Une faille dans le code du token DIP draine 111 000 dollars via l’exploit du routeur Pancakeswap

Slowmist a signalé une vulnérabilité de code dans le token DIP, qui a vidé 111,097.6 USDC via une instruction « return » manquante dans la fonction de transfert du token. Le défaut permettait des transferts doubles lorsque les opérations étaient routées via le routeur Pancakeswap, permettant à un attaquant de manipuler le prix de l’AMM (market maker automatisé) et de drainer le pool de liquidité. L’incident s’ajoute à plus de 2 150 exploitations consignées par Slowmist en 2026, une année au cours de laquelle des protocoles DeFi ont perdu plus de 1 milliard de dollars à cause de piratages et de défaillances au niveau du code.

Une instruction « return » manquante a permis des transferts doubles de token DIP

Slowmist a mis en avant l’incident dans une alerte de veille cyber, évaluant la perte à 111,097.6 USDC. La société a indiqué que la fonction « _transfer() » du token DIP manquait d’une instruction « return » dans la branche qui traite les transactions routées via le routeur Pancakeswap. Slowmist a déclaré : « L’attaquant a exploité cela en appelant skim(router) pour déclencher des transferts doubles de DIP, puis sync() pour régler la réserve de DIP sur une valeur extrêmement faible, manipulant ainsi le prix de l’AMM afin de drainer le pool. »

Slowmist n’a pas nommé l’attaquant ni précisé si les fonds volés pouvaient être récupérés.

Des échanges décentralisés comme Pancakeswap s’appuient sur des contrats de routeur automatisés pour déplacer des tokens entre les traders et les pools de liquidité. Dans le cas de DIP, l’absence de « return » signifiait que du code qui aurait dû s’arrêter après un seul transfert s’exécutait une deuxième fois. Chaque opération qui touchait le routeur versait deux fois, ce qui vidait l’USDC du pool.

Le bug ne nécessitait aucun flash loan, aucune manipulation d’oracle et aucune clé volée. Les tokens prenant en compte les routeurs et les tokens à frais (« fee-on-transfer ») sont courants sur des chaînes liées à Binance, où les projets ajoutent des comportements supplémentaires aux modèles standards de tokens.

Slowmist consigne l’exploitation DIP parmi plus de 2 150 incidents en 2026

La base de données publique de piratages de Slowmist a enregistré plus de 2 150 incidents et environ 37.8 milliards de dollars de pertes cumulées. Le suivi a relevé une perte de 105,000 dollars pour Thetanuts Finance et une exploitation Aztec Connect de 2.1 millions de dollars ces derniers jours.

Les failles de contrats intelligents ont causé une grande partie des dommages de l’année, les protocoles DeFi ayant perdu plus de 1 milliard de dollars à cause de piratages et d’exploits au mois dernier. Slowmist a attribué le drain d’Aztec Connect à un contrat obsolète et a estimé un vol de 174,570 dollars de Grok-Bankr à une erreur d’un agent IA qui a été trompé pour approuver un transfert.

Bitcoin.com News a indiqué plus tôt dans l’année que Zetachain avait mis en pause son mainnet après que Slowmist a identifié un contrôle d’accès manquant dans son contrat GatewayZEVM.

FAQ

Qu’est-ce qui a causé la perte de 111,000 dollars en USDC du token DIP ?
Slowmist a signalé qu’une instruction « return » manquante dans la fonction « _transfer() » du token DIP permettait des transferts doubles lorsque les transactions étaient routées via le routeur Pancakeswap, drainant 111,097.6 USDC du pool de liquidité.

Combien d’exploits DeFi Slowmist a-t-il consignés en 2026 ?
La base de données publique de piratages de Slowmist a enregistré plus de 2 150 incidents en 2026, avec des pertes cumulées totalisant environ 37.8 milliards de dollars sur l’ensemble des exploits consignés.