TRA:黑客從不在假期休息：Transit Swap被攻擊，2000萬美元不翼而飛-ODAILY_SumSwap

北京時間10月2日凌晨02:33:47開始，數百個與TransitSwap互動的錢包先后被盜，隨后資產被轉移到一個攻擊者的外部擁有賬戶。目前資產損失已超過2000萬美元。

Lookonchain：BitKeep黑客將3600枚BNB交易為DAI，并部分轉入幣安:12月26日消息，據Lookonchain監測數據顯示，BitKeep黑客共盜取6,127,253枚BUSD、4,536枚BNB、216,011枚DAI，總價值超740萬美元。該黑客已將3600枚BNB交易為805,024枚DAI，并向幣安轉入10萬枚DAI。[2022/12/26 22:09:04]

此次攻擊，主要是針對那些已經批準TransitSwap&CrossApproveProxy合約的地址。

Meerkat事件更新：官方開發者稱為幫助用戶認識智能合約危險，邀請黑客進行攻擊:Meerkat Finance開發者表示，為了幫助用戶認識到智能合約的潛在危險，Meerkat邀請黑客攻擊漏洞，盜取超過7.3萬枚BNB和1400萬BUSD。開發者表示，這僅是一個實驗，Meerkat將做數據更新和實施智能合約支付用戶。[2021/3/6 18:21:14]

TransitSwap被稱為“跨鏈DEX聚合器”。開發者在注意到漏洞后暫停了合約，不過還是有49,815枚BNB和5,182枚ETH在合約暫停前就被從用戶的錢包中轉移了出來。

Uber前首席安全官因試圖掩蓋黑客攻擊并向黑客支付比特幣而被捕:金色財經報道，美國司法部今日宣布，Uber前首席安全官Joseph Sullivan涉嫌試圖掩蓋2016年的一次黑客攻擊。據悉，兩名黑客入侵了數百萬用戶和驅動程序的數據。兩名黑客通過電子郵件聯系了Sullivan，并要求支付六位數的費用以換取不公開此事。最終在2016年12月，Sullivan向黑客支付了10萬美元的比特幣。目前，他已被捕，并被指控妨礙司法公正及犯有重罪。[2020/8/21]

Skytrace追蹤

我們使用CertiKSkytrace來可視化攻擊者的錢包，可以很明顯地看出一些端倪:

使用Skytrace可視化攻擊者的錢包

事件經過

首先，攻擊者的EOA與大量的個人錢包進行了互動，說明攻擊者很可能濫用了TransitSwap&CrossApproveProxy合約中的一些漏洞，單獨消耗了數百個地址。

隨后，根據CertiKSkytrace的地址標簽，我們可以看到攻擊者已經開始將被盜資金轉移到BNB鏈上的TornadoCash。

攻擊者使用Multichain的跨鏈路由器將2000個被盜ETH從以太坊橋接到BNB鏈，而BNB鏈錢包目前有1,499枚ETH和49,612枚BNB。

TransitSwap在他們的推特頁面上發布了以下公告：

Tags：TRABNBTRANSSWAPDecentralized BankBNB代表什么TRANSPARENT價格SumSwap

非小號