Уязвимость в коде Token DIP выводит 111 000 долларов через эксплойт в Pancakeswap Router

Slowmist сообщил о кодовой уязвимости в токене DIP, в результате которой через отсутствующий оператор return в функции transfer токена было выведено 111 097,6 USDC. Изъян позволял выполнять двойные трансферы, когда сделки маршрутизировались через роутер Pancakeswap, давая злоумышленнику возможность манипулировать ценой в автоматизированном маркет-мейкере и выводить средства из пула ликвидности. Инцидент пополняет список из более чем 2 150 эксплойтов, зафиксированных Slowmist в 2026 году — периоде, когда DeFi-протоколы потеряли из‑за хакерских атак и отказов на уровне кода более 1 миллиарда долларов.

Отсутствующий оператор return позволил выполнять двойные трансферы DIP-токена

Slowmist отметил инцидент в alert по разведке угроз, зафиксировав ущерб в размере 111 097,6 USDC. Компания заявила, что в функции "_transfer()" токена DIP отсутствовал оператор "return" в ветке, которая обрабатывает сделки, маршрутизируемые через роутер Pancakeswap. Slowmist сообщил: «Злоумышленник воспользовался этим, вызвав skim(router) для запуска двойных трансферов DIP, а затем sync() — чтобы установить резерв DIP в крайне низкое значение, манипулируя ценой AMM и выводя средства из пула».

Slowmist не назвал злоумышленника и не сообщил, можно ли вернуть похищенные средства.

Децентрализованные биржи, такие как Pancakeswap, полагаются на контракты автоматических роутеров для перемещения токенов между трейдерами и пулами ликвидности. В случае с DIP отсутствие "return" означало, что код, который должен был остановиться после одного трансфера, выполнялся второй раз. Каждая сделка, затрагивавшая роутер, оплачивалась дважды, вымывая USDC из пула.

Для этой ошибки не требовались flash loan, манипуляции с оракулом или украденный ключ. Роутер-ориентированные и fee-on-transfer токены распространены в цепочках, связанных с Binance, где проекты добавляют дополнительное поведение к стандартным шаблонам токенов.

Slowmist зафиксировал эксплойт DIP среди 2 150+ инцидентов 2026 года

Публичная база хаков Slowmist зарегистрировала более 2 150 инцидентов и примерно 37,8 миллиарда долларов совокупных потерь. Трекер отмечал убыток в 105 000 долларов в Thetanuts Finance и эксплойт на 2,1 миллиона долларов в Aztec Connect в последние дни.

Ошибки смарт-контрактов стали причиной значительной части ущерба в этом году: DeFi-протоколы потеряли более 1 миллиарда долларов из‑за хаков и эксплойтов по состоянию на прошлый месяц. Slowmist связал вывод средств в Aztec Connect с устаревшим контрактом и оценил кражу на 174 570 долларов в Grok-Bankr как результат обмана AI-агента, который был вынужден одобрить трансфер.

Ранее в этом году News от Bitcoin.com сообщали, что Zetachain приостановила работу основной сети после того, как Slowmist обнаружил отсутствие надлежащего контроля доступа в контракте GatewayZEVM.

FAQ

Что стало причиной потери DIP-токеном $111,000 в USDC?
Slowmist сообщил, что отсутствующий оператор return в функции "_transfer()" токена DIP позволил выполнять двойные трансферы при маршрутизации сделок через роутер Pancakeswap, что привело к выведению 111 097,6 USDC из пула ликвидности.

Сколько эксплойтов DeFi зафиксировал Slowmist в 2026 году?
Публичная база хаков Slowmist зарегистрировала в 2026 году более 2 150 инцидентов, а совокупные потери составили примерно 37,8 миллиарда долларов по всем зафиксированным эксплойтам.