加密貨幣錢包 Token Pocket(TP錢包)旗下閃兌交易 DEX Transit Swap 今早遭遇駭客攻擊,導致 2000 萬美元損失。不過 Transit Swap 官方稍早宣布,在各方的共同努力下,駭客已經歸還約 70% 被盜資金,相關資金並已轉移至新地址,以確保資產安全。
(前情提要:TokenPocket(TP錢包)閃兌用 DEX Transit遭駭2,000萬鎂!又是合約無限授權惹的禍)
(背景補充:投資者必學工具》瀏覽器擴充Revoke — 撤銷可疑合約授權、釣魚網站警示)
加密貨幣錢包 Token Pocket 旗下閃兌交易 DEX Transit Swap 今日稍早遭遇駭客攻擊,導致用戶資金被非法從錢包中取出,區塊鏈安全公司 Certik 估計,損失約為 2000 萬美元,包括 49815 枚 BNB 、 5182 枚 ETH。
不過據 Etherscan 數據,駭客地址已在今日下午 1 時將 3180 枚 ETH 轉移至 0xfab745c5ee6c59c09605a40464232930892ba48c 地址,同時將 3,7000 枚 BNB 轉移至 0xfab745c5ee6c59c09605a40464232930892ba48c 。
Transit Swap 官方稍早發推證實,駭客已經歸還約 70% 被盜資金:
我們在此更新有關 Transit Finance 駭客事件的最新消息,在各方的共同努力下,駭客已將約 70% 的被盜資產歸還至以下兩個地址:
以太坊: 0xFab745c5ee6c59c09605a40464232930892ba48c
BNB 鏈:0xFab745c5ee6c59c09605a40464232930892ba48c
Transit Swap 官方進一步表示:
為了確保資產安全,我們將把相關資產分別在以太坊和 BNB Chain 上轉移至新地址: 0xD989f7B4320c6e69ceA3d91444c19AB67D3a35E
此次事件仍在進行中,我們將繼續跟進進展並及時向社群發布更新,感謝您的耐心等待。為了直接溝通,我們建議駭客通過 service@transit.finance 或我們的鏈上地址與我們聯繫。
4/5 This event is still undergoing and pushing, we will continue to follow up the progress and update the community in time, we appreciate your patience.
— Transit Swap | Transit Buy | NFT (@TransitFinance) October 2, 2022
小插曲:駭客遭鏈上套利機器人「搶跑」,107萬美元被擼走
值得注意的是,慢霧安全團隊指出,Transit Swap 駭客今早轉移使用者 BSC 鏈 BUSD 資產時,被套利機器人搶跑,區塊高度為 21816885 ,獲利 107 萬枚 BUSD。
此外,該資安公司也公布了套利機器人的錢包地址,分別為:
- 0xa957… .70d2
- 0x90b5…. .8ff4
- 0xcfb0… .7ac7
慢霧也呼籲,套利機器人所屬者,可通過 service@transit.finance 或鏈上地址與 Transit Swap 取得聯絡,共同將此次被盜事件的受害使用者損失降到最低。
1/4 Transit Swap hacker was front-run by an arbitrage bot when he transferred BUSD assets from the user on the BSC chain, block height 21816885, and made a profit of 1.07 million $BUSD
— SlowMist (@SlowMist_Team) October 2, 2022
其他相關的交易紀紀錄:
Hacked Failed Tx(駭客執行失敗的交易紀錄): https://bscscan.com/tx/0xe2a65456f14b8b42b17fecd1f365b55d87720d00c6f4d771d99b0f3ac6609fb8
Front-running Tx(搶跑的交易紀錄):
https://bscscan.com/tx/0x32922b1feb7cfc65fc73831b54ba8526345194a0c22558799a0512f94810fdd9
神魚促項目方規範使用授權功能
而在發生此駭客事故之後,中國區塊鏈行業大佬、魚池( F2Pool )共同創辦人神魚發推喊話:
呼籲一下項目方規範使用授權功能,用多少授權多少,不要無限授權,大家都放心;作為協議參與者,沒事取消取消授權,換換地址,防止被一窩端。
延伸閱讀:神魚神文:如何在幣圈從 1000 美元本金賺到 1 億美元?
📍相關報導📍
災情|Axie Infinity、Moonbirds、RTFKT …多個項目 Discord 遭駭客攻擊!