Kinto публикует отчет о расследовании инцидента с атакой K, планирует миграцию контрактов и восстановление пользовательских активов

По сообщению Foresight News, основатель Kinto Рамон Рекуэро опубликовал подробный отчет о причинах взлома токена K. Атака произошла из-за скрытой уязвимости-бэкдора в стандарте ERC-1967 Proxy, что позволило злоумышленнику обойти обнаружение через блок-эксплорер, обновить прокси-контракт K в сети Arbitrum и чеканить неограниченное количество токенов. Затем атакующий вывел примерно 1,55 миллиона долларов ликвидности с Uniswap V4 и Morpho Blue.

Kinto заявила, что уязвимость присутствует в широко используемом шаблоне OpenZeppelin Proxy и не была написана командой Kinto. Сеть Kinto L2, SDK кошелька и инфраструктура абстракции не пострадали, другие активы пользователей на Kinto также не были затронуты. Команда проекта реализует следующие меры по устранению последствий:

Развертывание нового контракта K: запуск усиленного нового контракта в сети Arbitrum; Восстановление активов: создание снимка адресов в блокчейне и на некоторых биржах на момент блока до атаки (356170028) для восстановления всех балансов токенов; Перезапуск ликвидности: проведение небольшого раунда сбора средств для вливания новой ликвидности в пул Uniswap и восстановления торгов по докризисным ценам; План компенсации Morpho: предоставление заемщикам 90-дневного периода для погашения, при этом команда покроет оставшийся дефицит; Механизм компенсации спекулянтам: предоставление пропорционального окна распределения новых токенов K в качестве компенсации пользователям, купившим токены после атаки, но до объявления.

В настоящее время Kinto заморозила торги на пострадавшей бирже и закрыла оставшуюся ликвидность, а также сотрудничает с командами безопасности, такими как ZeroShadow и Venn, для отслеживания злоумышленника. Команда проекта призывает сообщество поддержать план восстановления и собрать средства для восстановления рынка и компенсации пострадавшим.