Syndicate Labs 已證實,洩露的升級密鑰讓攻擊者劫持了其 Commons 跨鏈橋,竊取了約 1850 萬枚 SYND 代幣(價值約 33 萬美元)以及用戶資金,並在團隊承諾全額賠償和全面安全修復之前引發了價格暴跌。
Syndicate Labs 已確認,由於私鑰洩露,攻擊者惡意升級了其在兩個網絡上的跨鏈橋接合約,竊取了約 1850 萬枚 SYND 代幣(價值約 33 萬美元)以及價值約 5 萬美元的用戶代幣。該團隊強調,此次事件僅限於特定鏈,並未影響 Syndicate 的整體基礎設施。
Syndicate Labs在一份官方聲明中表示,此次攻擊是經過“多階段偵察、基礎設施測繪和精心策劃”後發起的,並稱其“展現了極高的技術複雜性”,同時明確排除了內部人員參與的可能性。攻擊者獲取了約1850萬枚SYND代幣,並迅速將其出售。CertiK等外部安全公司追蹤到,這些資金在通過橋接後流入了以太坊。
根本原因:密鑰存儲和升級控制薄弱
Syndicate Labs 指出,根本原因是橋接升級密鑰的運維安全措施薄弱,並承認“私鑰存儲在密碼管理工具中,而沒有額外的加密層”。該團隊還承認,升級過程未使用多重簽名或硬件簽名,並且缺乏“合約升級的預警和熔斷機制”,導致單個密鑰洩露就足以實施惡意攻擊。
漏洞利用後,SYND 的價格在部分交易平臺上下跌超過 30%,拋售潮衝擊了流動性,這與之前引發代幣價格大幅下跌的跨鏈橋攻擊事件如出一轍。類似的跨鏈橋攻擊事件,例如 crypto.news 此前報道的第三方基礎設施漏洞,反覆凸顯了中心化升級密鑰的風險。
Syndicate Labs承諾“全額補償所有受影響用戶”,包括返還被盜的1850萬枚SYND代幣並提供“額外補償”,同時“全額補償受影響的應用鏈客戶端”。該公司表示,其儲備金足以彌補損失,這與crypto.news此前報道的DeFi恢復工作中的承諾相符。
為防止類似事件再次發生,Syndicate Labs 已開始加強其密鑰管理,包括強化私鑰加密、收緊訪問控制,並計劃引入硬件或多重簽名機制,同時對升級路徑進行實時監控。該團隊的路線圖順應了業界對多重簽名控制橋接和自動熔斷器的廣泛呼籲,這些主題在 crypto.news 的另一篇報道中也有重點介紹。
Syndicate 的 SYND 代幣仍然面臨壓力,因為市場正在消化此次攻擊事件,並等待賠償和安全升級的具體時間表。
