Un piratage majeur frappe Syndicate Labs, 380 000 $ de jetons SYND volés, la société s'engage à rembourser les utilisateurs concernés

Syndicate Labs a confirmé qu'une clé de mise à niveau divulguée a permis à un attaquant de détourner son pont inter-chaînes Commons, de drainer environ 18,5 millions de jetons SYND d'une valeur d'environ 330 000 $ plus les fonds des utilisateurs et de déclencher une forte chute des prix avant que l'équipe ne promette une compensation complète et des correctifs de sécurité radicaux.

Syndicate Labs a confirmé qu'une fuite de clé privée a permis à un attaquant de mettre à niveau de manière malveillante ses contrats de pont inter-chaînes sur deux réseaux et de siphonner environ 18,5 millions de SYND, d'une valeur d'environ 330 000 $, ainsi qu'environ 50 000 $ de jetons utilisateur. L'équipe a souligné que l'incident était limité à des chaînes spécifiques et n'avait pas d'impact sur l'infrastructure plus large du Syndicat.

Dans un communiqué officiel, Syndicate Labs a déclaré que la violation faisait suite à « une reconnaissance en plusieurs étapes, une cartographie des infrastructures et une exécution minutieuse », la qualifiant d’attaque qui « démontrait un haut niveau de complexité technique » tout en excluant explicitement toute implication interne. L'attaquant a acquis environ 18,5 millions de SYND et a rapidement vendu les jetons, des sociétés de sécurité externes comme CertiK retraçant les bénéfices dans Ethereum après le pontage.

Cause première : stockage des clés et contrôles de mise à niveau faibles

Syndicate Labs a identifié la cause première comme une mauvaise sécurité opérationnelle autour des clés de mise à niveau du pont, admettant que « la clé privée a été stockée dans un outil de gestion de mots de passe sans couche de cryptage supplémentaire ». L’équipe a également reconnu que le processus de mise à niveau n’utilisait pas de signatures multiples ou de signatures matérielles et manquait de « mesures d’alerte précoce et de coupe-circuit pour les mises à niveau contractuelles », laissant une seule clé compromise suffisante pour pousser une implémentation malveillante.

À la suite de cet exploit, le prix de SYND a chuté de plus de 30 % sur certains sites alors que la vente a touché la liquidité, faisant écho aux précédents piratages de ponts qui ont déclenché de fortes baisses de jetons. Des incidents similaires de ponts inter-chaînes, tels que des exploits antérieurs sur des infrastructures tierces abordés dans cet article de crypto.news, ont souligné à plusieurs reprises les dangers des clés de mise à niveau centralisées.

Syndicate Labs s'est engagé à « indemniser entièrement tous les utilisateurs concernés », notamment en restituant les 18,5 millions de SYND drainés et en fournissant une « indemnisation supplémentaire », tout en « indemnisant pleinement les clients de la chaîne d'applications concernés ». La société affirme disposer de réserves suffisantes pour couvrir les pertes, reflétant les engagements pris lors des efforts antérieurs de récupération de DeFi rapportés dans un autre article de crypto.news.

Pour éviter une répétition, Syndicate Labs a commencé à renforcer sa gestion des clés en renforçant le cryptage par clé privée, en renforçant les contrôles d'accès et en prévoyant d'introduire du matériel ou des mécanismes multi-signatures parallèlement à la surveillance en temps réel des chemins de mise à niveau. La feuille de route de l’équipe suit les appels plus larges de l’industrie en faveur de ponts contrôlés par multisig et de disjoncteurs automatisés, thèmes mis en évidence dans un article distinct sur crypto.news.

Le jeton SYND de Syndicate reste sous pression alors que les marchés digèrent l'attaque et attendent des délais concrets pour l'indemnisation et les mises à niveau de sécurité.