A Syndicate Labs confirmou que uma chave de atualização vazada permitiu que um invasor sequestrasse sua ponte cross-chain Commons, drenasse cerca de 18,5 milhões de tokens SYND avaliados em aproximadamente US$ 330.000, além de fundos de usuários, e desencadeasse uma forte queda de preço antes que a equipe prometesse compensação total e amplas correções de segurança.
A Syndicate Labs confirmou que um vazamento de chave privada permitiu que um invasor atualizasse maliciosamente seus contratos de ponte cross-chain em duas redes e desviasse aproximadamente 18,5 milhões de SYND, avaliados em cerca de US$ 330.000, juntamente com cerca de US$ 50.000 em tokens de usuários. A equipe enfatizou que o incidente foi contido a cadeias específicas e não impactou a infraestrutura mais ampla da Syndicate.
Em um comunicado oficial, a Syndicate Labs disse que a violação seguiu uma “reconhecimento em várias etapas, mapeamento de infraestrutura e execução cuidadosa”, chamando-o de um ataque que “demonstrou um alto nível de complexidade técnica” enquanto descartava explicitamente o envolvimento de insiders. O invasor adquiriu cerca de 18,5 milhões de SYND e vendeu rapidamente os tokens, com empresas de segurança externas como a CertiK rastreando os lucros para o Ethereum após a ponte.
A Syndicate Labs identificou a causa raiz como baixa segurança operacional em torno das chaves de atualização da ponte, admitindo que “a chave privada estava armazenada em uma ferramenta de gerenciamento de senhas sem uma camada adicional de criptografia”. A equipe também reconheceu que o processo de atualização não utilizava assinaturas multi-assinatura ou de hardware e carecia de “avisos antecipados e medidas de disjuntor para atualizações de contratos”, deixando uma única chave comprometida suficiente para impulsionar uma implementação maliciosa.
Após o exploit, o preço do SYND caiu mais de 30% em alguns locais, à medida que a liquidação atingiu a liquidez, ecoando hacks de pontes anteriores que desencadearam fortes quedas de tokens. Incidentes semelhantes de pontes cross-chain, como exploits anteriores em infraestruturas de terceiros cobertos nesta notícia da crypto.news, têm repetidamente sublinhado os perigos das chaves de atualização centralizadas.
A Syndicate Labs prometeu “compensar totalmente todos os usuários afetados”, incluindo a devolução dos 18,5 milhões de SYND drenados e o fornecimento de “compensação adicional”, além de “compensar totalmente os clientes de cadeias de aplicação afetadas”. A empresa afirma ter reservas suficientes para cobrir as perdas, espelhando compromissos vistos em esforços anteriores de recuperação DeFi relatados em outra notícia da crypto.news.
Para evitar uma repetição, a Syndicate Labs começou a fortalecer sua gestão de chaves, reforçando a criptografia de chaves privadas, apertando os controles de acesso e planejando introduzir mecanismos de hardware ou multi-assinatura juntamente com o monitoramento em tempo real dos caminhos de atualização. O roteiro da equipe segue apelos mais amplos da indústria por pontes controladas por multisig e disjuntores automatizados, temas destacados em uma notícia separada da crypto.news.
O token SYND da Syndicate permanece sob pressão à medida que os mercados digerem o ataque e aguardam cronogramas concretos para compensação e atualizações de segurança.
