Slowmistは、DIPトークンのコード脆弱性を報告しており、トークンのtransfer関数にreturn文が欠落していたことで111,097.6 USDCが流出したとした。この欠陥により、取引がPancakeswapのルーター経由でルーティングされると二重送金が可能になり、攻撃者が自動マーケットメイカー(AMM)の価格を操作して流動性プールを流出させられるようになった。今回の件は、2026年にSlowmistが記録した2,150件超の悪用に加わるものであり、この年にはDeFiプロトコルがハックやコード上の不具合により10億ドル超を失っている。
返却文の欠落によりDIPトークンの二重送金が可能に
Slowmistは脅威インテリジェンスのアラートでこの事件を指摘し、損失を111,097.6 USDCと見積もった。同社によると、DIPトークンの「_transfer()」関数には、Pancakeswapのルーター経由の取引を扱う分岐で「return」文が欠けていたという。Slowmistは次のように述べた。「攻撃者は、skim(router)を呼び出して二重のDIP送金を発火させ、その後sync()を呼び出してDIP準備金を極端に低い値に設定することで、この点を悪用した。これによりAMMの価格が操作され、プールから資金が流出した。」
Slowmistは攻撃者の名前を挙げず、盗まれた資金が回収できるかどうかも明らかにしなかった。
Pancakeswapのような分散型取引所は、トークンをトレーダーと流動性プールの間で移動させるために自動ルーター・コントラクトに依存している。DIPの場合、「return」の欠落により、1回の送金の後で処理を止めるべきコードが、2回目の実行まで行われてしまった。ルーターに触れた各取引で2回分支払われ、プールからUSDCが流出した。
この不具合はフラッシュローンを要せず、オラクルの操作や盗まれた鍵も不要だった。ルーターを意識するトークンや、手数料徴収(fee-on-transfer)型トークンは、Binance関連チェーンではよく見られ、プロジェクトが標準のトークンテンプレートに追加の挙動を組み込むことが多い。
Slowmistが2,150件超の2026年インシデントの中でDIP悪用を記録
Slowmistの公開ハック・データベースには、2,150件超のインシデントと、累計損失が約37.8億ドルにのぼることが記録されている。そのトラッカーでは、直近の日にThetanuts Financeで105,000ドルの損失、Aztec Connectで210万ドルの悪用があったことも記録された。
スマートコントラクトの不具合が今年の被害の多くを引き起こしており、先月時点でDeFiプロトコルはハックや悪用により10億ドル超を失っている。SlowmistはAztec Connectの流出を、廃止されたコントラクトに起因すると追跡し、騙されて送金を承認してしまったAIエージェントによる174,570ドルのGrok-Bankr盗難だと特定した。
Bitcoin.com Newsは年初の報道で、SlowmistがGatewayZEVMコントラクトにおけるアクセス制御の欠落を特定した後、Zetachainがメインネットを停止したと伝えていた。
FAQ
What caused the DIP token to lose $111,000 in USDC?
Slowmistは、DIPトークンの「_transfer()」関数に返却文が欠落していたため、取引がPancakeswapのルーター経由でルーティングされると二重送金が可能になり、その結果、流動性プールから111,097.6 USDCが流出したと報告した。
Slowmistが2026年に記録したDeFiの悪用件数はどれくらいですか?
Slowmistの公開ハック・データベースには、2026年に2,150件超のインシデントが記録されており、記録されたすべての悪用にわたる累計損失は約37.8億ドルにのぼる。
