Kinto publie un rapport post-mortem sur l’incident de l’attaque K, prévoit de migrer les contrats et de restaurer les actifs des utilisateurs

Foresight News rapporte que Ramon Recuero, fondateur de Kinto, a publié un rapport d’analyse détaillé concernant le piratage du jeton K. L’attaque provient d’une vulnérabilité cachée de type porte dérobée dans le standard ERC-1967 Proxy, qui a permis à l’attaquant de contourner la détection des explorateurs de blocs, de mettre à niveau le contrat proxy K sur Arbitrum et de frapper un nombre illimité de jetons. L’attaquant a ensuite extrait environ 1,55 million de dollars de liquidités depuis Uniswap V4 et Morpho Blue.

Kinto a précisé que la vulnérabilité existe dans le modèle de proxy OpenZeppelin largement utilisé et qu’il ne s’agissait pas d’un code écrit par l’équipe Kinto. Le réseau Kinto L2, le SDK de portefeuille et l’infrastructure d’abstraction n’ont pas été affectés, et les autres actifs des utilisateurs sur Kinto n’ont pas été impactés. L’équipe du projet mettra en œuvre les mesures correctives suivantes :

Déploiement d’un nouveau contrat K : lancement d’un nouveau contrat renforcé sur Arbitrum ; Récupération des actifs : prise d’un instantané des adresses on-chain et de certaines plateformes d’échange au bloc précédant l’attaque (356170028) afin de restaurer tous les soldes de jetons ; Redémarrage de la liquidité : organisation d’un tour de financement à petite échelle pour injecter de nouvelles liquidités dans le pool Uniswap et rétablir les échanges aux prix d’avant l’attaque ; Plan de compensation Morpho : accorder aux emprunteurs un délai de remboursement de 90 jours, l’équipe prenant en charge le déficit restant ; Mécanisme de compensation pour les spéculateurs : offrir une fenêtre de distribution proportionnelle de nouveaux jetons K en compensation aux utilisateurs ayant acheté après l’attaque mais avant l’annonce.

Actuellement, Kinto a gelé les échanges sur la plateforme concernée et fermé la liquidité restante, tout en collaborant avec des équipes de sécurité telles que ZeroShadow et Venn pour traquer l’attaquant. L’équipe du projet appelle la communauté à soutenir le plan de reconstruction et à lever des fonds pour restaurer le marché et indemniser les victimes.