Tópicos em alta
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
🧵 1/10 $K Recapitulação do Hack e Plano de Recuperação
As últimas 72 horas foram brutais. Um exploit de proxy sofisticado permitiu que um invasor cunhasse $K ilimitados no Arbitrum, drenasse nosso pool Uniswap + cofre Morpho e destruísse o preço com milhões de tokens falsos.
Aqui está a recapitulação e o caminho a seguir 🧵
13 de jul., 21:58
Todas as informações sobre o $K Proxy Hack e o caminho a seguir nesta postagem 👇 do blog
2/10 O que aconteceu
• "Hacker-proxy" oculto dentro do proxy 🚩 ERC-1967
• O atacante virou o ponteiro, apreendeu o dono() + cunhou à vontade
• Liquidez e USDC de US$ 1,55 milhão drenados em minutos
• O preço caiu >95% 💥
11 de jul., 05:44
1/ Depois de 12 horas angustiantes, agora que temos mais informações, queríamos fornecer uma recapitulação completa do que aconteceu e qual é o nosso plano para nos recuperarmos daqui.
O hacker conseguiu cunhar tokens K ilimitados no Arb e pegar 1,55M em ETH & USDC da Uniswap e Morpho (+ danos no preço K) 🧵
3/10 O que não aconteceu
✅ Contratos Kinto L2, ponte, carteira SDK, AA infra ⛩️
✅ Depósitos/saques de usuários no Kinto
O bug era bastante complexo e dependia do acidente de 10 anos de idade do slot ERC-20 proxy & Block Explorers que não escrevemos.
Linha do tempo 4/10 (UTC)
• 9 de julho 20:17 - Exploit divulgado
• 10 de julho 08:40 - Invasor cunha e drena liquidez
• 10 de julho 09:50 - Primeiro anúncio da equipe Kinto
• 10 de julho 16:18 - A divulgação de Venn reconhecendo Kinto não foi notificada
• 10 de julho 21:44 - Tópico completo recapitulando a situação
• 11 de julho - Compromisso da ZeroShadow assinado e contatado pelas autoridades
• 12 de julho – Mergulho técnico profundo por @pcaversaccio
13 de jul., 03:22
então descobri que é ainda mais sofisticado. Observei que o frontrunning tx (pelos atacantes) chama 'initialize' e os protocolos também chamam _successfully_ 'initialize' depois (assim eles acham que tudo está normal). Mas espere, como isso é possível? Tive que olhar muito fundo nas mudanças no slot de armazenamento e adivinhar o que encontrei: eles _resetaram_ o valor do slot de armazenamento '_initialized' no final do frontrunning tx (depois de trocarem para o contrato de implementação malicioso). Isso significa que o armazenamento proxy agora parece que nunca foi inicializado.
O slot de armazenamento relevante a ser observado é 'keccak256(abi.encode(uint256(keccak256(" - 1)) & ~bytes32(uint256(0xff))' = '0xf0c57e16840df040f15088dc2f81fe391c3923bec73e23a9662efc9c229c6a00'
Este é o mal de próximo nível.
5/10 Impacto
• Perda direta: US$ 1,55 milhão
• Capitalização de mercado: –US$ 10 milhões
• Os fornecedores da Morpho deviam US$ 3,2 milhões; mutuários detêm US$ 2,4 milhões (liq ≥ US$ 3)
6/10 O plano de retorno
1️⃣ Implante $K sem proxy v2 no Arbitrum
2️⃣ Instantâneo e restauração de TODOS os saldos (on-chain + CEX) Bloco:
356170028
3️⃣ Semeie um novo pool Uniswap e reabra CEXs a preço pré-hack
4️⃣ Os mutuários recebem 90 d para reembolsar → os fornecedores recuperam 85%+
5️⃣ "Compradores de mergulho" antes do nosso primeiro alerta receber $K v2 pro-rata
7/10 Onde estamos agora
• Negociação congelada no Gate, MEXC, BingX
• Liquidez restante removida para proteger os usuários de negociação
• Trabalhar com investigadores e intercâmbios
• Trabalhando no plano de migração
8/10 Estamos levantando um fundo de recuperação
Inicializar a liquidez fresca não é gratuito. Se você acredita na missão da Kinto - DeFi mais seguro e compatível - considere ajudar. Cada wei vai para liquidez e restituição.
Por favor, entre em contato 🙏
9/10 Nossa promessa
Isso não era um bug no código do Kinto, mas a responsabilidade é nossa. Nós vamos:
• Migre o token o mais rápido possível 🛡️
• Mantenha as comunicações 100% transparentes
• Torne cada usuário afetado inteiro o mais rápido possível
31,81K
Melhores
Classificação
Favoritos