Drenaje de AMM del token DIP por falta de return

El 16 de junio de 2026, el token DIP —reportado como un activo de utilidad del ecosistema Etherisc— fue explotado en BNB Chain por aproximadamente $111.000 en USDC, después de que la firma de seguridad SlowMist rastreara la pérdida hasta una única línea de código ausente.

Qué ocurrió

A la función _transfer() del token DIP le faltaba una sentencia return en la rama que gestionaba las operaciones enrutadas a través del router de PancakeSwap. Como esa rama no retornaba sino que continuaba, el contrato ejecutaba el movimiento de tokens dos veces en las transferencias enrutadas por el router. El atacante lo aprovechó llamando a skim(router) para provocar transferencias DIP dobles hacia el par, y luego a sync() para forzar la reserva DIP registrada del pool a un valor artificialmente bajo. Con la reserva desincronizada del saldo real, el creador de mercado automatizado fijó mal el precio de DIP, y el atacante intercambió contra la curva manipulada para drenar unos 111.098 USDC del pool de liquidez.

Consecuencias

SlowMist señaló el incidente en una alerta de inteligencia de amenazas, cifrando la pérdida en 111.097,6 USDC. El fallo era un defecto inherente a la lógica de transferencia del contrato del token, no un compromiso de ninguna clave u oráculo; al momento de la publicación no se había reportado recuperación alguna.

Por qué importa

Un único return ausente es un ejemplo de manual de cómo los errores de contabilidad en contratos de token se convierten en primitivas de manipulación de precios de AMM en BNB Chain. El patrón de desincronización de reservas skim/sync es la misma clase de debilidad que vació PancakeBunny, BurgerSwap y Spartan Protocol años antes — prueba de que los pools de producto constante siguen siendo implacables con cualquier token cuyos saldos internos puedan divergir de las reservas registradas del par. Ocurrió dos días antes del estructuralmente similar drenaje por desincronización de minteo de Little Boy Plus.