Syndicate Labs hat bestätigt, dass ein durchgesickerter Upgrade-Schlüssel es einem Angreifer ermöglichte, die Commons Cross-Chain-Bridge zu kapern, etwa 18,5 Millionen SYND-Tokens im Wert von rund 330.000 US-Dollar sowie Benutzergelder abzuziehen und einen starken Kurssturz auszulösen, bevor das Team volle Entschädigung und umfassende Sicherheitskorrekturen zusagte.
Syndicate Labs hat bestätigt, dass ein privates Schlüsselleck es einem Angreifer ermöglichte, die Cross-Chain-Bridge-Verträge auf zwei Netzwerken bösartig zu aktualisieren und etwa 18,5 Millionen SYND im Wert von rund 330.000 US-Dollar sowie Benutzer-Tokens im Wert von etwa 50.000 US-Dollar abzuziehen. Das Team betonte, dass der Vorfall auf bestimmte Chains beschränkt war und die breitere Syndicate-Infrastruktur nicht beeinträchtigte.
In einer offiziellen Erklärung teilte Syndicate Labs mit, dass die Sicherheitslücke auf „mehrstufige Aufklärung, Infrastruktur-Mapping und sorgfältige Ausführung“ folgte, und bezeichnete den Angriff als einen, der „ein hohes Maß an technischer Komplexität demonstrierte“, während eine Beteiligung von Insidern explizit ausgeschlossen wurde. Der Angreifer erwarb rund 18,5 Millionen SYND und verkaufte die Tokens schnell, wobei externe Sicherheitsfirmen wie CertiK die Erlöse nach dem Bridging in Ethereum verfolgten.
Syndicate Labs identifizierte die Grundursache als mangelhafte operative Sicherheit im Zusammenhang mit den Bridge-Upgrade-Schlüsseln und gab zu, dass „der private Schlüssel in einem Passwortverwaltungstool ohne zusätzliche Verschlüsselungsebene gespeichert war“. Das Team räumte auch ein, dass der Upgrade-Prozess keine Multi-Signatur- oder Hardware-Signaturen verwendete und es an „Frühwarn- und Schutzschaltermaßnahmen für Vertrags-Upgrades“ mangelte, sodass ein einziger kompromittierter Schlüssel ausreichte, um eine bösartige Implementierung durchzusetzen.
Nach dem Exploit fiel der SYND-Kurs an einigen Börsen um mehr als 30 %, da der Ausverkauf die Liquidität beeinträchtigte, was frühere Bridge-Hacks widerspiegelt, die zu starken Token-Kursrückgängen führten. Ähnliche Cross-Chain-Bridge-Vorfälle, wie frühere Exploits auf der Infrastruktur Dritter, über die in dieser crypto.news-Story berichtet wurde, haben die Gefahren zentralisierter Upgrade-Schlüssel wiederholt unterstrichen.
Syndicate Labs hat zugesagt, „alle betroffenen Benutzer vollständig zu entschädigen“, einschließlich der Rückgabe der abgezogenen 18,5 Millionen SYND und der Bereitstellung „zusätzlicher Entschädigung“, sowie „betroffene Anwendungsketten-Clients vollständig zu entschädigen“. Das Unternehmen gibt an, über ausreichende Reserven zur Deckung der Verluste zu verfügen, was Zusagen widerspiegelt, die bei früheren DeFi-Wiederherstellungsbemühungen, über die in einer anderen crypto.news-Story berichtet wurde, gemacht wurden.
Um eine Wiederholung zu verhindern, hat Syndicate Labs mit der Härtung seiner Schlüsselverwaltung begonnen, indem es die Verschlüsselung privater Schlüssel verstärkt, Zugangskontrollen verschärft und plant, Hardware- oder Multi-Signatur-Mechanismen sowie Echtzeit-Überwachung von Upgrade-Pfaden einzuführen. Die Roadmap des Teams folgt breiteren Branchenforderungen nach Multisig-gesteuerten Bridges und automatisierten Schutzschaltern, Themen, die in einer separaten crypto.news-Story hervorgehoben wurden.
Der SYND-Token von Syndicate steht weiterhin unter Druck, da die Märkte den Angriff verarbeiten und auf konkrete Zeitpläne für Entschädigungen und Sicherheits-Upgrades warten.
