ثغرة في كود رمز DIP تستنزف 111,000 دولار عبر استغلال في راوتر Pancakeswap

أفاد Slowmist بوجود ثغرة برمجية في رمز DIP أدت إلى سحب 111,097.6 USDC عبر بيان return مفقود في دالة transfer الخاصة بالرمز. سمحت العيوب بإجراء عمليتي تحويل مزدوجتين عندما تمت توجيه الصفقات عبر راوتر Pancakeswap، ما مكّن مهاجمًا من التلاعب بسعر صانع السوق الآلي (AMM) واستنزاف مجمع السيولة. وتأتي هذه الحادثة ضمن أكثر من 2,150 استغلالًا سجّلها Slowmist في 2026، وهي سنة خسرت فيها بروتوكولات التمويل اللامركزي (DeFi) أكثر من مليار دولار بسبب اختراقات وفشل على مستوى الشيفرة.

بيان return مفقود مكّن تحويلات مزدوجة لرمز DIP

سلّط Slowmist الضوء على الحادثة في تنبيه استخبارات تهديدات، محددًا الخسارة بـ 111,097.6 USDC. وقالت الشركة إن دالة "_transfer()" الخاصة برمز DIP كانت تفتقد عبارة "return" في الفرع الذي يتعامل مع الصفقات التي يتم توجيهها عبر راوتر Pancakeswap. وأضاف Slowmist: "استغل المهاجم ذلك عبر استدعاء skim(router) لتفعيل تحويلات DIP المزدوجة، ثم استخدام sync() لضبط احتياطي DIP على قيمة منخفضة جدًا، بما يتيح التلاعب بسعر AMM لاستنزاف المجمع."

لم يُسمِّ Slowmist المهاجم أو يوضح ما إذا كان يمكن استرداد الأموال المسروقة.

تعتمد البورصات اللامركزية مثل Pancakeswap على عقود راوتر تلقائية لنقل الرموز بين المتداولين ومجاميع السيولة. وفي حالة DIP، يعني غياب "return" أن الشيفرة التي كان من المفترض أن تتوقف بعد تحويل واحد نفذت مرة ثانية. كل صفقة مست ميزة الراوتر دفعت مرتين، ما أدى إلى تسريب USDC من المجمع.

لم تتطلب المشكلة أي قرض سريع (flash loan)، أو تلاعبًا بالعدسات (oracle)، أو مفاتيح مسروقة. تُعد الرموز المدركة للراوتر والرموز التي تفرض رسوم انتقال (fee-on-transfer) شائعة على سلاسل مرتبطة بـ Binance، حيث تضيف المشاريع سلوكيات إضافية إلى قوالب الرموز القياسية.

سجّل Slowmist استغلال DIP ضمن أكثر من 2,150 حادثة في 2026

يضم قاعدة بيانات الاختراقات العامة لدى Slowmist أكثر من 2,150 حادثة، مع خسائر تراكمية تقارب 37.8 مليار دولار. وسجّل المتتبع خسارة قدرها 105,000 دولار لدى Thetanuts Finance، واستغلالًا بقيمة 2.1 مليون دولار في Aztec Connect خلال الأيام الأخيرة.

دفعت أخطاء العقود الذكية جزءًا كبيرًا من الأضرار خلال هذا العام، إذ كانت بروتوكولات DeFi قد خسرت أكثر من مليار دولار بسبب الاختراقات والاستغلالات حتى الشهر الماضي. واحتسب Slowmist تفريغ Aztec Connect إلى عقد مهمل، وحدّد سرقة بقيمة 174,570 دولار من Grok-Bankr ترتبط بعامل ذكاء اصطناعي تم خداعه للموافقة على تحويل.

ذكرت News من Bitcoin.com في وقت سابق من العام أن Zetachain أوقفت تشغيل شبكتها الرئيسية بعد أن حدد Slowmist غياب ضوابط الوصول في عقدها GatewayZEVM.

الأسئلة الشائعة

ما الذي تسبب في خسارة رمز DIP 111,000 دولار من USDC؟
ذكر Slowmist أن عبارة return مفقودة في دالة "_transfer()" الخاصة برمز DIP سمحت بتحويلات مزدوجة عندما تمت توجيه الصفقات عبر راوتر Pancakeswap، ما أدى إلى سحب 111,097.6 USDC من مجمع السيولة.

كم عدد استغلالات DeFi التي سجلها Slowmist في 2026؟
سجّلت قاعدة بيانات الاختراقات العامة لدى Slowmist أكثر من 2,150 حادثة في 2026، بإجمالي خسائر تراكمية يقدَّر بنحو 37.8 مليار دولار عبر جميع الاستغلالات المسجلة.