ChainCatcher 消息，跨链 DEX 聚合器 Transit Swap 发推称，其 Transit Buy 已集成 Alchemy Pay，扩展对 Google Pay、Apple Pay 和更多无缝法定选项支持。官方表示，Alchemy Pay 的 Ramp 解决方案连接 fiat 和加密经济体，提供对 Web3 服务的直接访问。

ChainCatcher 消息，据 Beosin 旗下 EagleEye 安全风险监控、预警与阻断平台监测显示，Transit Finance 项目遭到攻击，Beosin 安全团队分析发现 Transit Finance 的 SwapRouter 中的 exactInputV3Swap 函数由于缺乏对 pool 输入合法校验，导致被攻击。以 0x93ae5...6de1081 交易为例，攻击者传入伪造的 pool 和 WBNB/BUSD 池子路径、从而在第一次兑换中控制了 actualAmountIn。导致 SwapRouter 将伪造的 actualAmountIn 作为在 WBNB/BUSD 池子中兑换的初始值，从而窃取了 SwapRouter 中的 BUSD。

ChainCatcher 消息，跨链聚合闪兑平台 Transit Swap 已正式重启，新合约完全开源，由慢雾科技完成合约安全审计，并推出最高 100 万美金的安全漏洞奖金。本次维护升级具体包含以下方面： 1）Transit Swap 在合约层面上优化用户授权，取消单独模块管理用户授权。 2）优化 Transit Swap 跨链桥交互，防止出现跨链桥内资金被恶意转移的情况。采用白名单机制，减少外部调用的权限。 3）全面升级 Transit Swap 合约，废除旧版本合约权限，新合约完全开源，由慢雾科技完成合约安全审计。 4）Transit Swap 网页端正式支持K线、资金池等交易内容展示，优化用户交易体验，帮助用户更全面分析交易数据，丰富交易信息。 5）Transit Swap 推出漏洞、安全赏金，为发现 Transit Swap 安全漏洞的用户或开发者提供最高100 万美金的奖励。同时，Transit Swap 推出Transit安全基金，将 Transit Swap 每月收入的 10% 注入安全基金，用于有效防范安全事件的发生。 据 ChainCatcher 此前报道，Transit Swap 于2022年10月2日被黑客盗取约2890万美金，后续Transit Swap 联合全球各安全团队为用户追回 2400 万美金，实际损失约 490 万美金，Transit Swap 官方已全额补偿给用户。据悉，在被黑客攻击前，Transit Swap 一度成为全球月活前四的聚合交易平台，月活用户数达 7 万以上。

ChainCatcher 消息，Transit Swap 官方消息，经过与白帽黑客#1 （最大黑客）的友好沟通，双方已达成共识。白帽黑客#1 表示将在今天内尽快归还用户的 6,500 BNB，并承诺当 Transit Swap 官方启动第二轮退款时再退还 3,500 BNB。最终白帽黑客#1 将保留 2,500 BNB作为本次事件的赏金。 Transit Swap 官方对白帽黑客#1 的退还行为表示感谢，并承诺如最终白帽黑客#1 按照约定退还剩余的3,500BNB，Transit Swap官方将不再追究其任何法律责任。同时，Transit Swap 官方呼吁攻击模仿者#3和#6 以及抢跑套利者#7 尽快与官方取得联系并退还剩余的用户资产，将在 10 月  12 日后，对未归还者正式启动司法程序，直至全部追回为止。（来源链接） 相关地址： Hacker#3（攻击模仿者） 0x87be7fa8ff8a945cb56158b7972036731c363c4c 0x99334c17a9b93c9bc729b88121edad68621b038c 0x16ff631fe296e04bc9e5dcf84ef6b816cab32dc3 Hacker#6（攻击模仿者） 0x6e6046851f6f44622538e8b836dcb00b042cc5ea 0x00000000050c19633e921bca8ca99523b7637d48 Hacker#7（抢跑套利者） 0x6c6b87d44d239b3750bf9badce26a9a0a3d2364e 0xfde0d1575ed8e06fbf36256bcdfa1f359281455a

