🧵 1/10 Резюме взлома $K и план восстановления Последние 72 часа были жестокими. Сложная уязвимость прокси позволила злоумышленнику создать неограниченное количество $K на Arbitrum, опустошить наш пул Uniswap + хранилище Morpho и обрушить цену с миллионами поддельных токенов. Вот резюме и путь вперед 🧵

2/10 Что произошло • Скрытый "хакер-прокси" внутри прокси ERC-1967 🚩 • Нападающий изменил указатель, захватил owner() + создавал по желанию • Выкачано $1.55 млн ликвидности и USDC за считанные минуты • Цена обрушилась более чем на 95 % 💥

3/10 Что не произошло ✅ Контракты Kinto L2, мост, SDK для кошелька, инфраструктура AA ⛩️ ✅ Депозиты/выводы пользователей на Kinto Ошибка была довольно сложной и зависела от 10-летней ошибки прокси ERC-20 и слота Block Explorers, о которой мы не писали.

4/10 Хронология (UTC) • 9 июля 20:17 – Раскрытие уязвимости • 10 июля 08:40 – Нападающий создает и истощает ликвидность • 10 июля 09:50 – Первое объявление от команды Kinto • 10 июля 16:18 – Раскрытие Venn, признающее, что Kinto не был уведомлен • 10 июля 21:44 – Полная ветка, подводящая итоги ситуации • 11 июля – Подписано соглашение с ZeroShadow и связались с властями • 12 июля – Глубокий технический анализ от @pcaversaccio

5/10 Влияние • Прямые убытки: 1,55 млн долларов • Рыночная капитализация: –10 млн долларов • Поставщики Morpho должны 3,2 млн долларов; заемщики держат 2,4 млн долларов (ликвидность ≥ 3)

6/10 План возвращения 1️⃣ Развернуть $K v2 без прокси на Arbitrum 2️⃣ Снять снимок и восстановить ВСЕ балансы (он-лайн + CEX) Блок: 356170028 3️⃣ Запустить новый пул Uniswap и снова открыть CEX по цене до взлома 4️⃣ Заемщики получают 90 д для погашения → поставщики возвращают 85 %+ 5️⃣ "Покупатели на падении" перед нашим первым оповещением получают v2 $K пропорционально

7/10 Где мы сейчас • Торговля заморожена на Gate, MEXC, BingX • Оставшаяся ликвидность удалена для защиты пользователей от торговли • Работаем с следователями и биржами • Работаем над планом миграции

8/10 Мы создаем фонд восстановления Создание новой ликвидности не бесплатно. Если вы верите в миссию Kinto — более безопасный и соответствующий требованиям DeFi — подумайте о том, чтобы помочь. Каждый вэй идет на ликвидность и возмещение. Пожалуйста, свяжитесь с нами 🙏

9/10 Наше обещание Это не была ошибка в коде Kinto, но ответственность лежит на нас. Мы: • Переносим токен так быстро, как сможем 🛡️ • Будем поддерживать 100% прозрачность коммуникаций • Сделаем так, чтобы каждый пострадавший пользователь получил компенсацию как можно быстрее

27,03 тыс.

Содержание этой страницы предоставляется третьими сторонами. OKX не является автором цитируемых статей и не имеет на них авторских прав, если не указано иное. Материалы предоставляются исключительно в информационных целях и не отражают мнения OKX. Материалы не являются инвестиционным советом и призывом к покупке или продаже цифровых активов. Раздел использует ИИ для создания обзоров и кратких содержаний предоставленных материалов. Обратите внимание, что информация, сгенерированная ИИ, может быть неточной и непоследовательной. Для получения полной информации изучите соответствующую оригинальную статью. OKX не несет ответственности за материалы, содержащиеся на сторонних сайтах. Цифровые активы, в том числе стейблкоины и NFT, подвержены высокому риску, а их стоимость может сильно колебаться. Перед торговлей и покупкой цифровых активов оцените ваше финансовое состояние и принимайте только взвешенные решения.