Em 6 de fevereiro de 2025, a Zilliqa identificou uma exploração no X-Bridge que aproveitou uma vulnerabilidade em um dos contratos gerenciadores de tokens recentemente introduzidos na plataforma.
Essa exploração permitiu que o atacante cunhasse as versões transferidas da Zilliqa das moedas nativas no Ethereum e na Binance Smart Chain (BSC) sem bloquear a quantidade correspondente de ativos nessas redes.
Através dessa vulnerabilidade, o atacante gerou 531 ETH (zETH) transferidos via Zilliqa e 2.2133 BNB (zBNB) transferidos via Zilliqa. As seguintes transações foram executadas após essa violação:
123.116 zETH foi transferido de volta através do X-Bridge para a rede Ethereum.
2.2133 zBNB foi transferido de volta através do X-Bridge para a BSC.
O atacante vendeu 140.3780 zETH no ZilSwap por USDT $42.000 e 0.0718 zWBTC, que foi posteriormente transferido de volta para o Ethereum e liquidado.
Após a descoberta dessa exploração, a Zilliqa tomou medidas imediatas para mitigar riscos adicionais:
O relayer da ponte foi desligado e todos os contratos gerenciadores de tokens relacionados foram pausados.
A Switcheo, operadora do ZilSwap, foi prontamente notificada sobre o problema que afeta sua pool de zETH.
A Zilliqa emitiu um aviso público anunciando a exploração e alertou os usuários contra a negociação de zETH no ZilSwap. Um aviso de segurança também foi emitido através da interface do X-Bridge.
A Switcheo desativou as pools de zETH no ZilSwap.
Ações corretivas e mitigação
A Zilliqa está implementando uma série de ações corretivas para trazer o X-Bridge de volta online de forma segura e mitigar o efeito dos contratos zETH e zBNB explorados.
Primeiramente, o token zETH afetado será descontinuado, e um novo token zETH será implantado, mantendo os saldos legítimos de tokens até o número do bloco da mainnet da Zilliqa 4465720 (gerado às 08:49 em 18 de fevereiro de 2025) enquanto remove os tokens inválidos associados ao atacante.
Isso significa que aqueles que não participaram do ataque, e que não compraram zETH após o anúncio do incidente (publicado às 22:48 em 6 de fevereiro de 2025) não serão afetados, pois seu novo saldo de token zETH será pré-preenchido com seu antigo saldo de zETH nesse número de bloco.
Aqueles que compraram zETH após a exploração, mas antes da divulgação do problema com a pool de zETH no ZilSwap (publicado às 00:06 em 7 de fevereiro de 2025) devem entrar em contato com a equipe da Zilliqa pelo e-mail [email protected] com os detalhes de sua transação se houver um problema com seu saldo de zETH.
Operando o X-Bridge em uma capacidade restrita
Implementado para compatibilidade com a rede legada da Zilliqa como resultado da desativação do ZilBridge, o X-Bridge foi estendido para permitir a transferência de tokens anteriormente listados no ZilBridge para redes suportadas antes de sua migração para a robusta infraestrutura cross-chain introduzida na Zilliqa 2.0.
Após essa exploração, os contratos afetados do X-Bridge serão atualizados para impor verificações de saldo mais rigorosas antes de cunhar ativos transferidos, prevenindo a criação não autorizada de tokens.
No curto prazo, o X-Bridge será reativado em uma capacidade limitada, operando sob restrições para garantir a segurança e a confiabilidade da infraestrutura.
Isso significa que pode levar algum tempo para que as transações da ponte sejam processadas, e os usuários devem esperar atrasos enquanto trabalhamos para restaurar a funcionalidade completa em um ambiente seguro. Um pequeno número de transações legítimas do X-Bridge está atualmente preso e não foi processado. Estas serão processadas assim que o X-Bridge retornar à operação.
Esperamos que o X-Bridge retome as operações em um futuro próximo, e notificaremos os usuários assim que a plataforma for reativada.
A Zilliqa permanece comprometida com a segurança e integridade de seu ecossistema. Agradecemos a paciência e apoio da nossa comunidade enquanto trabalhamos para mitigar o efeito dessa exploração e garantir proteção robusta contra futuras vulnerabilidades.
Para mais atualizações sobre o retorno do X-Bridge a operações limitadas, por favor, fique atento aos nossos canais oficiais e siga-nos no X.
