你需要知道什么
- 通过 Base 网络上的可疑交易,大约有 14.4 万个 SYP 代币被铸造出来。
- 问题出在推荐系统的逻辑缺陷上,而不是用户资金或私钥被盗。
- SynapLogic 已暂停并修复了该合约,确认所有用户资金仍然安全。
最近,Base网络上检测到一系列涉及SynapLogic的可疑交易,引发了社区的担忧。根据链上监控系统显示,攻击者通过异常活动获取了约14.4万枚SYP代币。尽管情况起初令人担忧,但SynapLogic团队已确认该问题已彻底解决,所有用户资金均安全无虞。
发生了什么?
该活动最初是在几笔关联交易出现异常行为时被发现的。攻击者的钱包最初是通过以太坊网络上的 Tornado Cash 充值。之后,资金通过桥接服务转移到了 Base 网络。在 Base 网络上,攻击者进行了多笔交易,导致大约 144,000 个 SYP 代币被铸造出来。值得注意的是,尽管这些代币已被创建,但它们并未在市场上出售或兑换。这些资金仍然锁定在攻击者的合约中,这有助于限制损失,并避免对普通用户造成价格冲击。
#CertiKInsight 🚨
我们检测到与 @SynapLogic 相关的未经核实的合约上存在 193 笔可疑交易。
攻击者反复从新地址调用 0x670a3267(),使用闪电贷获得的 1 个ETH铸造 16,000 个 SYP 代币,然后回收ETH 。
待会儿…… pic.twitter.com/NjEzUknDJR
— CertiK Alert (@CertiKAlert) 2026年1月20日
初步分析表明,问题并非源于私钥被盗或传统意义上的黑客攻击。相反,问题似乎出在代币购买系统的业务逻辑缺陷上。当用户使用ETH或USDC购买 SYP 代币时,系统允许他们输入推荐地址列表。每个推荐地址可以获得用户消费金额的 10% 作为奖励。然而,合约并未正确检查此输入。
攻击者利用这一漏洞,将推荐列表中的地址重复设置为自己的地址。在某个案例中,攻击者将自己的地址列出了31次,从而获得了相当于消费金额约310%的收益。这导致购买合同中的资金被大量消耗,估计损失约为88,000美元。
为什么攻击者无法套现
尽管大量SYP代币被铸造,攻击者却无法随意转移或出售它们。这是因为SYP余额分为两部分:归属代币和交易代币。归属代币被锁定,只有在满足特定条件后才能转移或出售。攻击者新铸造的SYP代币属于锁定代币。因此,这些代币无法被抛售到市场上,从而保护了其他持有者的权益。
随后,另一名攻击者尝试了类似的伎俩,他们减少了自己地址的列出次数,从而完全无需支付任何费用。代币再次被铸造,但由于同样的限制而未能售出。安全监控人员还报告了193笔与SynapLogic关联的未经验证合约相关的可疑交易。在这些交易中,攻击者反复使用闪电贷资金,每次尝试铸造约16,000个SYP代币,然后立即归还借入的ETH 。这些调用中使用的函数缺乏对传入参数的适当检查,使得攻击者获得了超出预期的价值。虽然这听起来很严重,但大部分活动已被控制,该合约也已被暂停。
最后想说的话
SynapLogic在发现问题后迅速采取了行动。受影响的合同被暂停,并应用了修复程序以防止将来再次发生类似情况。
问题已彻底解决。SynapLogic 系统现已恢复正常运行,所有用户资金均安全无虞。我们将继续秉持透明、安全、以社区为先的原则。#SynapLogic #安全第一 #透明 #用户资金安全 #信任 pic.twitter.com/YdLJciS8bB
— SynapLogic (@SynapLogic) 2026年1月20日
SynapLogic团队在一份公开声明中表示:“该问题已彻底解决。SynapLogic系统目前运行正常,所有用户资金均完全安全。我们将继续致力于透明度、安全性和以社区为先的原则。”
此次事件提醒我们,即使是智能合约中微小的逻辑疏忽也可能导致重大问题。虽然用户资金没有损失,代币也没有被出售,但此次事件凸显了仔细测试和监控的重要性。目前,SynapLogic 似乎已恢复正常运营,用户也已放心,他们的资产从未面临风险。正如加密货币领域一贯的做法,保持信息灵通和谨慎行事仍然至关重要。
另请阅读:纽约证券交易所将推出代币化证券平台
