Techub News の報告によると、Arbitrum エコシステムのモジュラー取引プラットフォーム Kinto の創設者 Ramon Recuero が K トークンのハッカー攻撃事件について詳細な振り返りレポートを発表しました。この攻撃は、ERC-1967 プロキシ標準における隠れたバックドアの脆弱性に起因し、攻撃者はこれを利用してブロックチェーンエクスプローラーによる検出を回避し、Arbitrum 上で K のプロキシコントラクトをアップグレードし、無限のトークンをミンティングしました。その後、Uniswap V4 と Morpho Blue から合計約 155 万ドルの流動性を引き出しました。 Kintoは、この脆弱性が広く使用されているOpenZeppelin Proxyテンプレートに存在することを示しており、Kintoチームが作成したコードではありません。Kinto L2ネットワーク、ウォレットSDK、及び抽象基盤は影響を受けておらず、ユーザーのKinto上の他の資産にも影響はありませんでした。プロジェクトチームは、以下の修正措置を講じる予定です。新しいKコントラクトをデプロイすることを含みます:Arbitrum上に強化版新コントラクトを立ち上げる;資産回復:攻撃前のブロック(356170028)におけるオンチェーン及びCEX取引所アドレスのスナップショットを取り、全てのトークン残高を回復する;流動性の再起動:小規模な資金調達を行い、Uniswapプールに新たな流動性を注入し、攻撃前の価格でCEX取引を回復する;Morpho補償プラン:借り手に90日間の返済期限を与え、チームが残りのギャップを補填する;投機者補償メカニズム:攻撃後の発表前に購入したユーザーに対して、新K補償ウィンドウを比例配分で提供する。
KintoはK攻撃事件についての復盤報告を発表し、契約の移行とユーザー資産の回復を計画しています。
Techub News の報告によると、Arbitrum エコシステムのモジュラー取引プラットフォーム Kinto の創設者 Ramon Recuero が K トークンのハッカー攻撃事件について詳細な振り返りレポートを発表しました。この攻撃は、ERC-1967 プロキシ標準における隠れたバックドアの脆弱性に起因し、攻撃者はこれを利用してブロックチェーンエクスプローラーによる検出を回避し、Arbitrum 上で K のプロキシコントラクトをアップグレードし、無限のトークンをミンティングしました。その後、Uniswap V4 と Morpho Blue から合計約 155 万ドルの流動性を引き出しました。
Kintoは、この脆弱性が広く使用されているOpenZeppelin Proxyテンプレートに存在することを示しており、Kintoチームが作成したコードではありません。Kinto L2ネットワーク、ウォレットSDK、及び抽象基盤は影響を受けておらず、ユーザーのKinto上の他の資産にも影響はありませんでした。プロジェクトチームは、以下の修正措置を講じる予定です。新しいKコントラクトをデプロイすることを含みます:Arbitrum上に強化版新コントラクトを立ち上げる;資産回復:攻撃前のブロック(356170028)におけるオンチェーン及びCEX取引所アドレスのスナップショットを取り、全てのトークン残高を回復する;流動性の再起動:小規模な資金調達を行い、Uniswapプールに新たな流動性を注入し、攻撃前の価格でCEX取引を回復する;Morpho補償プラン:借り手に90日間の返済期限を与え、チームが残りのギャップを補填する;投機者補償メカニズム:攻撃後の発表前に購入したユーザーに対して、新K補償ウィンドウを比例配分で提供する。
2025年7月9日(水)20:17 — @deeberirozによるプロキシスロットのバックドアの初の公開開示。
2025年7月10日(木)08:40 — 攻撃者がArbitrum $Kプロキシをアップグレードし、無限のトークンをミントし、Uniswap & Morpho (~ $1.55 M)を流出させる。Tenderlyのトレースと攻撃者のtxリストを参照。
2025年7月10日(木)09:50 — Kintoが最初の公的警告を発行。