This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
KintoはK攻撃事件についての復盤報告を発表し、契約の移行とユーザー資産の回復を計画しています。
Techub News の報告によると、Arbitrum エコシステムのモジュラー取引プラットフォーム Kinto の創設者 Ramon Recuero が K トークンのハッカー攻撃事件について詳細な振り返りレポートを発表しました。この攻撃は、ERC-1967 プロキシ標準における隠れたバックドアの脆弱性に起因し、攻撃者はこれを利用してブロックチェーンエクスプローラーによる検出を回避し、Arbitrum 上で K のプロキシコントラクトをアップグレードし、無限のトークンをミンティングしました。その後、Uniswap V4 と Morpho Blue から合計約 155 万ドルの流動性を引き出しました。
Kintoは、この脆弱性が広く使用されているOpenZeppelin Proxyテンプレートに存在することを示しており、Kintoチームが作成したコードではありません。Kinto L2ネットワーク、ウォレットSDK、及び抽象基盤は影響を受けておらず、ユーザーのKinto上の他の資産にも影響はありませんでした。プロジェクトチームは、以下の修正措置を講じる予定です。新しいKコントラクトをデプロイすることを含みます:Arbitrum上に強化版新コントラクトを立ち上げる;資産回復:攻撃前のブロック(356170028)におけるオンチェーン及びCEX取引所アドレスのスナップショットを取り、全てのトークン残高を回復する;流動性の再起動:小規模な資金調達を行い、Uniswapプールに新たな流動性を注入し、攻撃前の価格でCEX取引を回復する;Morpho補償プラン:借り手に90日間の返済期限を与え、チームが残りのギャップを補填する;投機者補償メカニズム:攻撃後の発表前に購入したユーザーに対して、新K補償ウィンドウを比例配分で提供する。
2025年7月9日(水)20:17 — @deeberirozによるプロキシスロットのバックドアの初の公開開示。
2025年7月10日(木)08:40 — 攻撃者がArbitrum $Kプロキシをアップグレードし、無限のトークンをミントし、Uniswap & Morpho (~ $1.55 M)を流出させる。Tenderlyのトレースと攻撃者のtxリストを参照。
2025年7月10日(木)09:50 — Kintoが最初の公的警告を発行。