中国钱包商TokenPocket 旗下DEX 产品Transit,于10/2 早晨公布被黑, 据资安公司PeckShield揭露可能是基于可组合性问题或是错置信任权限在兑换合约上,导致超过1500 万美元的损失。资安公司慢雾分析结果显示,应是合约中的transferFrom() 函数之地址与参数可控,而导致漏洞。目前已有七成资产返还。
(如果你有此类疑虑,请参考授权撤销网站Revoke相关文章)
Transit 亦证实被黑客攻击的消息,技术团队已暂停服务,该合约也已暂停,无法执行任何操作。母公司TokenPocket 则回应,将持续跟进状况,并于稍后公布详情。
稍早黑客盗取资金路径(PeckShield 资讯):
资安公司慢雾:黑客遭抢先交易
资安公司慢雾发现,Transit 的黑客在BNB Chain 传送BUSD 时,遭到套利机器人抢先交易,因此获利107 万美元的BUSD。在多方协助下,黑客已将盗取的七成资金交还给Transit 。慢雾也呼吁该套利机器人的持有者可以主动联系Transit 已降低损失。
总损失与归还状况
爆料媒体Rekt整理此事件资产流向:
返还3180 个ETH (420 万美元)。
返还1500 个BSC 链上的ETH (200 万美元)。
返还37000 BNB
截稿为止,黑客的BSC 地址中还有12,612 个BNB ( 355 万美元)。Rekt 评论,此次事件在多方资安团队的迅速合作下,减少了用户损失。但这件事告诉人们,隐藏的合约代码(封闭的合约代码),让人们无法自行查看是否有漏洞,就连白帽黑客也帮不上忙,开源才是最重要的。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。