ChainCatcher 消息，跨鏈 DEX 聚合器 Transit Swap 發推稱，其 Transit Buy 已集成 Alchemy Pay，擴展對 Google Pay、Apple Pay 和更多無縫法定選項支持。官方表示，Alchemy Pay 的 Ramp 解決方案連接 fiat 和加密經濟體，提供對 Web3 服務的直接訪問。

ChainCatcher 消息，据 Beosin 旗下 EagleEye 安全風險監控、預警與阻斷平台監測顯示，Transit Finance 項目遭到攻擊，Beosin 安全團隊分析發現 Transit Finance 的 SwapRouter 中的 exactInputV3Swap 函數由於缺乏對 pool 輸入合法校驗，導致被攻擊。以 0x93ae5...6de1081 交易為例，攻擊者傳入偽造的 pool 和 WBNB/BUSD 池子路徑、從而在第一次兌換中控制了 actualAmountIn。導致 SwapRouter 將偽造的 actualAmountIn 作為在 WBNB/BUSD 池子中兌換的初始值，從而竊取了 SwapRouter 中的 BUSD。

ChainCatcher 消息，跨鏈聚合閃兌平台 Transit Swap 已正式重啟，新合約完全開源，由慢霧科技完成合約安全審計，並推出最高 100 萬美金的安全漏洞獎金。本次維護升級具體包含以下方面：1）Transit Swap 在合約層面上優化用戶授權，取消單獨模塊管理用戶授權。2）優化 Transit Swap 跨鏈橋交互，防止出現跨鏈橋內資金被惡意轉移的情況。採用白名單機制，減少外部調用的權限。3）全面升級 Transit Swap 合約，廢除舊版本合約權限，新合約完全開源，由慢霧科技完成合約安全審計。4）Transit Swap 網頁端正式支持K線、資金池等交易內容展示，優化用戶交易體驗，幫助用戶更全面分析交易數據，豐富交易信息。5）Transit Swap 推出漏洞、安全賞金，為發現 Transit Swap 安全漏洞的用戶或開發者提供最高100 萬美金的獎勵。同時，Transit Swap 推出Transit安全基金，將 Transit Swap 每月收入的 10% 注入安全基金，用於有效防範安全事件的發生。據 ChainCatcher 此前報導，Transit Swap 於2022年10月2日被黑客盜取約2890萬美金，後續Transit Swap 聯合全球各安全團隊為用戶追回 2400 萬美金，實際損失約 490 萬美金，Transit Swap 官方已全額補償給用戶。據悉，在被黑客攻擊前，Transit Swap 一度成為全球月活前四的聚合交易平台，月活用戶數達 7 萬以上。

ChainCatcher 消息，Transit Swap 官方消息，經過與白帽黑客#1 （最大黑客）的友好溝通，雙方已達成共識。白帽黑客#1 表示將在今天內儘快歸還用戶的 6,500 BNB，並承諾當 Transit Swap 官方啟動第二輪退款時再退還 3,500 BNB。最終白帽黑客#1 將保留 2,500 BNB作為本次事件的賞金。Transit Swap 官方對白帽黑客#1 的退還行為表示感謝，並承諾如最終白帽黑客#1 按照約定退還剩餘的3,500BNB，Transit Swap官方將不再追究其任何法律責任。同時，Transit Swap 官方呼籲攻擊模仿者#3和#6 以及搶跑套利者#7 儘快與官方取得聯繫並退還剩餘的用戶資產，將在 10 月 12 日後，對未歸還者正式啟動司法程序，直至全部追回為止。（來源鏈接）相關地址：Hacker#3（攻擊模仿者）0x87be7fa8ff8a945cb56158b7972036731c363c4c0x99334c17a9b93c9bc729b88121edad68621b038c0x16ff631fe296e04bc9e5dcf84ef6b816cab32dc3Hacker#6（攻擊模仿者）0x6e6046851f6f44622538e8b836dcb00b042cc5ea0x00000000050c19633e921bca8ca99523b7637d48Hacker#7（搶跑套利者）0x6c6b87d44d239b3750bf9badce26a9a0a3d2364e0xfde0d1575ed8e06fbf36256bcdfa1f359281455a

