Syndicate：安全事件源於私鑰洩露導致橋接合約被惡意升級，共致38萬美元損失

事件概要

Syndicate Labs就此前安全事件發佈更新，指出私鑰洩露導致兩個鏈上的橋接合約被惡意升級，造成約1850萬枚SYND（約33萬美元）及約5萬美元客戶代幣被盜。事件損失總額約為38萬美元，涵蓋代幣轉移與市場變現。

攻擊過程

• 攻擊者通過私鑰洩露入侵系統，獲取生產環境權限。
• 利用權限將橋接合約升級至惡意版本，實現代幣轉移。
• 攻擊過程涵蓋多階段偵察、基礎設施映射、漏洞利用開發及精確計時，排除了內部人員參與的可能性。

漏洞根源

私鑰存儲於密碼管理器中，且升級流程未採用多籤或硬件簽名機制，是導致安全事件的根本原因。

應對措施

Syndicate正在加強安全措施，包括：

• 在密碼管理器外增加加密層。
• 升級路徑採用多籤或硬件簽名機制，以提升合約升級的安全性。

用戶賠償

受影響用戶將獲得全額賠償，SYND持有者還將獲得額外補償。

來源：https://www.panewslab.com/zh/articles/019de116-410e-70cd-a93b-9b092e6e27dd