Syndicate Labs đã xác nhận rằng một khóa nâng cấp bị rò rỉ đã cho phép kẻ tấn công chiếm đoạt cầu nối cross-chain Commons của họ, rút khoảng 18,5 triệu token SYND trị giá khoảng 330.000 USD cộng với tiền của người dùng, và gây ra một đợt sụt giảm giá mạnh trước khi đội ngũ cam kết bồi thường đầy đủ và khắc phục an ninh triệt để.
Syndicate Labs đã xác nhận rằng việc rò rỉ khóa riêng tư đã cho phép kẻ tấn công nâng cấp độc hại các hợp đồng cầu nối cross-chain của họ trên hai mạng và rút khoảng 18,5 triệu SYND, trị giá khoảng 330.000 USD, cùng với khoảng 50.000 USD tiền token của người dùng. Đội ngũ nhấn mạnh rằng sự cố này chỉ giới hạn ở các chuỗi cụ thể và không ảnh hưởng đến cơ sở hạ tầng chung của Syndicate.
Trong một tuyên bố chính thức, Syndicate Labs cho biết vụ vi phạm diễn ra sau “quá trình trinh sát nhiều giai đoạn, lập bản đồ cơ sở hạ tầng và thực hiện cẩn thận,” gọi đây là một cuộc tấn công “thể hiện trình độ phức tạp kỹ thuật cao” đồng thời loại trừ rõ ràng sự tham gia của người nội bộ. Kẻ tấn công đã chiếm đoạt khoảng 18,5 triệu SYND và nhanh chóng bán các token này, với các công ty bảo mật bên ngoài như CertiK đã truy vết số tiền thu được vào Ethereum sau khi bắc cầu.
Syndicate Labs xác định nguyên nhân gốc rễ là do bảo mật vận hành kém đối với các khóa nâng cấp cầu nối, thừa nhận rằng “khóa riêng tư được lưu trữ trong một công cụ quản lý mật khẩu mà không có thêm lớp mã hóa nào.” Đội ngũ cũng thừa nhận rằng quá trình nâng cấp không sử dụng chữ ký đa chữ ký hoặc chữ ký phần cứng và thiếu “các biện pháp cảnh báo sớm và ngắt mạch cho việc nâng cấp hợp đồng,” khiến một khóa bị xâm phạm duy nhất cũng đủ để đẩy một bản triển khai độc hại.
Sau vụ khai thác, giá SYND đã giảm hơn 30% trên một số sàn giao dịch khi đợt bán tháo ảnh hưởng đến tính thanh khoản, lặp lại các vụ hack cầu nối trước đó đã gây ra sự sụt giảm token mạnh. Các sự cố cầu nối cross-chain tương tự, chẳng hạn như các vụ khai thác trước đó trên cơ sở hạ tầng của bên thứ ba được đề cập trong bài viết trên crypto.news này, đã liên tục nhấn mạnh mối nguy hiểm của các khóa nâng cấp tập trung.
Syndicate Labs đã cam kết “bồi thường đầy đủ cho tất cả người dùng bị ảnh hưởng,” bao gồm hoàn trả 18,5 triệu SYND đã bị rút và cung cấp “khoản bồi thường bổ sung,” đồng thời “bồi thường đầy đủ cho các chuỗi ứng dụng khách hàng bị ảnh hưởng.” Công ty cho biết họ có đủ dự trữ để bù đắp các khoản lỗ, phản ánh các cam kết đã thấy trong các nỗ lực phục hồi DeFi trước đây được báo cáo trong một bài viết khác trên crypto.news.
Để ngăn chặn sự cố tái diễn, Syndicate Labs đã bắt đầu củng cố quản lý khóa của mình bằng cách tăng cường mã hóa khóa riêng tư, thắt chặt kiểm soát truy cập và lên kế hoạch giới thiệu các cơ chế phần cứng hoặc đa chữ ký cùng với giám sát thời gian thực các đường dẫn nâng cấp. Lộ trình của đội ngũ tuân theo các lời kêu gọi rộng rãi hơn của ngành về các cầu nối được kiểm soát bằng multisig và bộ ngắt mạch tự động, những chủ đề được nhấn mạnh trong một bài viết riêng trên crypto.news.
Token SYND của Syndicate vẫn chịu áp lực khi thị trường tiếp nhận cuộc tấn công và chờ đợi lịch trình cụ thể về việc bồi thường và nâng cấp bảo mật.