鏈捕手消息，Transit Swap 現已開啟了用戶資產的第一部分退還工作（約68%），受該事件影響的用戶可以前往退還網站進行申領，對於因個人原因洩露私鑰、助記詞的用戶，Transit Swap 團隊將儘快協助其安全地退回資產。在 BlockSec 的協助下，Hacker#4 攻擊的所有資產已於昨天全部退回。今天，Hacker#2 以及 Hacker#5 已進行了部分資產的退還，由於該部分資產在第一次退還統計工作完成後才退還，因此該部分資產不計入本次退還中。Transit Swap 官方再次呼籲所有相關黑客、模仿攻擊者、搶跑套利者，儘快根據漏洞賞金及退還獎勵與官方聯繫並退還用戶資產。Transit Swap 官方再次提醒各位用戶，目前社區中已出現各種利用此次事件的詐騙行為，一切消息請以官方渠道為準，更不可將私鑰、助記詞分享給其他人，避免二次傷害。

鏈捕手消息，區塊鏈安全機構慢霧 MistTrack 對 Transit Swap 事件資金轉移進行跟進分析，分析顯示攻擊者轉移到 Tornado Cash 的資金超過 600 萬美元。分析如下：Hacker#1 攻擊黑客（盜取最大資金黑客），獲利金額：約 2410 萬美元1: 0x75F2...FFD462: 0xfa71...90fb已歸還超 1890 萬美元的被盜資金；12,500 BNB 存款到 Tornado Cash；約 1400 萬 MOONEY 代幣和 67,709 DAI 代幣轉入 ShibaSwap: BONE Token 合約地址。Hacker#2 套利機器人-1，獲利金額：1,166,882.07 BUSD0xcfb0...7ac7(BSC)保留在獲利地址中，未進一步轉移。Hacker#3 攻擊模仿者-1，獲利金額：356,690.71 USDT0x87be...3c4c(BSC)USDT 通過 Synapse、PancakeSwap 和 1inch 等工具跨鏈或多次兌換其他代幣。最終 10,005.3 USDC 存款到 Aztec；13,745.37 USDC 存款到 eXch；0.2626 BTC 使用 Wasabi Coinjoin 混幣；0.462 BTC 存款到 FixedFloat；3,797.94 BUSD 存款到 ChangeNOW；1,125.2 BNB 存款到 Tornado Cash。Hacker#4 套利機器人-2，獲利金額：246,757.31 USDT0x0000...4922(BSC)已全部追回。Hacker#5 套利機器人-3，獲利金額：584,801.17 USDC0xcc3d...ae7d(BSC)USDC 全部轉移至新地址 0x8960...8525，後無進一步轉移。Hacker#6 攻擊模仿者-2，獲利金額：2,348,967.9 USDT0x6e60...c5ea(BSC)USDT 通過 PancakeSwap、AnySwap(Multichain) 等工具跨鏈或多次兌換其他代幣。最終 5,565.8 BNB 存款到 Tornado Cash；630.4 ETH 存款到 Tornado Cash。Hacker#7 套利機器人-4，獲利金額：5,974.52 UNI、1,667.36 MANA0x6C6B...364e(ETH)通過 Uniswap 兌換為 30.17 ETH，其中 0.71 支付給 Flashbots，剩餘 ETH 未進一步轉移。慢霧 MistTrack 將持續跟進此次事件，對相關地址進行監控以及進一步的黑客畫像分析。

鏈捕手消息，据 Transit Swap 發推稱，在區塊鏈安全公司 BlockSec 的幫助下，第 4 位攻擊者竊取的約 24.6 萬美元已全部追回。相關鏈上地址：0x0000000038b8889b6ab9790e20FC16fdC5714922 ， 0x8ab713888ba2b70c7bd3f43aacb17731e9a1ec47Transit Swap 繼續呼籲其他相關黑客、攻擊模仿者、搶跑套利者，在 10 月 8 日之前積極與團隊進行溝通、協商(郵件地址：service@transit.finance）。（來源鏈接）

鏈捕手消息，Transit Swap 受攻擊事件中的最大黑客通過鏈上回覆 Transit Swap 團隊，並表示願意在 Transit Swap 團隊退還第一筆資金後，與團隊繼續就剩餘未退還的用戶資產及漏洞賞金進行進一步溝通。Transit Swap 團隊則回應當前會全力處理第一部分已退還的用戶資產的退還工作，並與黑客進行協商與溝通。同時，Transit Swap 團隊呼籲其他相關黑客、攻擊模仿者、搶跑套利者，積極與團隊進行溝通(郵件地址：service@transit.finance）、協商。 （來源鏈接）

