DeFi sektor ponovo je dobio podsetnik koliko i najmanja greška u pametnom ugovoru može biti skupa. DIP token na BNB Chain mreži iskorišćen je u napadu koji je iz PancakeSwap liquidity pool-a izvukao oko 111.000 dolara.
Prema informacijama koje su objavili blockchain bezbednosni istraživači, problem nije bio u samom PancakeSwap-u, već u kodu DIP tokena. Greška se nalazila u transfer mehanizmu tokena, tačnije u _transfer() funkciji, gde je nedostajao return u delu koda koji se aktivira kada je pošiljalac ili primalac PancakeSwap router.
Zbog tog propusta, određeni transferi su pod posebnim uslovima mogli da budu obrađeni dva puta. Na prvi pogled, to može delovati kao mali tehnički detalj, ali u DeFi sistemima takva greška može potpuno poremetiti odnos sredstava u liquidity pool-u i otvoriti prostor za manipulaciju cenom.
Napad se dogodio 16. juna na BNB Chain-u. Blockchain security firma SlowMist objavila je da je ukupni gubitak iznosio 111.097,596 USDC. Prema njihovom objašnjenju, duplo izvršavanje transfera omogućilo je napadaču da manipuliše rezervama pool-a i izvuče vrednost iz AIC-DIP para.
Istraživač poznat kao Defi Nerd dodatno je objasnio kako je exploit funkcionisao. Napadač je iskoristio grešku u DIP transfer logici kako bi kroz PancakeSwap router izazvao nepravilno kretanje tokena u liquidity pool-u. Korišćenjem funkcije skim(router) uspeo je da duplo isprazni DIP rezerve i promeni cenu u AIC-DIP paru.
Suština napada bila je manipulacija odnosom tokena u pool-u. Kada se količina DIP tokena u paru smanjila, cena DIP-a u odnosu na AIC veštački je porasla. Napadač je zatim iskoristio tu iskrivljenu cenu da izvuče veliki broj AIC tokena iz pool-a.
Prema podacima iz analize, izmanipulisani pool ostao je bez više od 29 miliona AIC tokena, koji su zatim konvertovani u USDC. Konačan rezultat bio je gubitak od nešto više od 111.000 dolara za liquidity pool i njegove učesnike.
Ovaj slučaj je posebno važan jer pokazuje da DeFi rizik ne dolazi samo od složenih flash-loan strategija ili velikih protokolarnih grešaka. Ponekad je dovoljan jedan mali propust u transfer funkciji tokena da napadač poremeti celu logiku liquidity pool-a.
U standardnom AMM modelu, kao što je onaj koji koriste decentralizovane berze poput PancakeSwap-a, cena tokena određuje se odnosom sredstava u pool-u. Ako neko uspe veštački da promeni taj odnos, može dobiti pogrešnu cenu i izvući vrednost iz sistema. Upravo to se dogodilo kod DIP tokena.
Kod ovakvih napada problem često nije vidljiv običnim korisnicima dok šteta već nije napravljena. Liquidity provideri ulažu dva tokena u pool i očekuju da se cena formira normalnim trgovanjem. Ako pametni ugovor jednog tokena ima grešku koja menja način transfera, ceo pool može postati ranjiv.
Pre incidenta, DIP projekat je pokazivao određene znake rasta. Prema podacima koje članak navodi iz DeFiLlama izvora, protokol je imao oko 4,37 miliona dolara ukupne zaključane vrednosti. Njegov decentralizovani exchange zabeležio je oko 5,63 miliona dolara obima trgovanja tokom prethodnog meseca.
To pokazuje da se nije radilo o potpuno neaktivnom ili nepoznatom pool-u bez korisnika. Projekat je imao likvidnost, promet i aktivnost, što napad čini još ozbiljnijim. Kada postoji stvarna likvidnost, greška u token kodu postaje finansijski atraktivna meta za napadače.
SlowMist founder Cos komentarisao je da je u početku bio skeptičan kada je čitao objašnjenje, ali da DIP ugovori zaista mogu dovesti do dvostrukog transfera, što zatim omogućava manipulaciju cenom povezanih liquidity pool-ova. To dodatno potvrđuje da se radilo o specifičnoj grešci u dizajnu tokena, a ne o klasičnom problemu same berze.
Incident je deo šireg niza bezbednosnih problema na BNB Chain-u. U poslednje vreme istraživači su upozoravali na više exploit-a i ranjivosti kod tokena, staking protokola i liquidity lockera. Među ranijim slučajevima pominju se napadi na BY token, DxSale liquidity lockers i LML staking protokol.
BNB Chain ima veliki broj novih tokena i DeFi eksperimenata, što donosi i veliki bezbednosni rizik. Niski troškovi transakcija i laka dostupnost alata omogućavaju brzo lansiranje projekata, ali isto tako znače da se na tržištu pojavljuje mnogo koda koji nije dovoljno testiran ili auditovan.
