你需要知道什麼
- 通過 Base 網絡上的可疑交易,大約有 14.4 萬個 SYP 代幣被鑄造出來。
- 問題出在推薦系統的邏輯缺陷上,而不是用戶資金或私鑰被盜。
- SynapLogic 已暫停並修復了該合約,確認所有用戶資金仍然安全。
最近,Base網絡上檢測到一系列涉及SynapLogic的可疑交易,引發了社區的擔憂。根據鏈上監控系統顯示,攻擊者通過異常活動獲取了約14.4萬枚SYP代幣。儘管情況起初令人擔憂,但SynapLogic團隊已確認該問題已徹底解決,所有用戶資金均安全無虞。
發生了什麼?
該活動最初是在幾筆關聯交易出現異常行為時被發現的。攻擊者的錢包最初是通過以太坊網絡上的 Tornado Cash 充值。之後,資金通過橋接服務轉移到了 Base 網絡。在 Base 網絡上,攻擊者進行了多筆交易,導致大約 144,000 個 SYP 代幣被鑄造出來。值得注意的是,儘管這些代幣已被創建,但它們並未在市場上出售或兌換。這些資金仍然鎖定在攻擊者的合約中,這有助於限制損失,並避免對普通用戶造成價格衝擊。
#CertiKInsight 🚨
我們檢測到與 @SynapLogic 相關的未經核實的合約上存在 193 筆可疑交易。
攻擊者反覆從新地址調用 0x670a3267(),使用閃電貸獲得的 1 個ETH鑄造 16,000 個 SYP 代幣,然後回收ETH 。
待會兒…… pic.twitter.com/NjEzUknDJR
— CertiK Alert (@CertiKAlert) 2026年1月20日
初步分析表明,問題並非源於私鑰被盜或傳統意義上的黑客攻擊。相反,問題似乎出在代幣購買系統的業務邏輯缺陷上。當用戶使用ETH或USDC購買 SYP 代幣時,系統允許他們輸入推薦地址列表。每個推薦地址可以獲得用戶消費金額的 10% 作為獎勵。然而,合約並未正確檢查此輸入。
攻擊者利用這一漏洞,將推薦列表中的地址重複設置為自己的地址。在某個案例中,攻擊者將自己的地址列出了31次,從而獲得了相當於消費金額約310%的收益。這導致購買合同中的資金被大量消耗,估計損失約為88,000美元。
為什麼攻擊者無法套現
儘管大量SYP代幣被鑄造,攻擊者卻無法隨意轉移或出售它們。這是因為SYP餘額分為兩部分:歸屬代幣和交易代幣。歸屬代幣被鎖定,只有在滿足特定條件後才能轉移或出售。攻擊者新鑄造的SYP代幣屬於鎖定代幣。因此,這些代幣無法被拋售到市場上,從而保護了其他持有者的權益。
隨後,另一名攻擊者嘗試了類似的伎倆,他們減少了自己地址的列出次數,從而完全無需支付任何費用。代幣再次被鑄造,但由於同樣的限制而未能售出。安全監控人員還報告了193筆與SynapLogic關聯的未經驗證合約相關的可疑交易。在這些交易中,攻擊者反覆使用閃電貸資金,每次嘗試鑄造約16,000個SYP代幣,然後立即歸還借入的ETH 。這些調用中使用的函數缺乏對傳入參數的適當檢查,使得攻擊者獲得了超出預期的價值。雖然這聽起來很嚴重,但大部分活動已被控制,該合約也已被暫停。
最後想說的話
SynapLogic在發現問題後迅速採取了行動。受影響的合同被暫停,並應用了修復程序以防止將來再次發生類似情況。
問題已徹底解決。SynapLogic 系統現已恢復正常運行,所有用戶資金均安全無虞。我們將繼續秉持透明、安全、以社區為先的原則。#SynapLogic #安全第一 #透明 #用戶資金安全 #信任 pic.twitter.com/YdLJciS8bB
— SynapLogic (@SynapLogic) 2026年1月20日
SynapLogic團隊在一份公開聲明中表示:“該問題已徹底解決。SynapLogic系統目前運行正常,所有用戶資金均完全安全。我們將繼續致力於透明度、安全性和以社區為先的原則。”
此次事件提醒我們,即使是智能合約中微小的邏輯疏忽也可能導致重大問題。雖然用戶資金沒有損失,代幣也沒有被出售,但此次事件凸顯了仔細測試和監控的重要性。目前,SynapLogic 似乎已恢復正常運營,用戶也已放心,他們的資產從未面臨風險。正如加密貨幣領域一貫的做法,保持信息靈通和謹慎行事仍然至關重要。
另請閱讀:紐約證券交易所將推出代幣化證券平臺
