中国钱包商 TokenPocket 旗下 DEX 产品 Transit，于 10/2 早晨公布被骇， 据资安公司 PeckShield 揭露可能是基于可组合性问题或是错置信任权限在兑换合约上，导致超过 1500 万美元的损失。资安公司慢雾分析结果显示，应是合约中的 transferFrom() 函数之地址与参数可控，而导致漏洞。目前已有七成资产返还。

(如果你有此类疑虑，请参考授权撤销网站 Revoke 相关文章) 

Transit 亦证实被骇客攻击的消息，技术团队已暂停服务，该合约也已暂停，无法执行任何操作。母公司 TokenPocket 则回应，将持续跟进状况，并于稍后公布详情。

稍早骇客盗取资金路径 (PeckShield 资讯)：

资安公司慢雾：骇客遭抢先交易

资安公司慢雾发现，Transit 的骇客在 BNB Chain 传送 BUSD 时，遭到套利机器人抢先交易，因此获利 107 万美元的 BUSD。在多方协助下，骇客已将盗取的七成资金交还给 Transit 。慢雾也呼吁该套利机器人的持有者可以主动联繫 Transit 已降低损失。

1/4 Transit Swap hacker was front-run by an arbitrage bot when he transferred BUSD assets from the user on the BSC chain, block height 21816885, and made a profit of 1.07 million $BUSD

— SlowMist (@SlowMist_Team) October 2, 2022

总损失与归还状况

爆料媒体 Rekt 整理此事件资产流向：

返还 3180 个 ETH (420 万美元)。
返还 1500 个 BSC 链上的 ETH (200 万美元)。
返还 37000 BNB

截稿为止，骇客的 BSC 地址中还有 12,612 个 BNB ( 355 万美元)。Rekt 评论，此次事件在多方资安团队的迅速合作下，减少了用户损失。但这件事告诉人们，隐藏的合约代码 (封闭的合约代码)，让人们无法自行查看是否有漏洞，就连白帽骇客也帮不上忙，开源才是最重要的。