Lỗi mã token DIP khiến bị rút cạn 111.000 USD thông qua lỗ hổng khai thác bộ định tuyến PancakeSwap

Slowmist cho biết có một lỗ hổng mã trong token DIP đã rút cạn 111,097.6 USDC nhờ thiếu lệnh return trong hàm transfer() của token. Lỗi này cho phép chuyển hai lần khi giao dịch được chuyển qua router Pancakeswap, giúp kẻ tấn công thao túng giá của automated market maker và rút cạn thanh khoản trong pool. Vụ việc này nối tiếp hơn 2,150 vụ khai thác được Slowmist ghi nhận trong năm 2026, một năm mà các giao thức DeFi đã mất hơn 1 tỷ USD do hack và lỗi ở cấp mã.

Thiếu lệnh return khiến token DIP chuyển hai lần

Slowmist nêu vụ việc trong cảnh báo phân tích mối đe dọa, ấn định mức lỗ là 111,097.6 USDC. Hãng cho biết hàm "_transfer()" của token DIP thiếu một lệnh "return" ở nhánh xử lý các giao dịch được định tuyến qua router Pancakeswap. Slowmist cho biết: "Kẻ tấn công khai thác điều này bằng cách gọi skim(router) để kích hoạt chuyển DIP hai lần, sau đó gọi sync() để đặt dự trữ DIP về một giá trị cực thấp, thao túng giá AMM nhằm rút cạn pool."

Slowmist không nêu tên kẻ tấn công hay cho biết liệu có thể thu hồi được số tiền bị đánh cắp hay không.

Các sàn giao dịch phi tập trung như Pancakeswap dựa vào các hợp đồng router tự động để chuyển token giữa người giao dịch và các pool thanh khoản. Trong trường hợp DIP, việc thiếu "return" có nghĩa là đoạn mã lẽ ra phải dừng sau một lần chuyển lại được thực thi thêm lần nữa. Mỗi giao dịch chạm router đều được chi trả hai lần, khiến USDC chảy khỏi pool.

Lỗi này không cần flash loan, không cần thao túng oracle, và cũng không cần khóa bị đánh cắp. Các token “router-aware” và “fee-on-transfer” khá phổ biến trên các chuỗi gắn với Binance, nơi dự án thêm hành vi bổ sung vào các mẫu token tiêu chuẩn.

Slowmist ghi nhận vụ khai thác DIP trong hơn 2,150 sự cố năm 2026

Cơ sở dữ liệu hack công khai của Slowmist đã ghi nhận hơn 2,150 vụ và khoảng 37,8 tỷ USD tổn thất lũy kế. Bộ theo dõi ghi nhận khoản lỗ 105 nghìn USD tại Thetanuts Finance và vụ khai thác Aztec Connect trị giá 2,1 triệu USD trong những ngày gần đây.

Các lỗi hợp đồng thông minh là nguyên nhân chính gây ra thiệt hại trong năm, với việc các giao thức DeFi đã mất hơn 1 tỷ USD do hack và khai thác tính đến tháng trước. Slowmist truy vết vụ xả cạn của Aztec Connect về một hợp đồng đã bị loại bỏ (deprecated) và ấn định vụ trộm Grok-Bankr trị giá 174,570 USD là do một tác nhân AI bị lừa để chấp thuận một lệnh chuyển.

Báo Bitcoin.com trước đó trong năm cho biết Zetachain đã tạm dừng mainnet sau khi Slowmist phát hiện việc thiếu kiểm soát truy cập trong hợp đồng GatewayZEVM của họ.

FAQ

Điều gì khiến token DIP mất 111,000 USDC?
Slowmist báo cáo rằng thiếu lệnh return trong hàm "_transfer()" của token DIP đã cho phép chuyển hai lần khi giao dịch được định tuyến qua router Pancakeswap, rút cạn 111,097.6 USDC từ pool thanh khoản.

Slowmist đã ghi nhận bao nhiêu vụ khai thác DeFi trong năm 2026?
Cơ sở dữ liệu hack công khai của Slowmist đã ghi nhận hơn 2,150 sự cố trong năm 2026, với tổn thất lũy kế khoảng 37,8 tỷ USD trên tất cả các vụ khai thác được ghi nhận.