DIP-Token-Code-Schwachstelle entzieht 111.000 US-Dollar über einen Pancakeswap-Router-Exploit

Slowmist meldete eine Code-Sicherheitslücke im DIP-Token, durch die 111.097,6 USDC abgezogen wurden – verursacht durch eine fehlende „return“-Anweisung in der Transferfunktion des Tokens. Der Fehler ermöglichte Doppel-Transfers, wenn Trades über den Pancakeswap-Router geroutet wurden, wodurch ein Angreifer den Preis eines Automated Market Maker manipulieren und so den Liquiditätspool leeren konnte. Der Vorfall zählt zu mehr als 2.150 von Slowmist im Jahr 2026 erfassten Exploits, einem Jahr, in dem DeFi-Protokolle im Wert von über 1 Milliarde US-Dollar durch Hacks und codebasierte Ausfälle Verluste erlitten haben.

Fehlende Return-Anweisung ermöglichte doppelte DIP-Token-Transfers

Slowmist machte den Vorfall in einem Threat-Intelligence-Alert bekannt und bezifferte den Verlust auf 111.097,6 USDC. Das Unternehmen erklärte, dass der "_transfer()"-Funktionsaufruf des DIP-Tokens in dem Zweig, der Trades verarbeitet, die über den Pancakeswap-Router geroutet werden, eine „return“-Anweisung vermisste. Slowmist erklärte: „Der Angreifer nutzte dies aus, indem er skim(router) aufrief, um doppelte DIP-Transfers auszulösen, und anschließend sync() verwendete, um die DIP-Reserve auf einen extrem niedrigen Wert zu setzen – wodurch der AMM-Preis manipuliert und der Pool geleert wurde.“

Slowmist nannte weder den Angreifer noch machte es Angaben dazu, ob sich die gestohlenen Gelder wiederherstellen ließen.

dezentrale Börsen wie Pancakeswap setzen auf automatisierte Router-Verträge, um Token zwischen Tradern und Liquiditätspools zu bewegen. Im DIP-Fall bedeutete das fehlende „return“, dass Code, der nach einem Transfer hätte stoppen sollen, stattdessen ein zweites Mal ausgeführt wurde. Jeder Trade, der den Router berührte, zahlte doppelt aus und ließ USDC aus dem Pool abfließen.

Der Bug erforderte keinen Flash Loan, keine Orakel-Manipulation und keinen gestohlenen Schlüssel. Router-spezifisches Verhalten und Fee-on-Transfer-Token sind in über Binance-verbundenen Ketten üblich, auf denen Projekte zusätzliche Funktionen über Standard-Token-Vorlagen legen.

Slowmist protokolliert DIP-Exploit unter mehr als 2.150 Vorfällen in 2026

Die öffentliche Hack-Datenbank von Slowmist hat mehr als 2.150 Vorfälle und ungefähr 37,8 Milliarden US-Dollar an kumulierten Verlusten erfasst. Der Tracker verzeichnete in den vergangenen Tagen einen Verlust von 105.000 US-Dollar bei Thetanuts Finance sowie einen 2,1-Millionen- Aztec-Connect-Exploit.

Smart-Contract-Bugs haben einen Großteil des Schadens in diesem Jahr verursacht: DeFi-Protokolle haben bis zum letzten Monat im Wert von mehr als 1 Milliarde US-Dollar durch Hacks und Exploits verloren. Slowmist führte den Abfluss bei Aztec Connect auf einen veralteten Vertrag zurück und bezifferte einen Diebstahl in Höhe von 174.570 US-Dollar Grok-Bankr auf einen KI-Agenten, der dazu gebracht wurde, einen Transfer zu genehmigen.

Bitcoin.com News berichtete zuvor in diesem Jahr, dass Zetachain sein Mainnet pausierte, nachdem Slowmist in seinem GatewayZEVM-Vertrag fehlende Zugriffskontrolle identifiziert hatte.

FAQ

Was führte dazu, dass der DIP-Token 111.000 USDC verlor?
Slowmist berichtete, dass eine fehlende „return“-Anweisung in der "_transfer()"-Funktion des DIP-Tokens doppelte Transfers ermöglichte, wenn Trades über den Pancakeswap-Router geroutet wurden, wodurch 111.097,6 USDC aus dem Liquiditätspool abgezogen wurden.

Wie viele DeFi-Exploits hat Slowmist 2026 protokolliert?
Die öffentliche Hack-Datenbank von Slowmist hat in 2026 mehr als 2.150 Vorfälle erfasst, wobei sich die kumulierten Verluste auf ungefähr 37,8 Milliarden US-Dollar über alle erfassten Exploits hinweg summieren.