中國錢包商 TokenPocket 旗下 DEX 產品 Transit,於 10/2 早晨公布被駭, 據資安公司 PeckShield 揭露可能是基於可組合性問題或是錯置信任權限在兌換合約上,導致超過 1500 萬美元的損失。資安公司慢霧分析結果顯示,應是合約中的 transferFrom() 函數之地址與參數可控,而導致漏洞。目前已有七成資產返還。
(如果你有此類疑慮,請參考授權撤銷網站 Revoke 相關文章)
Transit 亦證實被駭客攻擊的消息,技術團隊已暫停服務,該合約也已暫停,無法執行任何操作。母公司 TokenPocket 則回應,將持續跟進狀況,並於稍後公佈詳情。
稍早駭客盜取資金路徑 (PeckShield 資訊):
資安公司慢霧:駭客遭搶先交易
資安公司慢霧發現,Transit 的駭客在 bnb chain 傳送 BUSD 時,遭到套利機器人搶先交易,因此獲利 107 萬美元的 BUSD。在多方協助下,駭客已將盜取的七成資金交還給 Transit 。慢霧也呼籲該套利機器人的持有者可以主動聯繫 Transit 已降低損失。
1/4 Transit Swap hacker was front-run by an arbitrage bot when he transferred BUSD assets from the user on the BSC chain, block height 21816885, and made a profit of 1.07 million $BUSD
— SlowMist (@SlowMist_Team) October 2, 2022
總損失與歸還狀況
爆料媒體 Rekt 整理此事件資產流向:
返還 3180 個 eth (420 萬美元)。
返還 1500 個 BSC 鏈上的 ETH (200 萬美元)。
返還 37000 BNB
截稿為止,駭客的 BSC 地址中還有 12,612 個 BNB ( 355 萬美元)。Rekt 評論,此次事件在多方資安團隊的迅速合作下,減少了用戶損失。但這件事告訴人們,隱藏的合約代碼 (封閉的合約代碼),讓人們無法自行查看是否有漏洞,就連白帽駭客也幫不上忙,開源才是最重要的。
本文轉自網路,如有侵權請來信告知,本網站不代表任何投資建議,僅提供資訊,若用戶有任何投資相關行為皆與本站無關
本網站所載的任何資訊均不構成投資建議,投資有賺有賠,投資人應獨立判斷,審慎投資,自負風險
