Vào ngày 6 tháng 2 năm 2025, Zilliqa đã xác định một lỗ hổng trên X-Bridge lợi dụng một lỗ hổng trong một trong các hợp đồng quản lý token mới được giới thiệu của nền tảng.
Sự khai thác này đã cho phép kẻ tấn công tạo ra các phiên bản chuyển qua Zilliqa của các đồng tiền gốc trên Ethereum và Binance Smart Chain (BSC) mà không cần khóa số lượng tài sản tương ứng trên các mạng này.
Thông qua lỗ hổng này, kẻ tấn công đã tạo ra 531 ETH (zETH) được chuyển qua Zilliqa và 2.2133 BNB (zBNB) được chuyển qua Zilliqa. Các giao dịch sau đã được thực hiện sau khi xảy ra sự cố này:
123.116 zETH đã được chuyển qua X-Bridge về mạng Ethereum.
2.2133 zBNB đã được chuyển qua X-Bridge về BSC.
Kẻ tấn công đã bán 140.3780 zETH trên ZilSwap để lấy USDT $42,000 và 0.0718 zWBTC, sau đó đã được chuyển trở lại Ethereum và thanh lý.
Ngay khi phát hiện ra sự khai thác này, Zilliqa đã thực hiện hành động ngay lập tức để giảm thiểu rủi ro thêm:
Bộ chuyển tiếp cầu đã bị tắt và tất cả các hợp đồng quản lý token liên quan đã bị tạm dừng.
Switcheo, nhà điều hành ZilSwap, đã nhanh chóng được thông báo về vấn đề ảnh hưởng đến pool zETH của nó.
Zilliqa đã phát hành thông báo công khai thông báo về sự khai thác và cảnh báo người dùng chống lại việc giao dịch zETH trên ZilSwap. Một cảnh báo an ninh cũng đã được phát hành qua giao diện X-Bridge.
Switcheo đã vô hiệu hóa các pool zETH trên ZilSwap.
Các hành động khắc phục và giảm thiểu
Zilliqa đang thực hiện một số hành động khắc phục để đưa X-Bridge trở lại hoạt động một cách an toàn và giảm thiểu ảnh hưởng của các hợp đồng zETH và zBNB bị khai thác.
Thứ nhất, token zETH bị ảnh hưởng sẽ bị ngừng sử dụng, và một token zETH mới sẽ được triển khai, giữ lại số dư token hợp pháp tính đến số khối mạng chính của Zilliqa số 4465720 (được tạo ra lúc 08:49 vào ngày 18 tháng 2 năm 2025) trong khi loại bỏ các token không hợp lệ liên quan đến kẻ tấn công.
Điều này có nghĩa là những người không tham gia vào cuộc tấn công, và những người không mua zETH sau khi thông báo về sự cố (được công bố lúc 22:48 vào ngày 6 tháng 2 năm 2025) sẽ không bị ảnh hưởng, vì số dư token zETH mới của họ sẽ được tự động điền với số dư zETH cũ của họ tại số khối này.
Những người đã mua zETH sau khi sự khai thác xảy ra nhưng trước khi vấn đề với pool zETH trên ZilSwap được thông báo (được công bố lúc 00:06 vào ngày 7 tháng 2 năm 2025) nên liên hệ với đội ngũ Zilliqa qua enquiries@zilliqa.com với chi tiết giao dịch của họ nếu có vấn đề với số dư zETH của họ.
Hoạt động X-Bridge trong một năng lực hạn chế
Được triển khai để tương thích với mạng Zilliqa cũ do ZilBridge bị ngừng hoạt động, X-Bridge đã được mở rộng để cho phép chuyển qua các token trước đây được liệt kê trên ZilBridge sang các mạng hỗ trợ trước khi di chuyển sang cơ sở hạ tầng đa chuỗi mạnh mẽ được giới thiệu trong Zilliqa 2.0.
Sau sự khai thác này, các hợp đồng X-Bridge bị ảnh hưởng sẽ được nâng cấp để thực thi các kiểm tra số dư nghiêm ngặt hơn trước khi phát hành tài sản chuyển qua, ngăn chặn việc tạo ra token trái phép.
Trong ngắn hạn, X-Bridge sẽ được khôi phục trực tuyến với năng lực hạn chế, hoạt động dưới các hạn chế để đảm bảo an ninh và độ tin cậy của cơ sở hạ tầng.
Điều này có nghĩa là có thể mất một thời gian để các giao dịch cầu được xử lý, và người dùng nên mong đợi sự chậm trễ khi chúng tôi làm việc để khôi phục đầy đủ chức năng trong một môi trường an toàn. Một số ít giao dịch X-Bridge hợp pháp hiện đang bị mắc kẹt và chưa được xử lý. Những giao dịch này sẽ được xử lý khi X-Bridge trở lại hoạt động.
Chúng tôi mong đợi X-Bridge sẽ tiếp tục hoạt động trong tương lai gần, và chúng tôi sẽ thông báo cho người dùng khi nền tảng được kích hoạt lại.
Zilliqa cam kết với an ninh và tính toàn vẹn của hệ sinh thái của mình. Chúng tôi đánh giá cao sự kiên nhẫn và hỗ trợ của cộng đồng trong khi chúng tôi làm việc để giảm thiểu ảnh hưởng của sự khai thác này và đảm bảo bảo vệ mạnh mẽ chống lại bất kỳ lỗ hổng nào trong tương lai.
Để cập nhật thêm về việc X-Bridge trở lại hoạt động hạn chế, xin vui lòng theo dõi các kênh chính thức của chúng tôi và theo dõi chúng tôi trên X.
