据安全公司 Slowmist 报道,由于编码缺陷导致双重转账漏洞,DIP 代币遭受了 111,097.6 美元的 USDC 损失。
智能合约的根本原因
Slowmist 的分析显示,代币的 _transfer() 例程在处理通过 PancakeSwap 路由器路由的交易的分支中省略了 return 语句。由于该函数在第一次转账后继续执行,因此每笔符合条件的交易都会触发第二次意外支付。缺失的回报使例行的代币互换变成了 USDC 从流动性池中的系统性流失。
攻击向量和执行
攻击者调用skim(router)来发起重复传输,然后调用sync()来人为地降低DIP保留。通过降低准备金,自动做市商价格暴跌,使恶意行为者能够提取剩余资金。慢雾没有透露攻击者的身份,并指出被盗 USDC 的追回仍不确定。
对投资者和加密货币市场的影响
持有 DIP 的投资者现在面临代币价格下降和对底层区块链协议信心下降的问题。该事件强调了严格代码审核的必要性,特别是对于与去中心化交易路由器交互的转账收费代币。随着加密货币市场的观察,此次违规事件对于寻求保护流动性和维持投资者信任的开发商来说是一个警示。