6 февраля 2025 года Zilliqa обнаружила эксплойт на X-Bridge, который использовал уязвимость в одном из недавно представленных контрактов менеджера токенов платформы.
Этот эксплойт позволил злоумышленнику создавать версии собственных валют на базе Zilliqa на Ethereum и Binance Smart Chain (BSC), не блокируя соответствующее количество активов в этих сетях.
Используя эту уязвимость, злоумышленник сгенерировал 531 Zilliqa-bridged ETH (zETH) и 2.2133 Zilliqa-bridged BNB (zBNB). После этого нарушения были выполнены следующие транзакции:
123.116 zETH был подключен обратно через X-Bridge к сети Ethereum.
2.2133 zBNB был передан обратно через X-Bridge в BSC.
Злоумышленник продал 140,3780 zETH на ZilSwap за 42 000 долларов США и 0,0718 zWBTC, которые впоследствии были переведены обратно в Ethereum и ликвидированы.
После обнаружения этой уязвимости Zilliqa немедленно предприняла действия по снижению дальнейших рисков:
Ретранслятор моста был отключен, а все связанные с ним контракты менеджеров токенов были приостановлены.
Компания Switcheo, оператор ZilSwap, была оперативно уведомлена о проблеме, затронувшей ее пул zETH.
Zilliqa выпустила публичное уведомление, объявляющее об эксплойте, и предостерегла пользователей от торговли zETH на ZilSwap. Предупреждение о безопасности также было выдано через пользовательский интерфейс X-Bridge.
Switcheo отключил пулы zETH на ZilSwap.
Корректирующие действия и смягчение последствий
Zilliqa реализует ряд корректирующих мер для безопасного восстановления работы X-Bridge и смягчения последствий эксплуатации контрактов zETH и zBNB.
Во-первых, затронутый токен zETH будет признан устаревшим, и будет развернут новый токен zETH, сохраняющий законные балансы токенов по состоянию на блок основной сети Zilliqa номер 4465720 (сгенерированный в 08:49 18 февраля 2025 года), одновременно удаляя недействительные токены, связанные со злоумышленником.
Это означает, что те, кто не участвовал в атаке и не купил zETH после объявления об инциденте (опубликовано в 22:48 6 февраля 2025 г.), не пострадают, поскольку их новый баланс токенов zETH будет предварительно заполнен их старым балансом zETH на этом номере блока.
Те, кто приобрел zETH после того, как произошел эксплойт, но до того, как было объявлено о проблеме с пулом zETH на ZilSwap (опубликовано в 00:06 7 февраля 2025 г.), должны связаться с командой Zilliqa по адресу enquiries@zilliqa.com и сообщить подробности своей транзакции, если возникнут проблемы с балансом zETH.
Эксплуатация X-Bridge в ограниченном объеме
Реализованный для обеспечения совместимости с устаревшей сетью Zilliqa в результате вывода из эксплуатации ZilBridge, X-Bridge был расширен для обеспечения возможности объединения токенов, ранее котирующихся на ZilBridge, с поддерживаемыми сетями перед их миграцией в надежную кросс-чейн-инфраструктуру, представленную в Zilliqa 2.0.
После этой уязвимости затронутые контракты X-Bridge будут обновлены для обеспечения более строгих проверок баланса перед выпуском мостовых активов, что предотвратит несанкционированное создание токенов.
В краткосрочной перспективе X-Bridge будет вновь запущен в ограниченном режиме, работая с ограничениями для обеспечения безопасности и надежности инфраструктуры.
Это означает, что для обработки транзакций моста может потребоваться некоторое время, и пользователи должны ожидать задержек, поскольку мы работаем над восстановлением полной функциональности в безопасной среде. Небольшое количество легитимных транзакций X-Bridge в настоящее время зависло и не было обработано. Они будут обработаны, как только X-Bridge вернется в работу.
Мы ожидаем, что X-Bridge возобновит работу в ближайшем будущем, и уведомим пользователей, как только платформа будет повторно активирована.
Zilliqa по-прежнему привержена безопасности и целостности своей экосистемы. Мы ценим терпение и поддержку нашего сообщества, поскольку мы работаем над смягчением последствий этого эксплойта и обеспечением надежной защиты от любых будущих уязвимостей.
Для получения дальнейших новостей о возобновлении ограниченной работы X-Bridge, пожалуйста, оставайтесь на наших официальных каналах и следите за нами на X.
