中国钱包商TokenPocket 旗下DEX 产品Transit，于10/2 早晨公布被黑， 据资安公司PeckShield揭露可能是基于可组合性问题或是错置信任权限在兑换合约上，导致超过1500 万美元的损失。资安公司慢雾分析结果显示，应是合约中的transferFrom() 函数之地址与参数可控，而导致漏洞。目前已有七成资产返还。

(如果你有此类疑虑，请参考授权撤销网站Revoke相关文章) 

Transit 亦证实被黑客攻击的消息，技术团队已暂停服务，该合约也已暂停，无法执行任何操作。母公司TokenPocket 则回应，将持续跟进状况，并于稍后公布详情。

稍早黑客盗取资金路径(PeckShield 资讯)：

资安公司慢雾：黑客遭抢先交易

资安公司慢雾发现，Transit 的黑客在BNB Chain 传送BUSD 时，遭到套利机器人抢先交易，因此获利107 万美元的BUSD。在多方协助下，黑客已将盗取的七成资金交还给Transit 。慢雾也呼吁该套利机器人的持有者可以主动联系Transit 已降低损失。

总损失与归还状况

爆料媒体Rekt整理此事件资产流向：

返还3180 个ETH (420 万美元)。
返还1500 个BSC 链上的ETH (200 万美元)。
返还37000 BNB

截稿为止，黑客的BSC 地址中还有12,612 个BNB ( 355 万美元)。Rekt 评论，此次事件在多方资安团队的迅速合作下，减少了用户损失。但这件事告诉人们，隐藏的合约代码(封闭的合约代码)，让人们无法自行查看是否有漏洞，就连白帽黑客也帮不上忙，开源才是最重要的。

本文链接地址：https://www.wwsww.cn/qianbao/13875.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。