Drain AMM du token DIP par return manquant

Le 16 juin 2026, le token DIP — présenté comme un actif utilitaire de l'écosystème Etherisc — a été exploité sur BNB Chain pour environ 111 000 dollars en USDC, après que la société de sécurité SlowMist a fait remonter la perte à une seule ligne de code manquante.

Ce qui s'est passé

Il manquait à la fonction _transfer() du token DIP une instruction return dans la branche qui traitait les échanges routés via le routeur PancakeSwap. Comme cette branche ne retournait pas mais se poursuivait, le contrat exécutait le mouvement de tokens deux fois pour les transferts passant par le routeur. L'attaquant a exploité cela en appelant skim(router) pour déclencher des transferts DIP doubles vers la paire, puis sync() pour forcer la réserve DIP enregistrée du pool à une valeur artificiellement basse. La réserve désynchronisée du solde réel, le teneur de marché automatisé a mal valorisé DIP, et l'attaquant a échangé contre la courbe manipulée pour drainer environ 111 098 USDC du pool de liquidité.

Conséquences

SlowMist a signalé l'incident dans une alerte de threat intelligence, chiffrant la perte à 111 097,6 USDC. La faille était un défaut intrinsèque à la logique de transfert du contrat du token, et non une compromission d'une clé ou d'un oracle ; aucune restitution n'avait été signalée à la publication.

Pourquoi c'est important

Un unique return absent est un exemple d'école de la manière dont les erreurs de comptabilité des contrats de token deviennent des primitives de manipulation de prix d'AMM sur BNB Chain. Le schéma de désynchronisation de réserves skim/sync est la même classe de faiblesse qui a vidé PancakeBunny, BurgerSwap et Spartan Protocol des années plus tôt — la preuve que les pools à produit constant restent impitoyables envers tout token dont les soldes internes peuvent diverger des réserves enregistrées de la paire. Cela s'est produit deux jours avant le drain par désynchronisation de mint, structurellement similaire, de Little Boy Plus.