Kinto创始人Ramon Recuero发布了关于K代币遭黑客攻击事件的详细报告。攻击源于ERC-1967 Proxy标准中的后门漏洞，攻击者通过升级代理合约铸造无限代币，并提取了Uniswap V4和Morpho Blue的流动性，总计约155万美元。Kinto强调漏洞并非团队代码所致，并采取了包括部署新合约、资产恢复、重启流动性、Morpho补偿和投机者补偿等修复措施。项目方正在与安全团队合作追踪攻击者，并呼吁社区支持重建计划。

🛡️ 攻击源于ERC-1967 Proxy标准漏洞：本次攻击是由于ERC-1967 Proxy标准中存在的隐藏后门漏洞，攻击者利用此漏洞绕过区块浏览器检测，在Arbitrum上升级了K代币的代理合约。

💰 攻击者非法铸造代币并提取流动性：攻击者通过升级后的代理合约，非法铸造了无限量K代币，随后从Uniswap V4和Morpho Blue中提取了约155万美元的流动性。

🛠️ 项目方采取的修复措施：Kinto团队采取了一系列修复措施，包括部署新的K代币合约、基于攻击前区块进行资产快照恢复、重启Uniswap流动性并恢复CEX交易、为Morpho借款人提供90天还款期限，以及为攻击公告前购入的用户提供补偿。

🤝 项目方寻求社区支持：Kinto已冻结CEX交易并关闭剩余流动性，同时与安全团队合作追踪攻击者，并呼吁社区支持重建计划，募集资金用于恢复市场和受害者赔付。

Foresight News 消息，Kinto 创始人 Ramon Recuero 就 K 代币遭黑客攻击事件发布详细复盘报告。此次攻击源于 ERC-1967 Proxy 标准中的一个隐藏后门漏洞，攻击者借此绕过区块浏览器检测，在 Arbitrum 上升级了 K 的代理合约并铸造无限代币，随后从 Uniswap V4 与 Morpho Blue 中共提取约 155 万美元的流动性。

Kinto 表示，该漏洞存在于被广泛使用的 OpenZeppelin Proxy 模板中，非 Kinto 团队所编写代码。Kinto L2 网络、钱包 SDK 及抽象基础设施均未受影响，用户在 Kinto 上的其他资产也未遭波及。项目方将采取以下修复措施：

部署新 K 合约：在 Arbitrum 上上线强化版新合约；资产恢复：对链上及 CEX 交易所地址在攻击前区块（356170028）快照，恢复所有代币余额； 重启流动性：进行小规模融资，为 Uniswap 池注入新流动性，并以攻击前价格恢复 CEX 交易；Morpho 补偿方案：给予借款人 90 天还款期限，团队将补足剩余缺口；投机者补偿机制：为攻击后公告前购入的用户，提供按比例分发的新 K 补偿窗口。

目前 Kinto 已冻结 CEX 交易并关闭剩余流动性，同时与 ZeroShadow、Venn 等安全团队合作追踪攻击者。项目方呼吁社区支持重建计划，募集资金用于恢复市场与受害者赔付。

来源链接