DApp Store | Hub Web3 pour les événements et les jeux

🧵 1/10 Récapitulatif du hack $K et plan de récupération Les 72 dernières heures ont été brutales. Une exploitation de proxy sophistiquée a permis à un attaquant de frapper un nombre illimité de $K sur Arbitrum, de vider notre pool Uniswap + le coffre Morpho, et a fait s'effondrer le prix avec des millions de faux tokens. Voici le récapitulatif et le chemin à suivre 🧵

2/10 Que s'est-il passé • Proxy "hacker-proxy" caché à l'intérieur du proxy ERC-1967 🚩 • L'attaquant a inversé le pointeur, a saisi owner() + a minté à volonté • A drainé 1,55 M $ de liquidités & USDC en quelques minutes • Le prix s'est effondré de >95 % 💥

3/10 Ce qui ne s'est pas passé ✅ Contrats Kinto L2, pont, SDK de portefeuille, infrastructure AA ⛩️ ✅ Dépôts/retraits d'utilisateurs sur Kinto Le bug était assez complexe et reposait sur le problème de slot des proxy ERC-20 vieux de 10 ans et des explorateurs de blocs que nous n'avons pas écrit.

4/10 Chronologie (UTC) • 9 juil. 20:17 – Exploit divulgué • 10 juil. 08:40 – L'attaquant crée et vide la liquidité • 10 juil. 09:50 – Première annonce de l'équipe Kinto • 10 juil. 16:18 – Divulgation de Venn reconnaissant que Kinto n'a pas été informé • 10 juil. 21:44 – Fil complet récapitulant la situation • 11 juil. – Engagement de ZeroShadow signé & autorités contactées • 12 juil. – Plongée technique approfondie par @pcaversaccio

5/10 Impact • Perte directe : 1,55 M$ • Capitalisation boursière : –10 M$ • Fournisseurs Morpho dus 3,2 M$ ; emprunteurs détiennent 2,4 M$ (liq ≥ 3)

6/10 Le plan de retour 1️⃣ Déployer le $K v2 sans proxy sur Arbitrum 2️⃣ Prendre un instantané & restaurer TOUS les soldes (on-chain + CEX) Bloc : 356170028 3️⃣ Créer un nouveau pool Uniswap & rouvrir les CEX au prix d'avant le hack 4️⃣ Les emprunteurs ont 90 jours pour rembourser → les fournisseurs récupèrent 85 %+ 5️⃣ Les "acheteurs de dip" avant notre première alerte reçoivent v2 $K au prorata

7/10 Où nous en sommes maintenant • Trading gelé sur Gate, MEXC, BingX • Liquidité restante retirée pour protéger les utilisateurs du trading • Collaboration avec les enquêteurs et les échanges • Élaboration du plan de migration

8/10 Nous levons un fonds de récupération Générer de la nouvelle liquidité n'est pas gratuit. Si vous croyez en la mission de Kinto—un DeFi plus sûr et conforme—envisagez d'aider. Chaque wei va à la liquidité et à la restitution. Veuillez nous contacter 🙏

9/10 Notre promesse Ce n'était pas un bug dans le code de Kinto, mais la responsabilité nous incombe. Nous allons : • Migrer le token aussi vite que possible 🛡️ • Garder la communication 100 % transparente • Rendre chaque utilisateur affecté entier aussi rapidement que humainement possible