Pada 6 Februari 2025, Zilliqa mengidentifikasi sebuah eksploitasi di X-Bridge yang memanfaatkan kerentanan dalam salah satu kontrak pengelola token yang baru saja diperkenalkan di platform.
Eksploitasi ini memungkinkan penyerang untuk mencetak versi Zilliqa yang dijembatani dari mata uang asli di Ethereum dan Binance Smart Chain (BSC) tanpa mengunci jumlah aset yang sesuai di jaringan ini.
Melalui kerentanan ini, penyerang menghasilkan 531 ETH yang dijembatani Zilliqa (zETH) dan 2.2133 BNB yang dijembatani Zilliqa (zBNB). Transaksi berikut dilakukan setelah pelanggaran ini:
123.116 zETH telah dijembatani kembali melalui X-Bridge ke jaringan Ethereum.
2.2133 zBNB telah dijembatani kembali melalui X-Bridge ke BSC.
Penyerang menjual 140.3780 zETH di ZilSwap seharga USDT $42.000 dan 0.0718 zWBTC, yang kemudian dijembatani kembali ke Ethereum dan dilikuidasi.
Setelah penemuan eksploitasi ini, Zilliqa segera mengambil tindakan untuk mengurangi risiko lebih lanjut:
Pengirim jembatan dimatikan dan semua kontrak pengelola token terkait dijeda.
Switcheo, operator ZilSwap, segera diberitahu tentang masalah yang mempengaruhi kolam zETH-nya.
Zilliqa mengeluarkan pemberitahuan publik yang mengumumkan eksploitasi dan memperingatkan pengguna agar tidak memperdagangkan zETH di ZilSwap. Peringatan keamanan juga dikeluarkan melalui antarmuka X-Bridge.
Switcheo menonaktifkan kolam zETH di ZilSwap.
Tindakan korektif dan mitigasi
Zilliqa sedang menerapkan sejumlah tindakan korektif untuk membawa X-Bridge kembali online dengan aman dan mengurangi dampak dari kontrak zETH dan zBNB yang dieksploitasi.
Pertama, token zETH yang terpengaruh akan dinyatakan tidak berlaku, dan token zETH baru akan dikerahkan, mempertahankan saldo token yang sah pada nomor blok mainnet Zilliqa 4465720 (dihasilkan pada 08:49 pada 18 Februari 2025) sambil menghapus token yang tidak valid yang terkait dengan penyerang.
Ini berarti bahwa mereka yang tidak berpartisipasi dalam penyerangan, dan yang tidak membeli zETH setelah pengumuman insiden (dipublikasikan pada 22:48 pada 6 Februari 2025) tidak akan terpengaruh, karena saldo token zETH baru mereka akan diisi dengan saldo zETH lama mereka pada nomor blok ini.
Mereka yang membeli zETH setelah eksploitasi terjadi tetapi sebelum masalah dengan kolam zETH di ZilSwap diumumkan (dipublikasikan pada 00:06 pada 7 Februari 2025) harus menghubungi tim Zilliqa melalui enquiries@zilliqa.com dengan rincian transaksi mereka jika ada masalah dengan saldo zETH mereka.
Mengoperasikan X-Bridge dalam kapasitas terbatas
Diterapkan untuk kompatibilitas dengan jaringan Zilliqa yang lama sebagai hasil dari ZilBridge yang dihentikan, X-Bridge diperluas untuk memungkinkan jembatan token yang sebelumnya terdaftar di ZilBridge ke jaringan yang didukung menjelang migrasinya ke infrastruktur lintas rantai yang kuat yang diperkenalkan di Zilliqa 2.0.
Setelah eksploitasi ini, kontrak X-Bridge yang terpengaruh akan ditingkatkan untuk memberlakukan pemeriksaan saldo yang lebih ketat sebelum mencetak aset yang dijembatani, mencegah penciptaan token yang tidak sah.
Dalam jangka pendek, X-Bridge akan diaktifkan kembali dalam kapasitas terbatas, beroperasi di bawah pembatasan untuk memastikan keamanan dan keandalan infrastruktur.
Ini berarti mungkin akan memakan waktu bagi transaksi jembatan untuk diproses, dan pengguna harus mengharapkan penundaan saat kami bekerja untuk mengembalikan fungsionalitas penuh dalam lingkungan yang aman. Sejumlah kecil transaksi X-Bridge yang sah saat ini terjebak dan belum diproses. Ini akan diproses setelah X-Bridge kembali beroperasi.
Kami berharap X-Bridge akan melanjutkan operasi dalam waktu dekat, dan kami akan memberi tahu pengguna setelah platform diaktifkan kembali.
Zilliqa tetap berkomitmen pada keamanan dan integritas ekosistemnya. Kami menghargai kesabaran dan dukungan komunitas kami saat kami bekerja untuk mengurangi dampak dari eksploitasi ini dan memastikan perlindungan yang kuat terhadap kerentanan di masa depan.
Untuk pembaruan lebih lanjut tentang kembalinya X-Bridge ke operasi terbatas, silakan ikuti saluran resmi kami dan ikuti kami di X.