链捕手消息，Transit Swap 现已开启了用户资产的第一部分退还工作（约68%），受该事件影响的用户可以前往退还网站进行申领，对于因个人原因泄露私钥、助记词的用户，Transit Swap团队将尽快协助其安全地退回资产。 在 BlockSec 的协助下，Hacker#4 攻击的所有资产已于昨天全部退回。今天，Hacker#2 以及 Hacker#5 已进行了部分资产的退还，由于该部分资产在第一次退还统计工作完成后才退还，因此该部分资产不计入本次退还中。 Transit Swap 官方再次呼吁所有相关黑客、模仿攻击者、抢跑套利者，尽快根据漏洞赏金及退还奖励与官方联系并退还用户资产。 Transit Swap 官方再次提醒各位用户，目前社区中已出现各种利用此次事件的诈骗行为，一切消息请以官方渠道为准，更不可将私钥、助记词分享给其他人，避免二次伤害。

链捕手消息，区块链安全机构慢雾 MistTrack 对 Transit Swap 事件资金转移进行跟进分析，分析显示攻击者转移到 Tornado Cash 的资金超过 600 万美元。分析如下： Hacker#1 攻击黑客（盗取最大资金黑客），获利金额：约 2410 万美元 1: 0x75F2...FFD46 2: 0xfa71...90fb 已归还超 1890 万美元的被盗资金；12,500 BNB 存款到 Tornado Cash；约 1400 万 MOONEY 代币和 67,709 DAI 代币转入 ShibaSwap: BONE Token 合约地址。 Hacker#2 套利机器人-1，获利金额：1,166,882.07 BUSD 0xcfb0...7ac7(BSC) 保留在获利地址中，未进一步转移。 Hacker#3 攻击模仿者-1，获利金额：356,690.71 USDT 0x87be...3c4c(BSC) USDT 通过 Synapse、PancakeSwap 和 1inch 等工具跨链或多次兑换其他代币。最终 10,005.3 USDC 存款到 Aztec；13,745.37 USDC 存款到 eXch；0.2626 BTC 使用 Wasabi Coinjoin 混币；0.462 BTC 存款到 FixedFloat；3,797.94 BUSD 存款到 ChangeNOW；1,125.2 BNB 存款到 Tornado Cash。 Hacker#4 套利机器人-2，获利金额：246,757.31 USDT 0x0000...4922(BSC) 已全部追回。 Hacker#5 套利机器人-3，获利金额：584,801.17 USDC 0xcc3d...ae7d(BSC) USDC 全部转移至新地址 0x8960...8525，后无进一步转移。 Hacker#6 攻击模仿者-2，获利金额：2,348,967.9 USDT 0x6e60...c5ea(BSC) USDT 通过 PancakeSwap、AnySwap(Multichain) 等工具跨链或多次兑换其他代币。最终 5,565.8 BNB 存款到 Tornado Cash；630.4 ETH 存款到 Tornado Cash。 Hacker#7 套利机器人

链捕手消息，据 Transit Swap 发推称，在区块链安全公司 BlockSec 的帮助下，第 4 位攻击者窃取的约 24.6 万美元已全部追回。 相关链上地址： 0x0000000038b8889b6ab9790e20FC16fdC5714922 ， 0x8ab713888ba2b70c7bd3f43aacb17731e9a1ec47 Transit Swap 继续呼吁其他相关黑客、攻击模仿者、抢跑套利者，在 10 月 8 日之前积极与团队进行沟通、协商(邮件地址：service@transit.finance）。（来源链接）

链捕手消息，Transit Swap 受攻击事件中的最大黑客通过链上回复 Transit Swap 团队，并表示愿意在 Transit Swap 团队退还第一笔资金后，与团队继续就剩余未退还的用户资产及漏洞赏金进行进一步沟通。Transit Swap 团队则回应当前会全力处理第一部分已退还的用户资产的退还工作，并与黑客进行协商与沟通。 同时，Transit Swap 团队呼吁其他相关黑客、攻击模仿者、抢跑套利者，积极与团队进行沟通(邮件地址：service@transit.finance）、协商。 （来源链接）

