合约授权的风险：Transit Swap 被盗约2100万美元事件分析

2022年10月2日，据成都链安鹰眼-区块链安全态势感知平台舆情监测显示，Transit Swap 项目遭受攻击，被盗约2100万美元。关于本次事件，成都链安安全团队第一时间进行了分析。

首先在今早发现被盗后，Transit Swap 技术团队紧急暂停服务，无法进行任何操作，很多用户也在社交平台纷纷表示自己钱包的资产被盗。

据悉，本次事件的主角Transit Swap是某加密钱包下的闪兑交易平台。

24小时BTC合约大单成交2.45亿美元 现货大单成交4亿美元:据合约帝大单成交数据显示，最近24小时BTC合约大单成交2.45亿美元，其中买单4965万美元，卖单1.96亿美元；BTC现货大单成交4亿美元，其中买单2.21亿美元，卖单1.78亿美元。[2021/3/31 19:32:30]

首先我们需要知道什么是闪兑？

很多加密钱包出了闪兑功能，之所以叫这个名字主要就是因为不同数字货币之间的交易速度很快，因为闪兑不需要像交易所那样来撮合买方和卖方之间的订单，闪兑更像是柜台交易，就像去银行拿美元兑换人民币，在汇率已知的情况下，给多少美元，银行就会根据汇率兑换给你相应数量的人民币。

当前BTC全网合约持仓总量94.76亿美元 24小时增加0.81亿美元:据合约帝持仓报告显示，当前全网合约持仓总量为94.76亿美元，24小时增加0.81亿美元。其中，Huobi合约17.59亿美元，24小时减少1.51%；OKEx合约23.61亿美元，24小时减少0.14%；BitMEX合约8.16亿美元，24小时增加6.70%；Binance合约18.45亿美元，24小时减少0.92%；Bybit合约26.68亿美元，24小时增加1.99%。[2021/3/17 18:53:22]

闪兑除了兑换交易速度快之外，还有一些其他的功能，这也是很多用户使用它的原因。

现场丨加州伯克利大学教授：目前智能合约安全主要还在应用层:金色财经现场报道，6月26日在圣何塞会议中心举行的Blockchain Connect会议上，加州伯克利大学教授， Oasis创始人兼CEO Dawn Song表示：“当讨论安全的时候，要注意安全的不同层面。是链的安全、交易所的安全还是智能合约的安全？目前来看应用层面的安全是智能合约安全的主要的方面，但很多应用方面的问题我们之前已经遇到过了，我们也已经积累了很多技术去解决这种安全问题，应该了解到真正需要解决的问题，然后找到对应的解决方式。”[2018/6/27]

下面，我们回到本次事件技术层面来分析。

BSC链上的攻击交易：

CFTC外汇持仓周报：本周CBOE比特币期货净空头头寸减少350手合约:据CFTC外汇持仓周报，至6月19日当周，CBOE比特币期货净空头头寸减少350手合约，至1595手合约。[2018/6/23]

https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189

以太坊上的攻击交易：

https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7

用户进行swap兑换时，正常流程是先通过Transit Cross Router v3合约选择路由合约，随后通过Transit Swap&Cross Approve Proxy合约进行权限验证后，调用claimTokens函数将用户兑换的token转入路由合约中。而Transit Swap 合约实现时，上述三个合约均未对用户输入数据进行正确的验证，导致攻击者可以构造出任意指定的兑换数据calldata，其中可以将授权过的用户的代币转入攻击者指定的任意地址之中。

这个合约未对下面的calldata进行验证，解析后为下图的input，里面指定了收款人为攻击者地址。

攻击者就通过这种方式，共获利约2100万美元。随后将资金归集到获利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46，

但是项目方依然没有放弃，随后Transit Swap 官方发布公告称，目前已确定黑客 IP、电子邮件地址，以及相关的链上地址。Transit Swap 团队表示将尽力追踪黑客，并尝试与黑客沟通，帮助用户挽回损失。

随着事件的影响力扩大，攻击者似乎也知道真实身份难保。也可能是被项目方“感化”，这位攻击者决定退回盗取的资产。

截止发稿前，目前攻击者已将BNB链上的37,000 BNB 和1500 ETH，以太坊上的3,180 ETH归还给项目方。2500 BNB被转移到Tornado.Cash，剩余的12,612 BNB仍在攻击者地址上，价值约356万美元。成都链安链必追-虚拟货币案件智能研判平台正在对被盗资金进行实时追踪。

从本次事件，我们可以看到，合约授权依然潜藏着诸多风险。

来源：成都链安

财经法学

金色早8点

链捕手

PANews

Bress

Odaily星球日报

区块律动BlockBeats

标签：TRAANSSWAPNSIXTRA TokenYearn Loans FinanceBullSwapSIMPSONSINU

比特币价格热门资讯