鏈捕手消息，去中心化交易協議 Transit Swap 公布被盜事件最新進展，表示願意 100% 承擔用戶被盜的損失，將於 10 月 7 日先退還黑客已歸還的資產給用戶，用戶查看和領取網址現已公布，剩餘資產的退還計劃將在後續的公告中公布。同時，Transit Swap 官方進一步表示，希望所有參與該事件的黑客、攻擊模仿者、搶跑套利者，根據漏洞賞金及退款獎勵（相關金額的 5%）進行友好協商，並退回用戶剩餘的資產。此前該項目曾表示，盜取最大資金的黑客已歸還超 1890 萬美元的被盜資金，占其盜取金額 80% 以上，占總被盜金額約 65%。截止 2022 年 10 月 8 日，Transit Swap 官方將視未退還用戶資產的黑客、攻擊模仿者、搶跑套利者為攻擊者，並協助受損用戶一起開啟相關的法律程序，尋求執法機關的介入，直至找到攻擊者並追繳所有被盜資金為止。

鏈捕手消息，根據 Transit Swap 官方公告，BSC 鏈新增 4 個獲利地址，ETH 鏈新增 1 個獲利地址，新增被盜資金 357 萬美元，共計獲利地址 8 個，被盜損失總計擴大至 2884 萬美元。慢霧 MistTrack 與 Transit Swap 團隊協作分析後得出結論，新增 5 個獲利地址中有 3 個是套利機器人，而另外 2 個則是攻擊模仿者。截至目前，黑客已將超 8 成的被盜資產退還到 Transit Swap 項目方地址。套利機器人獲利地址：1: 0xcfb0...7ac7(BSC) 獲利金額：1,166,882.07 BUSD2: 0x0000...4922(BSC) 獲利金額：246,757.31 USDT3: 0xcc3d...ae7d(BSC) 獲利金額：584,801.17 USDC4. 0x6C6B...364e(ETH) 獲利金額：5,974.52 UNI、1,667.36 MANA攻擊模仿者獲利地址：1: 0x87be...3c4c(BSC) 獲利金額：356,690.71 USDT2: 0x6e60...c5ea(BSC) 獲利金額：2,348,967.9 USDT（來源鏈接）

鏈捕手消息，Transit Finance 發推表示，截止目前，盜取最大資金的黑客（地址為 0x75F2...FD46 和 0xfa71...90fb）已歸還超 1890 萬美元的被盜資金，占總被盜資金約 83.6%。剩餘被盜資金中的 12,500 BNB 被轉移到 Tornado Cash，占總被盜資金約 15.7%。鏈捕手此前報導，黑客昨日已將 70% 左右的被盜資產推到兩個地址，Transit Finance 表示，為了確保資產，官方已將其轉移到以太坊和 BSC 上的新地址，資金追蹤在推進中。（來源鏈接）

鏈捕手消息，据 Transit Finance 發推表示，目前各方安全公司和項目團隊仍在繼續努力追蹤被盜資產，並通過郵件（service@transit.finance）及鏈上方式與黑客溝通，團隊將竭盡全力追回更多剩餘資產。鏈上溝通鏈接：https://bscscan.com/tx/0x7491671cfab5066d5a36299cf295e721611bae6ff61a847a32b11d1cf716c274https://bscscan.com/tx/0x137a6a78dd8140892df18599a2f286856150b687fcb0cf84d82b6064d3c1343fhttps://bscscan.com/tx/0xd91e900e85727ac4c941f1b7a52fe4bee4752604a91a366f8293fe61a4dfcd00此外，Transit Finance 還表示，關於用戶損失退回：項目團隊正在加急統計被盜用戶的具體數據，並制定具體的退回方案。團隊會繼續追回黑客盜幣剩餘資產，並退回給損失用戶。早前，鏈捕手報導，Transit Finance 攻擊者已退還約 70% 的被盜資產。（來源鏈接）

鏈捕手消息，据慢霧安全團隊情報，Transit Swap 黑客轉移用戶 BSC 鏈 BUSD 資產時被套利機器人搶跑，區塊高度為 21816885，獲利 107 萬 BUSD。套利機器人相關地址列表如下：0xa957...70d20x90b5...8ff40xcfb0...7ac7截止到目前，黑客已將 70% 左右的被盜資產退還到 Transit Swap 開發者地址，建議套利機器人所屬人同樣通過 service@transit.finance 或鏈上地址與 Transit Swap 取得聯繫，共同將此次被盜事件的受害用戶損失降低到最小。相關交易地址：黑客失敗交易；搶跑交易

鏈捕手消息， 據 Transit Finance 發推表示，黑客已將 70% 左右的被盜資產退回到以下兩個地址。以太坊鏈：0xfab745c5ee6c59c09605a40464232930892ba48c幣安智能鏈：0xfab745c5ee6c59c09605a40464232930892ba48c此外，Transit Finance 還表示，為了確保資產安全，官方會將其轉移到以太坊和 BSC 上的新地址：0xD989f7B4320c6e69ceA3d914444c19AB67D3a35E資金追蹤事件仍在推進中，Transit Finance 將持續積極跟進相關進度並及時與社區同步。此外，Transit Finance 建議黑客通過 service@transit.finance 或官方的鏈上地址聯繫溝通。（來源鏈接）

