Syndicate Labs تایید کرده است که یک کلید ارتقای افشا شده به یک مهاجم اجازه داده تا پل بین‌زنجیره‌ای Commons آن را ربوده، حدود 18.5 میلیون توکن SYND به ارزش تقریبی 330,000 دلار به علاوه وجوه کاربران را تخلیه کند و باعث سقوط شدید قیمت شود، قبل از اینکه تیم وعده جبران کامل و اصلاحات امنیتی جامع را بدهد.

Syndicate Labs تایید کرده است که افشای یک کلید خصوصی به مهاجم اجازه داده است تا به طور مخرب قراردادهای پل بین‌زنجیره‌ای آن را در دو شبکه ارتقا دهد و تقریباً 18.5 میلیون SYND به ارزش حدود 330,000 دلار، به علاوه حدود 50,000 دلار توکن کاربر را تخلیه کند. تیم تاکید کرد که این حادثه به زنجیره‌های خاصی محدود بوده و زیرساخت گسترده‌تر Syndicate را تحت تاثیر قرار نداده است.

در بیانیه رسمی، Syndicate Labs اعلام کرد که نقض امنیتی به دنبال "شناسایی چند مرحله‌ای، نقشه‌برداری زیرساخت، و اجرای دقیق" صورت گرفته است و آن را حمله‌ای خواند که "سطح بالایی از پیچیدگی فنی را نشان داد"، در حالی که صراحتاً دخالت داخلی را رد کرد. مهاجم حدود 18.5 میلیون SYND به دست آورد و به سرعت توکن‌ها را فروخت، با شرکت‌های امنیتی خارجی مانند CertiK که وجوه حاصل از آن را پس از پل‌زنی به اتریوم ردیابی کردند.

علت اصلی: ذخیره‌سازی ضعیف کلید و کنترل‌های ارتقا

Syndicate Labs علت اصلی را امنیت عملیاتی ضعیف در مورد کلیدهای ارتقای پل شناسایی کرد و اعتراف کرد که "کلید خصوصی در یک ابزار مدیریت رمز عبور بدون لایه اضافی رمزگذاری ذخیره شده بود." تیم همچنین اذعان کرد که فرآیند ارتقا از امضای چندگانه (multi-signature) یا امضای سخت‌افزاری استفاده نکرده است و فاقد "هشدارهای اولیه و اقدامات قطع‌کننده برای ارتقاء قراردادها" بود، که یک کلید به خطر افتاده به تنهایی برای اجرای یک پیاده‌سازی مخرب کافی بود.

پس از این سوءاستفاده، قیمت SYND در برخی پلتفرم‌ها بیش از 30% کاهش یافت، زیرا فروش گسترده بر نقدینگی تاثیر گذاشت، تکرار هک‌های قبلی پل‌ها که باعث کاهش شدید ارزش توکن‌ها شده بودند. حوادث مشابه پل‌های بین‌زنجیره‌ای، مانند سوءاستفاده‌های قبلی در زیرساخت‌های شخص ثالث که در این خبر crypto.news پوشش داده شده است، بارها خطرات کلیدهای ارتقاء متمرکز را برجسته کرده‌اند.

Syndicate Labs متعهد شده است که "تمامی کاربران آسیب‌دیده را به طور کامل جبران کند"، شامل بازگرداندن 18.5 میلیون SYND تخلیه شده و ارائه "جبران خسارت اضافی"، در حالی که "مشتریان زنجیره‌ای کاربردی آسیب‌دیده را نیز به طور کامل جبران می‌کند." این شرکت می‌گوید که ذخایر کافی برای پوشش زیان‌ها را دارد، شبیه به تعهداتی که در تلاش‌های قبلی بازیابی دیفای گزارش شده در یک خبر دیگر crypto.news مشاهده شده است.

برای جلوگیری از تکرار، Syndicate Labs شروع به سخت‌تر کردن مدیریت کلید خود کرده است، با تقویت رمزگذاری کلید خصوصی، سخت‌تر کردن کنترل‌های دسترسی، و برنامه‌ریزی برای معرفی مکانیزم‌های سخت‌افزاری یا امضای چندگانه در کنار نظارت بلادرنگ بر مسیرهای ارتقا. نقشه راه تیم از فراخوان‌های گسترده‌تر صنعت برای پل‌های کنترل‌شده با امضای چندگانه (multisig) و قطع‌کننده‌های خودکار پیروی می‌کند، موضوعاتی که در یک خبر جداگانه crypto.news برجسته شده‌اند.

توکن SYND Syndicate همچنان تحت فشار است، در حالی که بازارها این حمله را بررسی می‌کنند و منتظر زمان‌بندی‌های مشخص برای جبران خسارت و ارتقاءهای امنیتی هستند.