🧵 1/10 $K Rekap & Rencana Pemulihan Hack
72 jam terakhir sangat brutal. Eksploitasi proxy yang canggih memungkinkan penyerang mencetak $K tak terbatas di Arbitrum, menguras kumpulan Uniswap + brankas Morpho kami, dan menurunkan harga dengan jutaan token palsu.
Inilah rekap & jalan ke depan 🧵
2/10 Apa yang terjadi
• "Hacker-proxy" tersembunyi di dalam proxy 🚩 ERC-1967
• Penyerang membalik penunjuk, menyita pemilik() + dicetak sesuka hati
• Menguras likuiditas $1,55 juta & USDC dalam hitungan menit
• Harga runtuh >95% 💥
1/ Setelah 12 jam yang mengerikan, sekarang setelah kami memiliki info lebih lanjut, ingin memberikan rekap lengkap tentang apa yang terjadi dan apa rencana kami untuk pulih dari sini.
Hacker dapat mencetak token K tanpa batas di Arb dan mengambil 1,55 juta dalam ETH & USDC dari Uniswap dan Morpho (+ kerusakan pada harga K) 🧵
3/10 Apa yang tidak terjadi
✅ Kontrak Kinto L2, jembatan, dompet SDK, AA infra ⛩️
✅ Penyetoran/penarikan pengguna di Kinto
Bug ini cukup kompleks dan mengandalkan kecelakaan slot proxy ERC-20 & Block Explorers yang berusia 10 tahun yang tidak kami tulis.
Garis waktu 4/10 (UTC)
• 9 Jul 20:17 – Eksploitasi diungkapkan
• 10 Jul 08:40 – Penyerang mencetak & menguras likuiditas
• 10 Jul 09:50 – Pengumuman Pertama oleh tim Kinto
• 10 Juli 16:18 – Pengungkapan Venn yang mengakui Kinto tidak diberitahukan
• 10 Juli 21:44 – Utas lengkap merangkum situasi
• 11 Juli – Keterlibatan ZeroShadow menandatangani & menghubungi pihak berwenang
• 12 Juli – Penyelaman teknis mendalam oleh @pcaversaccio
jadi saya menemukan bahwa itu bahkan lebih mewah. Saya mengamati bahwa tx frontrunning (oleh penyerang) memanggil 'initialize' dan protokol juga memanggil _successfully_ 'initialize' setelah (sehingga mereka berpikir semuanya normal). Tapi tunggu, bagaimana ini mungkin? Saya harus melihat sangat dalam ke dalam perubahan slot penyimpanan dan menebak apa yang saya temukan: mereka _mengatur ulang_ nilai slot penyimpanan '_initialized' di akhir tx yang berjalan di depan (setelah mereka bertukar ke kontrak implementasi berbahaya). Ini berarti bahwa penyimpanan proxy terlihat sekarang karena tidak pernah diinisialisasi.
Slot penyimpanan yang relevan untuk dilihat adalah 'keccak256(abi.encode(uint256(keccak256(" - 1)) & ~bytes32(uint256(0xff))' = '0xf0c57e16840df040f15088dc2f81fe391c3923bec73e23a9662efc9c229c6a00'
Ini adalah kejahatan tingkat berikutnya.
Dampak 5/10
• Kerugian langsung: $1.55 M
• Kapitalisasi pasar: –$10 juta
• Pemasok Morpho berutang $3,2 juta; peminjam memegang $2,4 juta (liq ≥ $3)
6/10 Rencana comeback
1️⃣ Terapkan $K v2 tanpa proxy di Arbitrum
2️⃣ Snapshot & pulihkan SEMUA saldo (on-chain + CEX) Blok:
356170028
3️⃣ Benih kumpulan Uniswap baru & buka kembali CEX dengan harga pra-peretasan
4️⃣ Peminjam mendapatkan 90 d untuk membayar kembali → pemasok mendapatkan 85%+
5️⃣ "Pembeli turun" sebelum peringatan pertama kami menerima v2 $K pro-rata
7/10 Di mana kita sekarang
• Perdagangan dibekukan di Gate, MEXC, BingX
• Likuiditas yang tersisa dihapus untuk melindungi pengguna dari perdagangan
• Bekerja dengan penyelidik & pertukaran
• Mengerjakan rencana migrasi
8/10 Kami mengumpulkan dana pemulihan
Bootstrapping likuiditas baru tidaklah gratis. Jika Anda percaya pada misi Kinto—DeFi yang lebih aman dan patuh—pertimbangkan untuk membantu. Setiap wei pergi ke likuiditas & restitusi.
Silakan hubungi 🙏
9/10 Janji kami
Ini bukan bug dalam kode Kinto, tetapi tanggung jawab adalah milik kita. Kami akan:
• Migrasikan token secepat mungkin 🛡️
• Jaga agar komunikasi 100% transparan
• Buat setiap pengguna yang terkena dampak utuh secepat mungkin secara manusiawi
27 rb
145
Konten pada halaman ini disediakan oleh pihak ketiga. Kecuali dinyatakan lain, OKX bukanlah penulis artikel yang dikutip dan tidak mengklaim hak cipta atas materi tersebut. Konten ini disediakan hanya untuk tujuan informasi dan tidak mewakili pandangan OKX. Konten ini tidak dimaksudkan sebagai dukungan dalam bentuk apa pun dan tidak dapat dianggap sebagai nasihat investasi atau ajakan untuk membeli atau menjual aset digital. Sejauh AI generatif digunakan untuk menyediakan ringkasan atau informasi lainnya, konten yang dihasilkan AI mungkin tidak akurat atau tidak konsisten. Silakan baca artikel yang terkait untuk informasi lebih lanjut. OKX tidak bertanggung jawab atas konten yang dihosting di situs pihak ketiga. Kepemilikan aset digital, termasuk stablecoin dan NFT, melibatkan risiko tinggi dan dapat berfluktuasi secara signifikan. Anda perlu mempertimbangkan dengan hati-hati apakah trading atau menyimpan aset digital sesuai untuk Anda dengan mempertimbangkan kondisi keuangan Anda.