链捕手消息，去中心化交易协议 Transit Swap 公布被盗事件最新进展，表示愿意 100% 承担用户被盗的损失，将于 10 月 7 日先退还黑客已归还的资产给用户，用户查看和领取网址现已公布，剩余资产的退还计划将在后续的公告中公布。 同时，Transit Swap 官方进一步表示，希望所有参与该事件的黑客、攻击模仿者、抢跑套利者，根据漏洞赏金及退款奖励（相关金额的 5%）进行友好协商，并退回用户剩余的资产。此前该项目曾表示，盗取最大资金的黑客已归还超 1890 万美元的被盗资金，占其盗取金额  80% 以上，占总被盗金额约 65%。 截止 2022 年 10 月 8 日，Transit Swap 官方将视未退还用户资产的黑客、攻击模仿者、抢跑套利者为攻击者，并协助受损用户一起开启相关的法律程序，寻求执法机关的介入，直至找到攻击者并追缴所有被盗资金为止。

链捕手消息，根据 Transit Swap 官方公告，BSC 链新增 4 个获利地址，ETH 链新增 1 个获利地址，新增被盗资金 357 万美元，共计获利地址 8 个，被盗损失总计扩大至 2884 万美元。 慢雾 MistTrack 与 Transit Swap 团队协作分析后得出结论，新增 5 个获利地址中有 3 个是套利机器人，而另外 2 个则是攻击模仿者。截至目前，黑客已将超 8 成的被盗资产退还到 Transit Swap 项目方地址。 套利机器人获利地址： 1: 0xcfb0...7ac7(BSC) 获利金额：1,166,882.07 BUSD 2: 0x0000...4922(BSC) 获利金额：246,757.31 USDT 3: 0xcc3d...ae7d(BSC) 获利金额：584,801.17 USDC 4. 0x6C6B...364e(ETH) 获利金额：5,974.52 UNI、1,667.36 MANA 攻击模仿者获利地址： 1: 0x87be...3c4c(BSC) 获利金额：356,690.71 USDT 2: 0x6e60...c5ea(BSC) 获利金额：2,348,967.9 USDT （来源链接）

链捕手消息，Transit Finance 发推表示，截止目前，盗取最大资金的黑客（地址为 0x75F2...FD46 和 0xfa71...90fb）已归还超 1890 万美元的被盗资金，占总被盗资金约 83.6%。剩余被盗资金中的 12,500 BNB 被转移到 Tornado Cash，占总被盗资金约 15.7%。 链捕手此前报道，黑客昨日已将 70% 左右的被盗资产推到两个地址，Transit Finance 表示，为了确保资产，官方已将其转移到以太坊和 BSC 上的新地址，资金追踪在推进中。（来源链接）

链捕手消息，据 Transit Finance 发推表示，目前各方安全公司和项目团队仍在继续努力追踪被盗资产，并通过邮件（service@transit.finance）及链上方式与黑客沟通，团队将竭尽全力追回更多剩余资产。 链上沟通链接： https://bscscan.com/tx/0x7491671cfab5066d5a36299cf295e721611bae6ff61a847a32b11d1cf716c274 https://bscscan.com/tx/0x137a6a78dd8140892df18599a2f286856150b687fcb0cf84d82b6064d3c1343f https://bscscan.com/tx/0xd91e900e85727ac4c941f1b7a52fe4bee4752604a91a366f8293fe61a4dfcd00 此外，Transit Finance 还表示，关于用户损失退回：  1. 项目团队正在加急统计被盗用户的具体数据，并制定具体的退回方案。  2. 团队会继续追回黑客盗币剩余资产，并退回给损失用户。 早前，链捕手报道，Transit Finance 攻击者已退还约 70% 的被盗资产。（来源链接）

链捕手消息，据慢雾安全团队情报，Transit Swap 黑客转移用户 BSC 链 BUSD 资产时被套利机器人抢跑，区块高度为 21816885，获利 107 万 BUSD。 套利机器人相关地址列表如下： 0xa957...70d2 0x90b5...8ff4 0xcfb0...7ac7 截止到目前，黑客已将 70% 左右的被盗资产退还到 Transit Swap 开发者地址，建议套利机器人所属人同样通过 service@transit.finance 或链上地址与 Transit Swap 取得联系，共同将此次被盗事件的受害用户损失降低到最小。 相关交易地址：黑客失败交易；抢跑交易

