TokenPocket旗下多鏈DEX平台Transit遭駭至少1500萬美元，已緊急暫停服務

2022/10/2

中國錢包商 TokenPocket 旗下 DEX 產品 Transit，於 10/2 早晨公布被駭，據資安公司 PeckShield 揭露可能是基於可組合性問題或是錯置信任權限在兌換合約上，導致超過 1500 萬美元的損失。資安公司慢霧分析結果顯示，應是合約中的 transferFrom() 函數之地址與參數可控，而導致漏洞。目前已有七成資產返還。

(如果你有此類疑慮，請參考授權撤銷網站 Revoke 相關文章)

Transit 亦證實被駭客攻擊的消息，技術團隊已暫停服務，該合約也已暫停，無法執行任何操作。母公司 TokenPocket 則回應，將持續跟進狀況，並於稍後公佈詳情。

廣告 - 內文未完請往下捲動

稍早駭客盜取資金路徑 (PeckShield 資訊)：

內容目錄

資安公司慢霧：駭客遭搶先交易

資安公司慢霧發現，Transit 的駭客在 BNB Chain 傳送 BUSD 時，遭到套利機器人搶先交易，因此獲利 107 萬美元的 BUSD。在多方協助下，駭客已將盜取的七成資金交還給 Transit 。慢霧也呼籲該套利機器人的持有者可以主動聯繫 Transit 已降低損失。

1/4 Transit Swap hacker was front-run by an arbitrage bot when he transferred BUSD assets from the user on the BSC chain, block height 21816885, and made a profit of 1.07 million $BUSD

— SlowMist (@SlowMist_Team) October 2, 2022