钱包授权存在安全风险，TP闪兑服务商Transit Swap被盗超2100万美元

10月2日，加密钱包Token旗下的跨链去中心化聚合器（DEX）Swap因互换合约内部漏洞被黑客利用，造成超过2100万美元的损失。

盗窃事件发生后，Swap 发表声明称，“我们深表歉意”。 “我们现在掌握了很多有效信息，比如黑客的IP、电子邮件地址以及相关的链上地址。我们将尽更大努力追踪黑客，并尽力与黑客沟通，帮助大家挽回损失。”

如果你不懂币圈或者对山寨币不确定，如果你也想穿越牛熊市，看着别人在熊市中沉入谷底，让你的收入翻倍，摆脱束缚牛市和熊市，那就关注公众号；枯藤老树新芽，回复1、加入裙聊，不收费，了解行情，加入我们的交流，探讨更多币圈致富之道。欢迎私信，有问题都会解答。

区块链安全机构和其他调查人员，包括、、和，加入了追捕黑客的行列。派盾分享了被盗资产的流向，这表明黑客可能已经从其他交易所提取了资金。

目前，黑客已将被盗资金转移至Cash（以太坊链上的匿名转移协议）。通过将用户的资金集中到混合器中，转账地址之间的链接路径无法被查询，从而保护用户的转账隐私。），剩余资金分散并保留在黑客地址中。

钱包授权存在安全风险

由于Swap是钱包闪兑服务提供商，这意味着授权用户有可能在不知情的情况下将钱包“重置”为零。

慢雾分析认为，此次攻击的主要原因是Swap协议在进行代币兑换时没有严格检查用户传入的数据，导致出现任意外部调用的问题。具体来说，路由合约本身不对参数施加任何限制，也不检查解析后的交换合约地址和调用数据。攻击者利用了路由代理合约、路由桥合约和权限管理合约不检查传入数据的缺陷。攻击者通过路由代理合约传入构造的数据，调用路由桥接合约的函数，从而窃取所有权限管理权限。合约授权用户的token。

什么是“快换”服务？与买家和卖家之间撮合订单的交易所不同，闪兑更像是24小时的场外交易，是通过智能合约实现的去中心化货币兑换系统。用户通过简单的授权操作就可以兑换不同的代币。

官方的介绍是这样的：

添加所需代币后，您只需在列表中选择添加的代币和兑换目标代币，设置数量并点击“授权”即可进行聚合和闪兑。

这就是安全风险产生的地方。一旦用户授权，智能合约就有能力转移用户的加密资产。

()允许另一个账户（可以是普通个人账户或智能合约账户）在不通知用户的情况下使用用户的部分资产。它允许持有Token的用户通过调用方法来授权指定账户拥有一定数量的资金，赋予该账户在资金数额内自由使用Token的权力。如果授权给恶意账户，授权资产将面临巨大风险。

盗窃事件发生后，安全公司派盾表示tp服务商是什么意思，Swap合约疑似存在信任错误，黑客收取资金的地址为：

这意味着如果BSC钱包授权了该地址，则存在被盗的风险。建议用户立即取消BNB链和以太坊链上的合约授权。

如果用户操作了下图中的“无限授权”次数的授权，则意味着对方可以在用户不知情的情况下将某些资产全部转移走。因此，应谨慎使用无限制授权，而应使用有限授权。每次操作使用多少，授权多少，比如手动将金额改为10。

神鱼也在社交媒体发文，呼吁项目方规范授权功能的使用，需要多少就授权多少。请勿无限次授权。大家可以放心。作为协议参与者，您可以取消授权并更改地址，防止被骗。结尾。

取消钱包授权

麻烦的是，虽然用户可以手动修改授权金额，但以太坊本身并不支持“取消授权”。

关于Swap被盗事件的后续，根据慢雾安全团队的信息，Swap黑客在转移用户的BSC链BUSD资产时，被套利机器人抢劫。区块高度为107万BUSD。套利机器人相关地址列表如下：...70d2;...8ff4;...7ac7;

截至目前，在各方共同努力下，黑客已将约70%的被盗资产返还至Swap开发者地址。慢雾建议套利机器人主也通过@联系Swap。或链上地址，共同努力将本次盗窃事件中受害用户的损失降到更低。

六个月前，慢雾科技创始人于贤写了一本《区块链黑暗森林自助手册》。

文章写道，区块链是一项伟大的发明，带来了某些生产关系的变化，部分解决了“信任”的宝贵问题。这已经是很少见了。不需要集中化或第三方角色。有些“信任”基于区块链可以很好的解决。不可篡改，按协议执行，防抵赖。然而现实是残酷的，人们对区块链的认识存在很多误区。这些误区，导致不法分子很容易钻空子，频繁地伸入人们的钱包，造成大量的经济损失。这里已经是一片黑暗的森林了。

意思是，区块链技术的诞生让我们认为代码可以解决信任问题，没有人可以轻易从我们钱包里拿走资产。但现阶段情况并非如此。黑客可以轻松侵入用户钱包，DeFi 盗窃事件频发；很多人找不到正确的官方网站和正确的应用市场，因此安装假钱包，大量代币永久丢失。

因此，我们要时刻“保持怀疑态度”，养成“不断验证”的习惯。

向大家推荐的安全原则包括：

关于加密资产的安全，有很多风险需要我们规避。遇到不懂的知识，一定要多方提供证据，谨慎行事。 #区块链#

在加密行业，想要抓住下一次牛市机会，就必须有一个优质的圈子，让大家能够聚在一起，保持洞察力。如果你只是一个人，茫然地环顾四周，发现周围没有人，其实在这个行业坚持下去是非常困难的。