Kinumpirma ng Syndicate Labs na pinahintulutan ng isang leaked upgrade key ang isang attacker na i-hijack ang Commons cross-chain bridge nito, kuhanin ang humigit-kumulang 18.5 milyong SYND token na nagkakahalaga ng humigit-kumulang $330,000, kasama ang pondo ng user, at mag-trigger ng matalim na pagbagsak ng presyo bago ipinangako ng team ang buong kompensasyon at malawakang pag-aayos sa seguridad.
Kinumpirma ng Syndicate Labs na pinahintulutan ng isang pagtagas ng pribadong susi ang isang attacker na malisyosong i-upgrade ang mga kontrata ng cross-chain bridge nito sa dalawang network at kumuha ng humigit-kumulang 18.5 milyong SYND, na nagkakahalaga ng humigit-kumulang $330,000, kasama ang humigit-kumulang $50,000 sa mga token ng user. Binigyang-diin ng team na ang insidente ay limitado sa mga partikular na chain at hindi nakaapekto sa mas malawak na imprastraktura ng Syndicate.
Sa isang opisyal na pahayag, sinabi ng Syndicate Labs na ang paglabag ay sumunod sa "multi-stage reconnaissance, infrastructure mapping, at maingat na pagpapatupad," tinatawag itong isang pag-atake na "nagpakita ng mataas na antas ng teknikal na kumplikado" habang tahasang ibinubukod ang pagkakasangkot ng insider. Nakuha ng attacker ang humigit-kumulang 18.5 milyong SYND at mabilis na ibinenta ang mga token, kung saan sinubaybayan ng mga panlabas na kumpanya ng seguridad tulad ng CertiK ang mga pinagbentahan sa Ethereum matapos ang bridging.
Kinilala ng Syndicate Labs ang ugat ng problema bilang mahinang seguridad sa operasyon sa paligid ng mga susi sa pag-upgrade ng bridge, na umamin na "ang pribadong susi ay nakaimbak sa isang tool sa pamamahala ng password nang walang karagdagang layer ng encryption." Inamin din ng team na ang proseso ng pag-upgrade ay hindi gumamit ng multi-signature o hardware signatures at kulang sa "maagang babala at mga panukalang circuit breaker para sa mga pag-upgrade ng kontrata," na nag-iwan ng sapat na isang nakompromisong susi upang maitulak ang isang malisyosong implementasyon.
Kasunod ng pagsasamantala, bumaba ang presyo ng SYND ng higit sa 30% sa ilang lugar habang tinamaan ng sell-off ang liquidity, na sumasalamin sa mga nakaraang hack ng bridge na nagdulot ng matalim na pagbaba ng halaga ng token. Ang mga katulad na insidente ng cross-chain bridge, tulad ng mga naunang pagsasamantala sa third-party na imprastraktura na sakop sa kwentong ito ng crypto.news, ay paulit-ulit na nagbigay-diin sa mga panganib ng mga sentralisadong susi sa pag-upgrade.
Ipinangako ng Syndicate Labs na "buong babayaran ang lahat ng apektadong user," kabilang ang pagbabalik ng 18.5 milyong SYND na kinuha at pagbibigay ng "karagdagang kompensasyon," habang "buo ding babayaran ang mga apektadong kliyente ng application chain." Sinabi ng kumpanya na mayroon itong sapat na reserba upang matugunan ang mga pagkalugi, na sumasalamin sa mga pangako na nakita sa mga nakaraang pagsisikap sa pagbawi ng DeFi na iniulat sa isa pang kwento ng crypto.news.
Upang maiwasan ang pag-ulit, sinimulan ng Syndicate Labs ang pagpapatibay ng pamamahala ng susi nito sa pamamagitan ng pagpapalakas ng encryption ng pribadong susi, paghihigpit sa mga kontrol sa access, at pagpaplano na magpakilala ng hardware o multi-signature na mekanismo kasama ang real-time na pagsubaybay sa mga landas ng pag-upgrade. Sumusunod ang roadmap ng team sa mas malawak na panawagan ng industriya para sa mga bridge na kontrolado ng multisig at mga automated circuit breakers, mga tema na naka-highlight sa isang hiwalay na kwento ng crypto.news.
Ang SYND token ng Syndicate ay nananatili sa ilalim ng pressure habang nilulunok ng mga merkado ang pag-atake at naghihintay ng tiyak na timeline para sa kompensasyon at mga pag-upgrade sa seguridad.
