Fallo en el código del token DIP drena 111.000 USD mediante un exploit del router de Pancakeswap

Slowmist informó una vulnerabilidad de código en el token DIP que drenó 111,097.6 USDC debido a una sentencia return faltante en la función de transferencia del token. El fallo permitió transferencias dobles cuando las operaciones se enroutaban a través del router de Pancakeswap, lo que habilitó que un atacante manipulase el precio del creador de mercado automatizado y drenase el pool de liquidez. El incidente se suma a más de 2,150 exploits registrados por Slowmist en 2026, un año en el que los protocolos DeFi han perdido más de $1 mil millones por hacks y fallos a nivel de código.

Falta de sentencia return habilitó dobles transferencias del token DIP

Slowmist marcó el incidente en una alerta de inteligencia de amenazas, fijando la pérdida en 111,097.6 USDC. La firma indicó que la función "_transfer()" del token DIP carecía de una sentencia "return" en la rama que gestiona las operaciones enroutadas a través del router de Pancakeswap. Slowmist declaró: "El atacante explotó esto llamando a skim(router) para activar dobles transferencias de DIP y luego sync() para establecer la reserva de DIP en un valor extremadamente bajo, manipulando el precio del AMM para drenar el pool."

Slowmist no nombró al atacante ni dijo si los fondos robados pudieron recuperarse.

Los exchanges descentralizados como Pancakeswap dependen de contratos de router automatizados para mover tokens entre traders y pools de liquidez. En el caso de DIP, la falta de "return" significó que el código que debería haberse detenido tras una sola transferencia se ejecutó una segunda vez. Cada operación que tocó el router pagó dos veces, drenando USDC del pool.

El bug no requirió flash loan, manipulación de oráculos ni una clave robada. Los tokens con conciencia del router y con cobro de comisiones por transferencia son comunes en cadenas vinculadas a Binance, donde los proyectos añaden comportamientos extra sobre plantillas estándar de tokens.

Slowmist registra el exploit de DIP entre más de 2,150 incidentes de 2026

La base de datos pública de hacks de Slowmist ha registrado más de 2,150 incidentes y aproximadamente $37.8 mil millones en pérdidas acumuladas. El rastreador registró una pérdida de $105,000 en Thetanuts Finance y un exploit de Aztec Connect por $2.1 millones en los días recientes.

Los fallos de contratos inteligentes han impulsado gran parte del daño del año, con protocolos DeFi que han perdido más de $1 mil millones por hacks y exploits al cierre del mes pasado. Slowmist atribuyó el drenaje de Aztec Connect a un contrato obsoleto y fijó un robo de $174,570 en Grok-Bankr a un agente de IA que fue engañado para que aprobara una transferencia.

Bitcoin.com News informó antes en el año que Zetachain pausó su mainnet después de que Slowmist identificara falta de control de acceso en su contrato GatewayZEVM.

FAQ

¿Qué causó que el token DIP perdiera $111,000 en USDC?
Slowmist reportó que una sentencia return faltante en la función "_transfer()" del token DIP permitió dobles transferencias cuando las operaciones se enroutaron a través del router de Pancakeswap, drenando 111,097.6 USDC del pool de liquidez.

¿Cuántos exploits DeFi ha registrado Slowmist en 2026?
La base de datos pública de hacks de Slowmist ha registrado más de 2,150 incidentes en 2026, con pérdidas acumuladas que totalizan aproximadamente $37.8 mil millones en todos los exploits registrados.