Syndicate Labs 已证实,泄露的升级密钥让攻击者劫持了其 Commons 跨链桥,窃取了约 1850 万枚 SYND 代币(价值约 33 万美元)以及用户资金,并在团队承诺全额赔偿和全面安全修复之前引发了价格暴跌。
Syndicate Labs 已确认,由于私钥泄露,攻击者恶意升级了其在两个网络上的跨链桥接合约,窃取了约 1850 万枚 SYND 代币(价值约 33 万美元)以及价值约 5 万美元的用户代币。该团队强调,此次事件仅限于特定链,并未影响 Syndicate 的整体基础设施。
Syndicate Labs在一份官方声明中表示,此次攻击是经过“多阶段侦察、基础设施测绘和精心策划”后发起的,并称其“展现了极高的技术复杂性”,同时明确排除了内部人员参与的可能性。攻击者获取了约1850万枚SYND代币,并迅速将其出售。CertiK等外部安全公司追踪到,这些资金在通过桥接后流入了以太坊。
根本原因:密钥存储和升级控制薄弱
Syndicate Labs 指出,根本原因是桥接升级密钥的运维安全措施薄弱,并承认“私钥存储在密码管理工具中,而没有额外的加密层”。该团队还承认,升级过程未使用多重签名或硬件签名,并且缺乏“合约升级的预警和熔断机制”,导致单个密钥泄露就足以实施恶意攻击。
漏洞利用后,SYND 的价格在部分交易平台上下跌超过 30%,抛售潮冲击了流动性,这与之前引发代币价格大幅下跌的跨链桥攻击事件如出一辙。类似的跨链桥攻击事件,例如 crypto.news 此前报道的第三方基础设施漏洞,反复凸显了中心化升级密钥的风险。
Syndicate Labs承诺“全额补偿所有受影响用户”,包括返还被盗的1850万枚SYND代币并提供“额外补偿”,同时“全额补偿受影响的应用链客户端”。该公司表示,其储备金足以弥补损失,这与crypto.news此前报道的DeFi恢复工作中的承诺相符。
为防止类似事件再次发生,Syndicate Labs 已开始加强其密钥管理,包括强化私钥加密、收紧访问控制,并计划引入硬件或多重签名机制,同时对升级路径进行实时监控。该团队的路线图顺应了业界对多重签名控制桥接和自动熔断器的广泛呼吁,这些主题在 crypto.news 的另一篇报道中也有重点介绍。
Syndicate 的 SYND 代币仍然面临压力,因为市场正在消化此次攻击事件,并等待赔偿和安全升级的具体时间表。