Za developere, DIP incident je jasan primer zašto su temeljni auditi neophodni pre lansiranja tokena. Posebno su rizični tokeni koji imaju nestandardnu transfer logiku, poreze na transakcije, posebne router uslove, blacklist mehanizme, auto-liquidity funkcije ili bilo kakvu dodatnu logiku koja menja običan ERC-20/BEP-20 transfer.
Što je transfer funkcija komplikovanija, veća je šansa da se pojavi neočekivano ponašanje. Ako token ne funkcioniše kao standardni token, decentralizovane berze i pool-ovi mogu dobiti pogrešne pretpostavke o stanju sredstava. Napadači zatim traže upravo takve ivice sistema.
Za liquidity providere, ovo je podsetnik da rizik ne zavisi samo od popularnosti DEX-a. Čak i ako se pool nalazi na poznatoj platformi kao PancakeSwap, jedan od tokena u paru može imati ranjiv kod. To znači da korisnik ne preuzima samo rizik cene i impermanent loss-a, već i rizik pametnog ugovora svakog tokena u paru.
Posebno opasni mogu biti manji i noviji tokeni sa prilagođenim transfer mehanizmima. Kod njih često nema dovoljno nezavisnih audita, nema duge istorije upotrebe i nema velikog broja istraživača koji su proveravali kod. To povećava šansu da propust ostane neprimećen dok ga neko ne iskoristi.
Ovaj incident takođe pokazuje koliko su on-chain bezbednosne firme važne za DeFi ekosistem. SlowMist i nezavisni istraživači brzo su analizirali šta se dogodilo, identifikovali uzrok i objavili tehničko objašnjenje. Takve analize pomažu drugim developerima da prepoznaju slične greške u sopstvenom kodu.
Ipak, analiza posle napada ne vraća automatski izgubljena sredstva. Kada napadač konvertuje tokene u USDC i premesti sredstva, povraćaj zavisi od toga da li se sredstva mogu pratiti, zamrznuti ili povezati sa centralizovanom berzom. U mnogim DeFi exploit-ima novac se nikada ne vrati.
Za obične investitore, najvažnija lekcija je da visok APY, aktivan pool ili prisustvo na poznatoj decentralizovanoj berzi nisu dovoljni dokazi sigurnosti. Potrebno je gledati da li je token auditovan, da li je kod javan, da li postoje poznati sigurnosni izveštaji, koliko dugo ugovor radi bez incidenta i da li transfer funkcija ima nestandardne izmene.
DIP exploit pokazuje i da DeFi sistemi često zavise od kompozabilnosti, odnosno međusobnog povezivanja različitih ugovora. Token ugovor, router, liquidity pool i korisničke transakcije rade zajedno. Ako jedan deo sistema ima loše definisanu logiku, cela kombinacija može postati ranjiva.
Kod klasičnog finansijskog sistema, greška u obračunu često može biti zaustavljena, poništena ili ispravljena centralizovanom intervencijom. Kod DeFi-ja, transakcije su automatske i uglavnom nepovratne. To znači da pametni ugovor mora biti ispravan pre nego što se u njega unese likvidnost.
Ovaj slučaj neće nužno imati veliki sistemski efekat na čitav DeFi sektor, jer je gubitak od oko 111.000 dolara relativno mali u poređenju sa velikim exploit-ima. Međutim, tehnička lekcija je veoma važna. Napad pokazuje da i manji propust u osnovnoj funkciji tokena može dovesti do direktnog izvlačenja sredstava.
Za BNB Chain ekosistem, ponavljanje ovakvih incidenata može dodatno pojačati potrebu za boljim standardima provere novih tokena. Ako se često pojavljuju tokeni sa ranjivom ili nestandardnom logikom, poverenje korisnika u manje DeFi projekte može oslabiti.
Za PancakeSwap, incident je više podsetnik na rizik otvorenih DEX tržišta nego direktan dokaz slabosti platforme. Decentralizovane berze omogućavaju listiranje i trgovanje različitim tokenima, ali ne mogu uvek garantovati da je svaki token bezbedan. Korisnici zato moraju razumeti da likvidnost na DEX-u ne znači automatski sigurnost tokena.
Dugoročno, DeFi industrija će verovatno morati da razvije bolje alate za automatsko otkrivanje rizične transfer logike. Ako sistemi mogu unapred da označe tokene koji imaju neobične router uslove, dvostruke transfer mogućnosti ili potencijal za manipulaciju rezervama, deo ovakvih napada mogao bi se sprečiti.
Sve u svemu, DIP token exploit pokazuje koliko DeFi ostaje osetljiv na male, ali kritične greške u pametnim ugovorima. Nedostajući return u transfer funkciji omogućio je da se određene transakcije preko PancakeSwap routera obrade dva puta, što je napadaču otvorilo prostor da manipuliše AIC-DIP pool-om i izvuče više od 29 miliona AIC tokena, kasnije pretvorenih u oko 111.000 USDC. Iako šteta nije na nivou najvećih DeFi hakova, incident jasno pokazuje da svaki token sa nestandardnim kodom mora proći ozbiljan audit pre nego što korisnici u njega unesu likvidnost.
