اختراق رئيسي لمختبرات Syndicate Labs، وسرقة رموز SYND بقيمة 380 ألف دولار أمريكي، والشركة تتعهد بتعويض المستخدمين المتضررين

أكدت Syndicate Labs أن مفتاح الترقية المسرب يسمح للمهاجم باختطاف جسر Commons عبر السلسلة، واستنزاف حوالي 18.5 مليون رمز SYND بقيمة 330 ألف دولار تقريبًا بالإضافة إلى أموال المستخدم، وإحداث انهيار حاد في الأسعار قبل أن يتعهد الفريق بالتعويض الكامل والإصلاحات الأمنية الشاملة.

أكدت Syndicate Labs أن تسرب المفتاح الخاص سمح للمهاجم بترقية عقود الجسر عبر السلسلة بشكل ضار على شبكتين وسحب ما يقرب من 18.5 مليون SYND، بقيمة حوالي 330 ألف دولار، إلى جانب ما يقرب من 50 ألف دولار من رموز المستخدم. وشدد الفريق على أن الحادث تم احتواؤه على سلاسل محددة ولم يؤثر على البنية التحتية الأوسع للنقابة.

وفي بيان رسمي، قالت Syndicate Labs إن الاختراق جاء بعد "استطلاع متعدد المراحل، ورسم خرائط البنية التحتية، والتنفيذ الدقيق"، ووصفته بأنه هجوم "أظهر مستوى عالٍ من التعقيد الفني" مع استبعاد صراحة أي تورط داخلي. حصل المهاجم على حوالي 18.5 مليون SYND وباع الرموز بسرعة، مع قيام شركات أمنية خارجية مثل CertiK بتتبع العائدات إلى Ethereum بعد التجسير.

السبب الجذري: ضعف عناصر التحكم في تخزين المفاتيح وترقيتها

حددت Syndicate Labs السبب الجذري وهو ضعف الأمان التشغيلي حول مفاتيح ترقية الجسر، معترفة بأن "المفتاح الخاص تم تخزينه في أداة إدارة كلمات المرور دون طبقة إضافية من التشفير". وأقر الفريق أيضًا بأن عملية الترقية لم تستخدم التوقيعات المتعددة أو توقيعات الأجهزة وافتقرت إلى "الإنذار المبكر وإجراءات قطع الدائرة الكهربائية لترقية العقود"، مما يترك مفتاحًا واحدًا مخترقًا بما يكفي لدفع التنفيذ الضار.

بعد هذا الاستغلال، انخفض سعر SYND بأكثر من 30% في بعض الأماكن حيث أثرت عمليات البيع على السيولة، مما يعكس عمليات اختراق الجسر السابقة التي أدت إلى عمليات سحب حادة من الرموز المميزة. وقد أبرزت حوادث مماثلة للجسر عبر السلاسل، مثل عمليات استغلال البنية التحتية لجهة خارجية التي تمت تغطيتها في قصة crypto.news، مرارًا وتكرارًا مخاطر مفاتيح الترقية المركزية.

تعهدت Syndicate Labs بـ "التعويض الكامل لجميع المستخدمين المتأثرين"، بما في ذلك إعادة 18.5 مليون SYND المستنزفة وتقديم "تعويض إضافي"، مع "تعويض عملاء سلسلة التطبيقات المتأثرين بشكل كامل". تقول الشركة إن لديها احتياطيات كافية لتغطية الخسائر، مما يعكس الالتزامات التي شوهدت في جهود استرداد التمويل اللامركزي السابقة التي تم الإبلاغ عنها في قصة أخرى على موقع crypto.news.

ولمنع تكرار ذلك، بدأت Syndicate Labs في تعزيز إدارتها الرئيسية من خلال تعزيز تشفير المفتاح الخاص، وتشديد ضوابط الوصول، والتخطيط لإدخال الأجهزة أو آليات التوقيع المتعدد إلى جانب المراقبة في الوقت الفعلي لمسارات الترقية. تتبع خريطة الطريق الخاصة بالفريق دعوات صناعية أوسع نطاقًا لإنشاء جسور وقواطع دوائر آلية يتم التحكم فيها بواسطة التوقيعات المتعددة، وهي موضوعات تم تسليط الضوء عليها في قصة منفصلة لـ crypto.news.

لا يزال رمز SYND الخاص بالنقابة تحت الضغط حيث تستوعب الأسواق الهجوم وتنتظر جداول زمنية محددة للتعويضات وترقيات الأمان.