Slowmist 在一份 威胁情报警报 中标记了这一事件，将损失定为 111,097.6 USDC。该公司表示，DIP 代币的 “_transfer()” 函数在处理通过 Pancakeswap 路由器进行交易的分支中缺少 “return” 语句。团队进一步补充说：

“攻击者通过调用 `skim(router)` 触发双重 DIP 转账，然后 `sync()` 将 DIP 储备设置为极低的值，从而操纵 AMM 价格以排空流动池。”

尽管进行了详细的分解，Slowmist 并没有指明攻击者的身份，也没有说被盗资金是否能够在近期内恢复。

考虑到像 Pancakeswap 这样的去中心化交易所依赖自动路由合约在交易者和流动池之间移动代币，整个操作的机制似乎相当普通。一个代币可以自由地为其自己的转账函数添加自定义逻辑，但当该逻辑处理路由器交互时出错时，就会打开意外支付的门户。

在 DIP 事件中，缺失的 “return” 语句意味着本应在一次转账后停止的代码却意外执行了第二次。每一笔涉及路由器的交易实际上支付了两次，悄悄地从流动池中抽走了 USDC。

这个漏洞无需闪电贷、预言机技巧或被盗密钥即可生效（只需代币自身代码中的一个缺口）。这种对路由器敏感且在转账时收取费用的代币在与 Binance 相关的链上很常见，项目通常会在标准代币模板上增加额外行为。每一个额外的分支都是一个隐藏错误的地方，而自动交换可以在任何人注意到之前触发这个错误成千上万次。

相较于今年的重大安全漏洞，DIP 的损失显得微不足道，但它符合代码层面故障的持续趋势。Slowmist 的公共 黑客数据库 记录了超过 2,150 起事件和约 378 亿美元的累计损失。最近，追踪器记录了 Thetanuts Finance 发生的 105,000 美元损失和 210 万美元的 Aztec Connect 漏洞。

更具体地说，可以看到智能合约漏洞导致了今年大部分损失，DeFi 协议因黑客攻击和漏洞损失超过 10 亿美元（截至上个月）。Slowmist 自身将 Aztec Connect 的损失追溯到一个废弃的合约，并将 174,570 美元的 Grok-Bankr 盗窃归咎于一个被欺骗批准转账的人工智能（AI）代理。

最后，Bitcoin.com News 早些时候报道，Zetachain 在 Slowmist 识别出其 GatewayZEVM 合约中的访问控制缺失后暂停了主网，这又是一个由于单一逻辑缺口给攻击者提供了机会的案例。

由于未确认恢复且攻击者仍未确定，DIP 事件强化了一个反复出现的教训：单行缺失足以清空一个流动池，而独立审计仍然是应对 DeFi 损失增加的主要防线。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。