Syndicate Labs确认跨链桥攻击事件
Syndicate Labs确认,由于升级密钥泄露,攻击者劫持了其Commons跨链桥,窃取了约1850万个SYND代币,价值约33万美元,以及用户资金,导致价格急剧下跌。Syndicate Labs表示,私钥泄露使得攻击者能够恶意升级其在两个网络上的跨链桥合约, siphon出约1850万个SYND,价值约33万美元,以及约5万美元的用户代币。团队强调,此事件仅限于特定链,并未影响更广泛的Syndicate基础设施。
攻击的复杂性与内部人员排除
在一份官方声明中,Syndicate Labs表示,此次漏洞是经过“多阶段侦察、基础设施映射和精心执行”后发生的,称其为“展示了高度技术复杂性的攻击”,并明确排除了内部人员的参与。攻击者获取了约1850万个SYND并迅速出售这些代币,外部安全公司如CertiK追踪到其在桥接后进入以太坊的收益。
根本原因与安全措施不足
Syndicate Labs将根本原因归结为桥接升级密钥的操作安全性差,承认“私钥存储在一个密码管理工具中,未加密保护”。团队还承认,升级过程未使用多重签名或硬件签名,并缺乏“合约升级的早期警报和断路器措施”,使得单个被攻破的密钥足以推动恶意实施。
市场反应与赔偿承诺
在此次漏洞发生后,SYND的价格在某些交易所下跌超过30%,因为抛售冲击了流动性,回响了之前桥接黑客攻击引发的代币急剧下跌。类似的跨链桥事件,例如在第三方基础设施上发生的早期漏洞,反复强调了集中式升级密钥的危险。
Syndicate Labs承诺“全额赔偿所有受影响的用户”,包括返还被窃取的1850万个SYND,并提供“额外赔偿”,同时“全额赔偿受影响的应用链客户”。
该公司表示,拥有足够的储备来覆盖损失,类似于在其他DeFi恢复努力中看到的承诺。
未来的安全措施与行业呼声
为了防止重演,Syndicate Labs已开始加强其密钥管理,通过增强私钥加密、收紧访问控制,并计划引入硬件或多重签名机制,以及对升级路径进行实时监控。团队的路线图遵循了行业对多签名控制桥接和自动断路器的广泛呼声,这些主题在另一篇crypto.news报道中得到了强调。
Syndicate的SYND代币在市场消化此次攻击并等待赔偿和安全升级的具体时间表时,仍然面临压力。
