ڈی آئی پی ٹوکن کو $111,097.6 USDC نقصان کا سامنا کرنا پڑا کیونکہ کوڈنگ کی خامی نے دوہری منتقلی کے استحصال کی اجازت دی، جیسا کہ سیکیورٹی فرم سلومسٹ نے رپورٹ کیا ہے۔
اسمارٹ کنٹریکٹ میں بنیادی وجہ
سلو مسٹ کے تجزیے سے یہ بات سامنے آئی ہے کہ ٹوکن کے _transfer() روٹین نے برانچ میں ایک return اسٹیٹمنٹ کو چھوڑ دیا ہے جو PancakeSwap کے روٹر کے ذریعے روٹ کی جانے والی تجارت پر کارروائی کرتی ہے۔ چونکہ پہلی منتقلی کے بعد فنکشن کا عمل جاری رہا، اس لیے ہر اہل تجارت نے دوسری، غیر ارادی ادائیگی کو متحرک کیا۔ گمشدہ واپسی نے معمول کے ٹوکن کی تبدیلی کو لیکویڈیٹی پول سے USDC کے منظم ڈرین میں تبدیل کر دیا۔
اٹیک ویکٹر اور ایگزیکیوشن
حملہ آور نے ڈپلیکیٹ منتقلی شروع کرنے کے لیے skim(router) کو استعمال کیا، پھر اسے sync() کہا جاتا ہے تاکہ DIP ریزرو کو مصنوعی طور پر دبایا جاسکے۔ ریزرو کو کم کرنے سے، خودکار مارکیٹ میکر پرائس گر گئی، جس سے بدنیتی پر مبنی اداکار باقی فنڈز نکال سکتا ہے۔ سلومسٹ نے حملہ آور کی شناخت ظاہر نہیں کی اور نوٹ کیا کہ چوری شدہ USDC کی بازیابی غیر یقینی ہے۔
سرمایہ کاروں اور کرپٹو مارکیٹ پر اثر
ڈی آئی پی رکھنے والے سرمایہ کاروں کو اب ٹوکن کی کم قیمت اور بنیادی بلاکچین پروٹوکول پر اعتماد میں کمی کا سامنا ہے۔ یہ واقعہ سخت کوڈ آڈٹ کی ضرورت پر زور دیتا ہے، خاص طور پر فیس آن ٹرانسفر ٹوکن کے لیے جو وکندریقرت ایکسچینج راؤٹرز کے ساتھ تعامل کرتے ہیں۔ جیسا کہ کرپٹو مارکیٹ دیکھ رہی ہے، یہ خلاف ورزی لیکویڈیٹی کی حفاظت اور سرمایہ کاروں کے اعتماد کو برقرار رکھنے کے خواہاں ڈویلپرز کے لیے ایک احتیاطی کہانی کے طور پر کام کرتی ہے۔