सिंडिकेट लैब्स ने पुष्टि की है कि एक लीक हुई अपग्रेड कुंजी ने एक हमलावर को इसके कॉमन्स क्रॉस-चेन ब्रिज को हाईजैक करने, लगभग 330,000 डॉलर मूल्य के लगभग 1.85 करोड़ SYND टोकन के साथ-साथ उपयोगकर्ता के फंड निकालने और कीमतों में भारी गिरावट लाने की अनुमति दी, जिसके बाद टीम ने पूर्ण मुआवजे और व्यापक सुरक्षा सुधारों का वादा किया।

सिंडिकेट लैब्स ने पुष्टि की है कि एक प्राइवेट कुंजी लीक ने एक हमलावर को दो नेटवर्कों पर अपने क्रॉस-चेन ब्रिज कॉन्ट्रैक्ट्स को दुर्भावनापूर्ण रूप से अपग्रेड करने और लगभग 330,000 डॉलर मूल्य के लगभग 1.85 करोड़ SYND, साथ ही लगभग 50,000 डॉलर मूल्य के उपयोगकर्ता टोकन निकालने की अनुमति दी। टीम ने जोर दिया कि यह घटना विशिष्ट चेनों तक ही सीमित थी और व्यापक सिंडिकेट बुनियादी ढांचे को प्रभावित नहीं किया।

एक आधिकारिक बयान में, सिंडिकेट लैब्स ने कहा कि यह सेंध "बहु-स्तरीय टोही, बुनियादी ढांचे की मैपिंग और सावधानीपूर्वक निष्पादन" के बाद हुई, इसे एक ऐसा हमला बताया जिसने "उच्च स्तर की तकनीकी जटिलता का प्रदर्शन किया" जबकि अंदरूनी मिलीभगत को स्पष्ट रूप से खारिज किया। हमलावर ने लगभग 1.85 करोड़ SYND प्राप्त किए और तेजी से टोकन बेचे, जिसमें CertiK जैसी बाहरी सुरक्षा फर्मों ने ब्रिजिंग के बाद एथेरियम में आय का पता लगाया।

मूल कारण: कमजोर कुंजी भंडारण और अपग्रेड नियंत्रण

सिंडिकेट लैब्स ने मूल कारण को ब्रिज अपग्रेड कुंजियों के आसपास खराब परिचालन सुरक्षा के रूप में पहचाना, यह स्वीकार करते हुए कि "प्राइवेट कुंजी को एन्क्रिप्शन की एक अतिरिक्त परत के बिना पासवर्ड प्रबंधन टूल में संग्रहीत किया गया था।" टीम ने यह भी स्वीकार किया कि अपग्रेड प्रक्रिया में मल्टी-सिग्नेचर या हार्डवेयर हस्ताक्षर का उपयोग नहीं किया गया था और इसमें "कॉन्ट्रैक्ट अपग्रेड के लिए शुरुआती चेतावनी और सर्किट ब्रेकर उपायों" की कमी थी, जिससे एक ही समझौता की गई कुंजी एक दुर्भावनापूर्ण कार्यान्वयन को आगे बढ़ाने के लिए पर्याप्त थी।

इस शोषण के बाद, कुछ प्लेटफार्मों पर SYND की कीमत में 30% से अधिक की गिरावट आई क्योंकि बिकवाली ने तरलता को प्रभावित किया, जो पिछले ब्रिज हैक्स को दोहराते हुए जिसने टोकन की कीमतों में भारी गिरावट को जन्म दिया। इसी तरह की क्रॉस-चेन ब्रिज घटनाएं, जैसे कि इस crypto.news स्टोरी में कवर किए गए तीसरे पक्ष के बुनियादी ढांचे पर पहले के शोषण, ने केंद्रीकृत अपग्रेड कुंजियों के खतरों को बार-बार उजागर किया है।

सिंडिकेट लैब्स ने "सभी प्रभावित उपयोगकर्ताओं को पूरी तरह से मुआवजा" देने का वादा किया है, जिसमें निकाले गए 1.85 करोड़ SYND को वापस करना और "अतिरिक्त मुआवजा" प्रदान करना शामिल है, साथ ही "प्रभावित एप्लिकेशन चेन क्लाइंट्स को पूरी तरह से मुआवजा" देना भी शामिल है। कंपनी का कहना है कि उसके पास नुकसान को कवर करने के लिए पर्याप्त भंडार है, जो एक अन्य crypto.news स्टोरी में रिपोर्ट किए गए पहले के DeFi रिकवरी प्रयासों में देखी गई प्रतिबद्धताओं के समान है।

ऐसी पुनरावृत्ति को रोकने के लिए, सिंडिकेट लैब्स ने प्राइवेट कुंजी एन्क्रिप्शन को मजबूत करके, एक्सेस नियंत्रण को कड़ा करके और अपग्रेड पाथ की रीयल-टाइम निगरानी के साथ-साथ हार्डवेयर या मल्टी-सिग्नेचर तंत्र पेश करने की योजना बनाकर अपनी कुंजी प्रबंधन को मजबूत करना शुरू कर दिया है। टीम का रोडमैप मल्टीसिग-नियंत्रित ब्रिज और स्वचालित सर्किट ब्रेकर के लिए व्यापक उद्योग मांगों का पालन करता है, इन विषयों को एक अलग crypto.news स्टोरी में उजागर किया गया था।

सिंडिकेट का SYND टोकन दबाव में बना हुआ है क्योंकि बाजार इस हमले को पचा रहे हैं और मुआवजे तथा सुरक्षा अपग्रेड के लिए ठोस समय-सीमा का इंतजार कर रहे हैं।