Kekurangan Kode Token DIP Menguras $111.000 melalui Eksploit Pancakeswap Router

Slowmist melaporkan kerentanan kode pada token DIP yang menguras 111.097,6 USDC melalui pernyataan return yang hilang pada fungsi transfer token. Cacat tersebut memungkinkan transfer ganda ketika perdagangan dirutekan melalui router Pancakeswap, sehingga pelaku dapat memanipulasi harga automated market maker (AMM) dan menguras liquidity pool. Insiden ini menambah lebih dari 2.150 eksploit yang dicatat Slowmist sepanjang 2026, tahun ketika protokol DeFi kehilangan lebih dari 1 miliar dolar AS akibat peretasan dan kegagalan berbasis kode.

Pernyataan Return yang Hilang Memungkinkan Transfer Ganda Token DIP

Slowmist menyoroti insiden ini dalam peringatan threat intelligence, menetapkan kerugian sebesar 111.097,6 USDC. Perusahaan menyatakan fungsi "_transfer()" pada token DIP tidak memiliki pernyataan "return" pada cabang yang menangani perdagangan yang dirutekan melalui router Pancakeswap. Slowmist menyebutkan: "Penyerang mengeksploitasinya dengan memanggil skim(router) untuk memicu transfer ganda DIP, lalu memanggil sync() untuk mengatur cadangan DIP ke nilai yang sangat rendah, sehingga memanipulasi harga AMM untuk menguras kolam."

Slowmist tidak menyebutkan nama penyerang maupun apakah dana yang dicuri bisa dipulihkan.

Exchange terdesentralisasi seperti Pancakeswap bergantung pada kontrak router otomatis untuk memindahkan token antar trader dan liquidity pool. Pada kasus DIP, "return" yang hilang berarti kode yang seharusnya berhenti setelah satu transfer justru dieksekusi lagi untuk kedua kalinya. Setiap perdagangan yang menyentuh router membayar dua kali, sehingga menguras USDC dari pool.

Bug ini tidak membutuhkan flash loan, manipulasi oracle, atau kunci yang dicuri. Token router-aware dan fee-on-transfer umum ditemukan di jaringan yang terhubung ke Binance, di mana proyek menambahkan perilaku tambahan pada template token standar.

Slowmist Mencatat Eksploit DIP di Tengah Lebih dari 2.150 Insiden pada 2026

Database peretasan publik milik Slowmist telah mencatat lebih dari 2.150 insiden dan sekitar 37,8 miliar dolar AS kerugian kumulatif. Pelacak tersebut mencatat kerugian 105.000 dolar AS pada Thetanuts Finance dan eksploit Aztec Connect senilai 2,1 juta dolar AS dalam beberapa hari terakhir.

Bug kontrak pintar menjadi pendorong sebagian besar kerusakan sepanjang tahun ini, dengan protokol DeFi yang kehilangan lebih dari 1 miliar dolar AS akibat peretasan dan eksploit hingga bulan lalu. Slowmist menelusuri pengurasan Aztec Connect ke kontrak yang sudah kedaluwarsa dan menetapkan pencurian 174.570 dolar AS Grok-Bankr pada agen AI yang ditipu agar menyetujui sebuah transfer.

Bitcoin.com News melaporkan lebih awal tahun ini bahwa Zetachain menjeda mainnet-nya setelah Slowmist mengidentifikasi kontrol akses yang hilang pada kontrak GatewayZEVM.

FAQ

Apa penyebab token DIP kehilangan 111.000 USDC?
Slowmist melaporkan bahwa pernyataan return yang hilang pada fungsi "_transfer()" token DIP memungkinkan transfer ganda ketika perdagangan dirutekan melalui router Pancakeswap, sehingga menguras 111.097,6 USDC dari liquidity pool.

Berapa banyak eksploit DeFi yang dicatat Slowmist pada 2026?
Database peretasan publik Slowmist telah mencatat lebih dari 2.150 insiden pada 2026, dengan kerugian kumulatif mencapai sekitar 37,8 miliar dolar AS untuk seluruh eksploit yang tercatat.