Il 6 febbraio 2025, Zilliqa ha identificato un exploit su X-Bridge che sfruttava una vulnerabilità in uno dei contratti di gestione dei token introdotti di recente sulla piattaforma.
Questo exploit ha permesso all'aggressore di coniare le versioni Zilliqa-bridged delle valute native su Ethereum e Binance Smart Chain (BSC) senza bloccare la quantità corrispondente di asset su queste reti.
Attraverso questa vulnerabilità, l'attaccante ha generato 531 ETH (zETH) con bridge Zilliqa e 2,2133 BNB (zBNB) con bridge Zilliqa. Le seguenti transazioni sono state eseguite in seguito a questa violazione:
123.116 zETH è stato riportato indietro attraverso X-Bridge alla rete Ethereum.
2.2133 zBNB è stato riportato indietro attraverso X-Bridge a BSC.
L'attaccante ha venduto 140.3780 zETH su ZilSwap per USDT $42,000 e 0.0718 zWBTC, che è stato successivamente riportato su Ethereum e liquidato.
Dopo la scoperta di questo exploit, Zilliqa ha preso immediatamente provvedimenti per mitigare ulteriori rischi:
Il relè del ponte è stato chiuso e tutti i contratti del gestore dei token correlati sono stati messi in pausa.
Switcheo, l'operatore di ZilSwap, è stato prontamente informato del problema che ha colpito il suo pool zETH.
Zilliqa ha emesso un avviso pubblico annunciando l'exploit e ha avvertito gli utenti contro il trading di zETH su ZilSwap. È stato emesso anche un avviso di sicurezza tramite l'interfaccia di X-Bridge.
Switcheo ha disabilitato i pool zETH su ZilSwap.
Azioni correttive e mitigazione
Zilliqa sta implementando una serie di azioni correttive per riportare X-Bridge online in modo sicuro e mitigare l'effetto degli exploit dei contratti zETH e zBNB.
Innanzitutto, il token zETH interessato sarà deprecato e sarà distribuito un nuovo token zETH, mantenendo i saldi dei token legittimi a partire dal numero di blocco 4465720 della mainnet di Zilliqa (generato alle 08:49 del 18 febbraio 2025) mentre rimuovendo i token non validi associati all'attaccante.
Ciò significa che coloro che non hanno partecipato all'attacco e che non hanno acquistato zETH dopo l'annuncio dell'incidente (pubblicato alle 22:48 del 6 febbraio 2025) non saranno colpiti, poiché il loro nuovo saldo zETH sarà precompilato con il loro vecchio saldo zETH a questo numero di blocco.
Coloro che hanno acquistato zETH dopo che si è verificato l'exploit ma prima che il problema con il pool zETH su ZilSwap fosse annunciato (pubblicato alle 00:06 del 7 febbraio 2025) dovrebbero contattare il team di Zilliqa tramite enquiries@zilliqa.com con i dettagli della loro transazione se c'è un problema con il loro saldo zETH.
Operare X-Bridge in una capacità ristretta
Implementato per la compatibilità con la rete Zilliqa legacy a seguito della dismissione di ZilBridge, X-Bridge è stato esteso per consentire il bridging di token precedentemente elencati su ZilBridge verso reti supportate prima della sua migrazione all'infrastruttura cross-chain robusta introdotta in Zilliqa 2.0.
A seguito di questo exploit, i contratti X-Bridge interessati saranno aggiornati per applicare controlli di bilancio più severi prima di coniare asset ponte, prevenendo la creazione non autorizzata di token.
Nel breve termine, X-Bridge sarà riportato online in una capacità limitata, operando sotto restrizioni per garantire la sicurezza e l'affidabilità dell'infrastruttura.
Ciò significa che potrebbero volerci del tempo per elaborare le transazioni del ponte e gli utenti dovrebbero aspettarsi ritardi mentre lavoriamo per ripristinare la piena funzionalità in un ambiente sicuro. Un numero ridotto di transazioni legittime di X-Bridge è attualmente bloccato e non è stato elaborato. Queste saranno elaborate una volta che X-Bridge tornerà in funzione.
Ci aspettiamo che X-Bridge riprenda le operazioni nel prossimo futuro e informeremo gli utenti una volta che la piattaforma sarà riattivata.
Zilliqa rimane impegnata nella sicurezza e nell'integrità del suo ecosistema. Apprezziamo la pazienza e il supporto della nostra comunità mentre lavoriamo per mitigare l'effetto di questo exploit e garantire una protezione robusta contro future vulnerabilità.
Per ulteriori aggiornamenti sul ritorno di X-Bridge a operazioni limitate, si prega di rimanere sintonizzati sui nostri canali ufficiali e seguirci su X.