链捕手消息， 据 Transit Finance 发推表示，黑客已将 70% 左右的被盗资产退回到以下两个地址。 以太坊链： 0xfab745c5ee6c59c09605a40464232930892ba48c 币安智能链： 0xfab745c5ee6c59c09605a40464232930892ba48c 此外，Transit Finance 还表示，为了确保资产安全，官方会将其转移到以太坊和 BSC 上的新地址： 0xD989f7B4320c6e69ceA3d914444c19AB67D3a35E 资金追踪事件仍在推进中，Transit Finance 将持续积极跟进相关进度并及时与社区同步。此外，Transit Finance 建议黑客通过 service@transit.finance 或官方的链上地址联系沟通。（来源链接）

链捕手消息，据慢雾安全团队情报，跨链 DEX 聚合器 Transit Swap 项目遭到攻击导致用户资产被非预期的转出。慢雾安全团队分析评估此次被盗资金规模超过 2300 万美元，黑客地址为 0x75F2...FD46 和 0xfa71...90fb。接着对此次攻击过程进行了分析： 1. 当用户在 Transit Swap 进行 swap 时，会先通过路由代理合约(0x8785bb...)根据不同的兑换类型选择不同的路由桥合约。随后路由桥合约(0x0B4727...)会通过权限管理合约(0xeD1afC...)的 claimTokens 函数将用户待兑换的代币转入路由桥合约中。因此在代币兑换前用户需要先对权限管理合约(0xeD1afC...)进行授权。 2. 而 claimTokens 函数是通过调用指定代币合约的 transferFrom 函数进行转账的。其接收的参数都由上层路由桥合约(0x0B4727...)传入，本身没有对这些参数进行任何限制只检查了调用者必须为路由代理合约或路由桥合约。 3. 路由桥合约(0x0B4727...)在接收到用户待兑换的代币后会调用兑换合约进行具体的兑换操作，但兑换合约的地址与具体的函数调用数据都由上层路由代理合约(0x8785bb...)传入，路由桥合约并未对解析后的兑换合约地址与调用数据进行检查。 4. 而代理合约(0x8785bb...)对路由桥合约(0x0B4727...)传入的参数也都来自于用户传入的参数。且代理合约(0x8785bb...)仅是确保了用户传入的 calldata 内各数据长度是否符合预期与所调用的路由桥合约是在白名单映射中的地址，未对 calldata 数据进行具体检查。 5. 因此攻击者利用路由代理合约、路由桥合约与权限管理合约均未对传入的数据进行检查的缺陷。通过路由代理合约传入构造后的数据调用路由桥合约的 callBytes 函数。callBytes 函数解析出攻击者指定的兑换合约与兑换数据，此时兑换合约被指定为权限管理合约地址，兑换数据被指定为调用 claimTokens 函数将指定用户的代币转入攻击者指定的地址中。实现了窃取所有对权限管理合约进行授权的用户的代币。 此次攻击的主要原因在于 Transit Swap 协议在进行代币兑换时并未对用户传入的数据进行严格检查，导致了任意外部调

链捕手消息，据派盾监测，黑客可能已经从 Uniswap、Pancake、Muticoin 等已知交易所进行了较早的提款，被盗资产流动情况如下图。（来源链接）

链捕手消息，加密钱包 Token Pocket 旗下闪兑交易 DEX Transit Swap 官方发布公告称，此前黑客攻击事件原因系代码错误，目前已确定黑客 IP、电子邮件地址，以及相关的链上地址。Transit Swap 团队表示将尽力追踪黑客，并尝试与黑客沟通，帮助用户挽回损失。 早前，链捕手报道，Transit Swap 官方表示遭遇黑客攻击，本次被盗资产或超过 2100 万美元。技术团队已紧急暂停服务，合约已经完全暂停，目前无法进行任何操作，没有新增被盗情况，团队和安全公司正在追踪链上相关数据，随后会对该事件进行更进一步的公告。（来源链接）

链捕手消息，跨链交易平台聚合器Transit Swap遭到黑客攻击，技术团队已经紧急暂停服务，合约已经完全暂停，目前无法进行任何操作，没有新增被盗情况。团队和安全公司正在追踪链上相关数据。 据估计，本次被盗资产超过2100万美元。黑客的账户地址是0x75f2aba6a44580d7be2c4e42885d4a1917bffd46，目前持有约410万美元的ETH和1600万美元的BNB。官方表示，建议使用过闪兑服务的用户去revoke.cash取消Transit Swap合约授权。