Syndicate Labs a confirmé qu'une clé de mise à niveau divulguée avait permis à un attaquant de pirater son pont inter-chaînes Commons, de siphonner environ 18,5 millions de jetons SYND d'une valeur d'environ 330 000 $ plus les fonds des utilisateurs, et de déclencher une forte chute des prix avant que l'équipe ne s'engage à une compensation complète et à des correctifs de sécurité approfondis.
Syndicate Labs a confirmé qu'une fuite de clé privée avait permis à un attaquant de mettre à niveau de manière malveillante ses contrats de pont inter-chaînes sur deux réseaux et de siphonner environ 18,5 millions de SYND, d'une valeur d'environ 330 000 $, ainsi qu'environ 50 000 $ en jetons d'utilisateurs. L'équipe a souligné que l'incident était circonscrit à des chaînes spécifiques et n'avait pas eu d'impact sur l'infrastructure plus large de Syndicate.
Dans un communiqué officiel, Syndicate Labs a déclaré que la violation avait fait suite à une « reconnaissance en plusieurs étapes, une cartographie de l'infrastructure et une exécution minutieuse », la qualifiant d'attaque qui a « démontré un niveau élevé de complexité technique » tout en excluant explicitement toute implication interne. L'attaquant a acquis environ 18,5 millions de SYND et a rapidement vendu les jetons, des sociétés de sécurité externes comme CertiK ayant retracé les fonds vers Ethereum après le pontage.
Syndicate Labs a identifié la cause première comme une mauvaise sécurité opérationnelle autour des clés de mise à niveau du pont, admettant que « la clé privée était stockée dans un gestionnaire de mots de passe sans couche de chiffrement supplémentaire ». L'équipe a également reconnu que le processus de mise à niveau n'utilisait pas de multi-signatures ni de signatures matérielles et manquait de « mesures d'alerte précoce et de coupe-circuit pour les mises à niveau de contrats », laissant une seule clé compromise suffisante pour pousser une implémentation malveillante.
Suite à l'exploit, le prix du SYND a chuté de plus de 30 % sur certains marchés alors que la vente massive frappait la liquidité, faisant écho aux précédents piratages de ponts qui ont déclenché de fortes baisses de jetons. Des incidents similaires sur les ponts inter-chaînes, tels que les exploits antérieurs sur l'infrastructure tierce couverts dans cet article de crypto.news, ont souligné à plusieurs reprises les dangers des clés de mise à niveau centralisées.
Syndicate Labs s'est engagé à « indemniser intégralement tous les utilisateurs affectés », y compris la restitution des 18,5 millions de SYND siphonnés et la fourniture d'une « compensation supplémentaire », tout en « indemnisant intégralement les clients de chaînes d'applications affectés ». La société déclare disposer de réserves suffisantes pour couvrir les pertes, reflétant les engagements observés lors des efforts de récupération DeFi antérieurs rapportés dans un autre article de crypto.news.
Pour éviter toute répétition, Syndicate Labs a commencé à renforcer sa gestion des clés en améliorant le chiffrement des clés privées, en renforçant les contrôles d'accès et en prévoyant d'introduire des mécanismes matériels ou multi-signatures parallèlement à une surveillance en temps réel des chemins de mise à niveau. La feuille de route de l'équipe suit les appels plus larges de l'industrie pour des ponts contrôlés par multi-signatures et des disjoncteurs automatisés, des thèmes mis en évidence dans un article distinct de crypto.news.
Le jeton SYND de Syndicate reste sous pression alors que les marchés digèrent l'attaque et attendent des délais concrets pour l'indemnisation et les mises à niveau de sécurité.
