主页 > 区块链 > bitpie官网首页|TokenPocket旗下多链DEX平台Transit遭骇至少1500万美元,已紧急暂停服务

bitpie官网首页|TokenPocket旗下多链DEX平台Transit遭骇至少1500万美元,已紧急暂停服务

佚名 区块链 2022年11月14日

中国钱包商 TokenPocket 旗下 DEX 产品 Transit,于 10/2 早晨公布被骇, 据资安公司 PeckShield 揭露可能是基于可组合性问题或是错置信任权限在兑换合约上,导致超过 1500 万美元的损失。资安公司慢雾分析结果显示,应是合约中的 transferFrom() 函数之地址与参数可控,而导致漏洞。目前已有七成资产返还。

(如果你有此类疑虑,请参考授权撤销网站 Revoke 相关文章) 

Transit 亦证实被骇客攻击的消息,技术团队已暂停服务,该合约也已暂停,无法执行任何操作。母公司 TokenPocket 则回应,将持续跟进状况,并于稍后公布详情。

稍早骇客盗取资金路径 (PeckShield 资讯):

资安公司慢雾:骇客遭抢先交易

资安公司慢雾发现,Transit 的骇客在 BNB Chain 传送 BUSD 时,遭到套利机器人抢先交易,因此获利 107 万美元的 BUSD。在多方协助下,骇客已将盗取的七成资金交还给 Transit 。慢雾也呼吁该套利机器人的持有者可以主动联繫 Transit 已降低损失。

总损失与归还状况

爆料媒体 Rekt 整理此事件资产流向:

返还 3180 个 ETH (420 万美元)。
返还 1500 个 BSC 链上的 ETH (200 万美元)。
返还 37000 BNB

截稿为止,骇客的 BSC 地址中还有 12,612 个 BNB ( 355 万美元)。Rekt 评论,此次事件在多方资安团队的迅速合作下,减少了用户损失。但这件事告诉人们,隐藏的合约代码 (封闭的合约代码),让人们无法自行查看是否有漏洞,就连白帽骇客也帮不上忙,开源才是最重要的。

 

标签: Transit   TokenPocket   PeckShield