鏈捕手消息，据慢霧安全團隊情報，跨鏈 DEX 聚合器 Transit Swap 項目遭到攻擊導致用戶資產被非預期的轉出。慢霧安全團隊分析評估此次被盜資金規模超過 2300 萬美元，黑客地址為 0x75F2...FD46 和 0xfa71...90fb。接著對此次攻擊過程進行了分析：當用戶在 Transit Swap 進行 swap 時，會先通過路由代理合約(0x8785bb...)根據不同的兌換類型選擇不同的路由橋合約。隨後路由橋合約(0x0B4727...)會通過權限管理合約(0xeD1afC...)的 claimTokens 函數將用戶待兌換的代幣轉入路由橋合約中。因此在代幣兌換前用戶需要先對權限管理合約(0xeD1afC...)進行授權。而 claimTokens 函數是通過調用指定代幣合約的 transferFrom 函數進行轉帳的。其接收的參數都由上層路由橋合約(0x0B4727...)傳入，本身沒有對這些參數進行任何限制只檢查了調用者必須為路由代理合約或路由橋合約。路由橋合約(0x0B4727...)在接收到用戶待兌換的代幣後會調用兌換合約進行具體的兌換操作，但兌換合約的地址與具體的函數調用數據都由上層路由代理合約(0x8785bb...)傳入，路由橋合約並未對解析後的兌換合約地址與調用數據進行檢查。而代理合約(0x8785bb...)對路由橋合約(0x0B4727...)傳入的參數也都來自於用戶傳入的參數。且代理合約(0x8785bb...)僅是確保了用戶傳入的 calldata 內各數據長度是否符合預期與所調用的路由橋合約是在白名單映射中的地址，未對 calldata 數據進行具體檢查。因此攻擊者利用路由代理合約、路由橋合約與權限管理合約均未對傳入的數據進行檢查的缺陷。通過路由代理合約傳入構造後的數據調用路由橋合約的 callBytes 函數。callBytes 函數解析出攻擊者指定的兌換合約與兌換數據，此時兌換合約被指定為權限管理合約地址，兌換數據被指定為調用 claimTokens 函數將指定用戶的代幣轉入攻擊者指定的地址中。實現了竊取所有對權限管理合約進行授權的用戶的代幣。此次攻擊的主要原因在於 Transit Swap 協議在進行代幣兌換時並未對用戶傳入的數據進行嚴格檢查，導致了任意外部調用的問題。攻擊者利用此任意外部調用問題竊取了用戶對 Transit Swap 授權的代幣。截止到目前，黑客已將 2,500 BNB 轉移到 Tornado Cash，剩餘資金分散保留在黑客地址中。經過黑客痕跡分析發現，黑客存在從 LATOKEN 等平台存提款的痕跡。慢霧 MistTrack 將持續跟進被盜資金的轉移以及黑客痕跡的分析。（來源鏈接）

鏈捕手消息，据派盾監測，黑客可能已經從 Uniswap、Pancake、Muticoin 等已知交易所進行了較早的提款，被盜資產流動情況如下圖。（來源鏈接）

鏈捕手消息，加密錢包 Token Pocket 旗下閃兌交易 DEX Transit Swap 官方發布公告稱，此前黑客攻擊事件原因系代碼錯誤，目前已確定黑客 IP、電子郵件地址，以及相關的鏈上地址。Transit Swap 團隊表示將盡力追蹤黑客，並嘗試與黑客溝通，幫助用戶挽回損失。早前，鏈捕手報導，Transit Swap 官方表示遭遇黑客攻擊，本次被盜資產或超過 2100 萬美元。技術團隊已緊急暫停服務，合約已經完全暫停，目前無法進行任何操作，沒有新增被盜情況，團隊和安全公司正在追蹤鏈上相關數據，隨後會對該事件進行更進一步的公告。（來源鏈接）

鏈捕手消息，跨鏈交易平台聚合器Transit Swap遭到黑客攻擊，技術團隊已經緊急暫停服務，合約已經完全暫停，目前無法進行任何操作，沒有新增被盜情況。團隊和安全公司正在追蹤鏈上相關數據。據估計，本次被盜資產超過2100萬美元。黑客的賬戶地址是0x75f2aba6a44580d7be2c4e42885d4a1917bffd46，目前持有約410萬美元的ETH和1600萬美元的BNB。官方表示，建議使用過閃兌服務的用戶去revoke.cash取消Transit Swap合約授權。