Pe 6 februarie 2025, Zilliqa a identificat un exploit pe X-Bridge care a profitat de o vulnerabilitate în unul dintre contractele managerului de tokenuri recent introduse pe platformă.
Acest exploit a permis atacatorului să creeze versiunile transferate prin Zilliqa ale monedelor native pe Ethereum și Binance Smart Chain (BSC) fără a bloca suma corespunzătoare de active pe aceste rețele.
Prin această vulnerabilitate, atacatorul a generat 531 ETH transferat prin Zilliqa (zETH) și 2.2133 BNB transferat prin Zilliqa (zBNB). Următoarele tranzacții au fost executate în urma acestei breșe:
123.116 zETH a fost transferat înapoi prin X-Bridge către rețeaua Ethereum.
2.2133 zBNB a fost transferat înapoi prin X-Bridge către BSC.
Atacatorul a vândut 140.3780 zETH pe ZilSwap pentru USDT $42,000 și 0.0718 zWBTC, care a fost ulterior transferat înapoi la Ethereum și lichidat.
La descoperirea acestui exploit, Zilliqa a luat măsuri imediate pentru a diminua riscurile suplimentare:
Intermediarul de transfer a fost oprit, iar toate contractele managerului de tokenuri aferente au fost suspendate.
Switcheo, operatorul ZilSwap, a fost imediat notificat cu privire la problema care afectează piscina sa de zETH.
Zilliqa a emis un anunț public prin care a anunțat exploit-ul și a avertizat utilizatorii împotriva tranzacționării zETH pe ZilSwap. O avertizare de securitate a fost de asemenea emisă prin intermediul UI-ului X-Bridge.
Switcheo a dezactivat piscinele zETH pe ZilSwap.
Măsuri corective și atenuare
Zilliqa implementează o serie de măsuri corective pentru a readuce X-Bridge în siguranță online și a diminua efectul contractelor zETH și zBNB exploatate.
În primul rând, tokenul zETH afectat va fi depreciat, iar un nou token zETH va fi implementat, păstrând soldurile legitime ale tokenurilor conform numărului de bloc Zilliqa mainnet 4465720 (generat la 08:49 pe 18 februarie 2025) în timp ce va elimina tokenurile invalide asociate cu atacatorul.
Aceasta înseamnă că cei care nu au participat la atac și care nu au cumpărat zETH după anunțul incidentului (publicat la 22:48 pe 6 februarie 2025) nu vor fi afectați, deoarece noul lor sold de token zETH va fi completat cu vechiul lor sold de zETH la acest număr de bloc.
Cei care au cumpărat zETH după ce a avut loc exploit-ul, dar înainte de anunțarea problemei cu piscina zETH de pe ZilSwap (publicat la 00:06 pe 7 februarie 2025) ar trebui să contacteze echipa Zilliqa la enquiries@zilliqa.com cu detaliile tranzacției lor dacă există o problemă cu soldul lor zETH.
Operarea X-Bridge într-o capacitate restricționată
Implementat pentru compatibilitate cu rețeaua Zilliqa moștenită ca urmare a decommissionării ZilBridge, X-Bridge a fost extins pentru a permite transferul tokenurilor anterior listate pe ZilBridge către rețelele acceptate înainte de migrarea sa către infrastructura robustă cross-chain introdusă în Zilliqa 2.0.
În urma acestui exploit, contractele X-Bridge afectate vor fi actualizate pentru a impune verificări mai stricte ale soldurilor înainte de a crea active transferate, prevenind crearea de tokenuri neautorizate.
Pe termen scurt, X-Bridge va fi readus online într-o capacitate limitată, operând sub restricții pentru a asigura securitatea și fiabilitatea infrastructurii.
Aceasta înseamnă că poate dura ceva timp pentru ca tranzacțiile de transfer să fie procesate, iar utilizatorii ar trebui să se aștepte la întârzieri în timp ce lucrăm pentru a restaura funcționalitatea completă într-un mediu sigur. Un număr mic de tranzacții legitime X-Bridge sunt în prezent blocate și nu au fost procesate. Acestea vor fi procesate odată ce X-Bridge va reveni la activitate.
Ne așteptăm ca X-Bridge să reia activitatea în viitorul apropiat și vom notifica utilizatorii odată ce platforma va fi reactivată.
Zilliqa rămâne angajată față de securitatea și integritatea ecosistemului său. Apreciem răbdarea și sprijinul comunității noastre, în timp ce lucrăm pentru a diminua efectul acestui exploit și a asigura o protecție robustă împotriva oricăror vulnerabilități viitoare.
Pentru actualizări suplimentare privind revenirea X-Bridge la operațiuni limitate, vă rugăm să rămâneți conectați la canalele noastre oficiale și să ne urmăriți pe X.