Falha no código do DIP Token drena 111 mil dólares via exploração do router Pancakeswap

A Slowmist reportou uma vulnerabilidade de código no token DIP que drenou 111,097.6 USDC devido a uma instrução de retorno em falta na função de transferência do token. A falha permitiu transferências duplas quando as operações eram encaminhadas através do router do Pancakeswap, possibilitando a um atacante manipular o preço do market maker automatizado e drenar a pool de liquidez. O incidente junta-se a mais de 2,150 explorações registadas pela Slowmist em 2026, um ano em que os protocolos DeFi perderam mais de 1 mil milhões de dólares com ataques e falhas a nível de código.

Falta de instrução de retorno permitiu transferências duplas do token DIP

A Slowmist assinalou o incidente num alerta de inteligência de ameaças, fixando a perda em 111,097.6 USDC. A empresa indicou que a função "_transfer()" do token DIP não tinha uma instrução de "return" no ramo que lida com negociações encaminhadas através do router do Pancakeswap. A Slowmist afirmou: "O atacante explorou isto chamando skim(router) para despoletar transferências duplas de DIP e, em seguida, sync() para definir a reserva de DIP para um valor extremamente baixo, manipulando o preço do AMM para drenar a pool."

A Slowmist não identificou o atacante nem disse se os fundos roubados poderiam ser recuperados.

As bolsas descentralizadas como a Pancakeswap dependem de contratos de router automatizados para mover tokens entre traders e pools de liquidez. No caso do DIP, a falta de "return" significava que o código que deveria parar após uma única transferência foi executado uma segunda vez. Cada negociação que tocou o router pagou duas vezes, esgotando USDC da pool.

O bug não exigiu qualquer flash loan, manipulação de oráculos, nem chaves roubadas. Tokens com awareness do router e fee-on-transfer são comuns em cadeias ligadas à Binance, onde os projetos adicionam comportamentos extra aos templates padrão de tokens.

A Slowmist regista a exploração do DIP entre mais de 2,150 incidentes em 2026

A base de dados pública de hacks da Slowmist registou mais de 2,150 incidentes e perdas cumulativas de aproximadamente 37,8 mil milhões de dólares. O registo indicou uma perda de 105,000 dólares na Thetanuts Finance e um exploit de 2,1 milhões de dólares na Aztec Connect nos últimos dias.

Os bugs em contratos inteligentes impulsionaram grande parte dos estragos do ano, com os protocolos DeFi a terem perdido mais de 1 mil milhões de dólares em ataques e explorações até ao mês passado. A Slowmist atribuiu o escoamento na Aztec Connect a um contrato descontinuado e fixou uma apropriação indevida de 174,570 dólares na Grok-Bankr num agente de IA que foi enganado a aprovar uma transferência.

A Bitcoin.com News reportou mais cedo no ano que a Zetachain pausou o seu mainnet depois de a Slowmist identificar falta de controlo de acesso no contrato GatewayZEVM.

FAQ

O que causou a perda de 111,000 dólares em USDC pelo token DIP?
A Slowmist reportou que uma instrução de retorno em falta na função "_transfer()" do token DIP permitiu transferências duplas quando as operações eram encaminhadas através do router do Pancakeswap, drenando 111,097.6 USDC da pool de liquidez.

Quantas explorações DeFi registou a Slowmist em 2026?
A base de dados pública de hacks da Slowmist registou mais de 2,150 incidentes em 2026, com perdas cumulativas a somarem aproximadamente 37,8 mil milhões de dólares em todas as explorações registadas.