Kinto、Kアタック事件の事後報告書を公開　コントラクト移行とユーザー資産の回復を計画

Foresight Newsによると、Kintoの創設者ラモン・レクエロ氏がKトークンのハッキングに関する詳細な事後報告書を公開しました。攻撃はERC-1967 Proxy標準に潜むバックドアの脆弱性から発生し、攻撃者はブロックエクスプローラーの検出を回避し、Arbitrum上のKプロキシコントラクトをアップグレードして無制限にトークンを発行できるようになりました。その後、攻撃者はUniswap V4およびMorpho Blueから約155万ドル相当の流動性を引き出しました。

Kintoは、この脆弱性が広く利用されているOpenZeppelin Proxyテンプレートに存在しており、Kintoチームが作成したコードではないと説明しています。KintoのL2ネットワーク、ウォレットSDK、アブストラクションインフラストラクチャには影響がなく、Kinto上の他のユーザー資産も被害を受けていません。プロジェクトチームは以下の是正措置を実施する予定です。

新しいKコントラクトのデプロイ：Arbitrum上で強化された新コントラクトをローンチする。資産回復：攻撃前のブロック（356170028）時点でオンチェーンおよび一部取引所アドレスのスナップショットを取得し、すべてのトークン残高を復元する。流動性再開：小規模な資金調達ラウンドを実施し、Uniswapプールに新たな流動性を注入して攻撃前の価格で取引を再開する。Morpho補償プラン：借り手に90日間の返済期間を付与し、残りの不足分はチームが補填する。投機家補償メカニズム：攻撃後から発表前までに購入したユーザーに対し、新Kトークンの比例配分ウィンドウを設けて補償を行う。

現在、Kintoは被害を受けた取引所での取引を凍結し、残りの流動性も閉鎖しています。また、ZeroShadowやVennなどのセキュリティチームと連携し、攻撃者の追跡を進めています。プロジェクトチームは、コミュニティに対して再建計画への支援と、マーケットの回復および被害者への補償のための資金調達への協力を呼びかけています。