retour manquant a transformé un échange de jetons de routine en une fuite systématique de l'USDC du pool de liquidités.
Vecteur d'attaque et exécution
L'attaquant a invoqué skim(router) pour lancer les transferts en double, puis a appelé sync() pour réduire artificiellement la réserve DIP. En abaissant la réserve, le prix du teneur de marché automatisé s'est effondré, permettant à l'acteur malveillant d'extraire les fonds restants. Slowmist n'a pas divulgué l'identité de l'attaquant et a noté que la récupération de l'USDC volé reste incertaine.
Impact sur les investisseurs et le marché de la cryptographie
Les investisseurs détenant DIP sont désormais confrontés à une réduction du prix du jeton et à une perte de confiance dans le protocole blockchain sous-jacent. L’incident souligne la nécessité d’audits rigoureux du code, en particulier pour les jetons de frais de transfert qui interagissent avec les routeurs d’échange décentralisés. Sous l'œil attentif du marché de la cryptographie, cette faille sert d'avertissement aux développeurs qui cherchent à protéger les liquidités et à maintenir la confiance des investisseurs.