Tiết lộ về khủng hoảng Kinto: Khi lỗ hổng trong hợp đồng thông minh gặp phải thị trường tăng giá, các nhà đầu tư nên phòng ngừa rủi ro như thế nào?

Tiêu đề gốc: "Sự sụt giảm 90% gây sốc của Kinto, tấn công lỗ hổng bảo mật hay âm mưu phá giá thị trường?"

Tác giả gốc: 1912212.eth, Foresight News

Thị trường tăng giá trên thị trường tiền điện tử đã lặng lẽ đến, nhưng sự sụt giảm đột ngột và ngắn hạn của các token giao thức dự án vẫn là chuyện thường tình. Vào ngày 10 tháng 7, trong bối cảnh xu hướng tích cực chung của thị trường tiền điện tử, token gốc K của dự án Kinto bất ngờ sụp đổ dữ dội, giá giảm mạnh từ khoảng 8 đô la Mỹ xuống còn khoảng 0,7 đô la Mỹ, giảm hơn 90% và giá trị thị trường bốc hơi xuống dưới hai triệu đô la Mỹ.

Sự việc nhanh chóng gây ra làn sóng phẫn nộ trên mạng xã hội và cộng đồng tiền điện tử, khi các nhà đầu tư cáo buộc dự án bị nghi ngờ là "thủ đoạn".

Mã thông báo K giảm mạnh hơn 80% trong 2 giờ

Kinto là giải pháp Lớp 2 dựa trên Ethereum, tập trung vào phát triển ví thông minh và cơ sở hạ tầng DeFi. Mã thông báo K của họ chính thức được ra mắt để giao dịch vào cuối tháng 3 năm 2025 và đã từng tăng lên khoảng 7 đô la Mỹ và được coi là một cổ phiếu tiềm năng trong hệ sinh thái Arbitrum. Tuy nhiên, mọi thứ đã trở nên tồi tệ hơn vào ngày 10 tháng 7. Vào khoảng 4 giờ chiều giờ Bắc Kinh, giá K bắt đầu biến động bất thường, đầu tiên giảm nhẹ, sau đó giảm mạnh hơn 80% chỉ trong 2 giờ. Dữ liệu giao dịch cho thấy một lượng lớn mã thông báo K đột nhiên đổ vào nhóm thanh khoản, khiến nguồn cung tăng vọt và làn sóng bán tháo hoảng loạn bùng phát trên thị trường.

Người dùng mạng xã hội X @waleswoosh đã đăng: "Ai đó đã đúc token K giả và bán hết. Giá trị thị trường của Kinto đã giảm từ 80 triệu đô la Mỹ xuống còn 7 triệu đô la Mỹ. Đó là một lỗi kỹ thuật đáng kinh ngạc." Trước những nghi ngờ của thị trường, các quan chức Kinto đã nhanh chóng phản hồi, báo cáo và xác nhận rằng một lỗ hổng đã xảy ra bên ngoài mạng lưới Kinto.

Điều đáng chú ý là vào ngày 30 tháng 6, dự án Kinto vừa hoàn thành một đợt mở khóa token cho nhà đầu tư sớm, với khoảng 2,25 triệu K, trị giá khoảng 15 triệu đô la Mỹ. Điều này khiến một số thành viên cộng đồng tự hỏi liệu sự sụt giảm này có liên quan đến việc bán nội bộ hay chỉ là một lỗ hổng kỹ thuật đơn thuần.

Tổng giám đốc điều hành Kinto đã công bố kết quả điều tra để giải đáp những nghi ngờ

Các quan chức Kinto đã công bố kế hoạch hành động tiếp theo, bao gồm

· Gây quỹ để khôi phục khoản lỗ 1,4 triệu đô la từ thanh khoản Uniswap và số dư kho Morpho;

· Chụp ảnh nhanh khối số dư K trước khi bị hack;

· Sử dụng các số dư này để tạo mã thông báo K mới trên Arbitrum;

Tuyên bố của Kinto nhấn mạnh rằng lỗ hổng bảo mật không xảy ra trong mạng lõi Kinto, mà nằm trong một hợp đồng ngoại vi trên chuỗi Arbitrum và không phải do bên dự án cố ý. Nhóm cho biết họ đã tạm dừng các chức năng hợp đồng liên quan và tiến hành kiểm toán khẩn cấp. Đồng thời, họ phủ nhận cáo buộc che giấu thông tin của cộng đồng, chỉ ra rằng mã thông báo của nhóm bị khóa cho đến tháng 4 năm 2026 và không thể bán trước. Giám đốc điều hành Kinto, Ramon Recuero, đã thêm vào trong một bài đăng tiếp theo: "Đây là một lỗi kỹ thuật không mong muốn. Nhóm của chúng tôi đang nỗ lực khắc phục và sẽ bồi thường cho những người dùng bị ảnh hưởng." Và đã giải quyết nguyên nhân và hậu quả của vấn đề.

Tin tặc đã đúc không giới hạn K token trên mạng lưới Arbitrum và đánh cắp 1,55 triệu đô la ETH và USDC từ các nền tảng Uniswap và Morpho (ngoài ra còn gây ra tổn thất về giá của K token). Trước đó, một backdoor nghiêm trọng đã được tìm thấy trong hàng nghìn hợp đồng sử dụng ERC1967Proxy (một tiêu chuẩn chung do OpenZeppelin, hay OZ cung cấp). Tin tặc đã có thể khai thác các lỗ hổng trong trình duyệt blockchain (như Etherscan, Arbiscan, v.v.) để cấy proxy của tin tặc vào giữa mà không bị phát hiện. Ramon Recuero cho biết nhiều nhóm đã nhận được thông báo và vá lỗ hổng, nhưng Kinto thì không nhận được thông báo và tin tặc đã nhanh chóng kiểm soát token của mình trên Arb và sử dụng proxy để tấn công trước khi bản vá được phát hành. Vào lúc 4:34 chiều giờ Bắc Kinh, tin tặc đã đúc 110.000 K token và bắt đầu cuộc tấn công để rút cạn Morpho Vault và nhóm Uniswap v4.

Ramon đã xin lỗi cộng đồng và cuối cùng cho biết anh sẽ huy động vốn từ các đối tác và nhà đầu tư hiện tại để khôi phục số dư token về khối trước vụ hack hoặc khối 356168891. Anh cho biết nếu các phương pháp trên có hiệu quả, những điều sau đây sẽ được hoàn thành trước ngày 31 tháng 7:

· Khôi phục tất cả số dư token K về trạng thái ảnh chụp nhanh trước vụ hack.

· Khôi phục nhóm quỹ Morpho về trạng thái trước vụ hack, bao gồm cả phần liên quan đến Royco.

· Khôi phục thanh khoản trên Uniswap.

· Khởi động lại giao dịch trên các sàn giao dịch tập trung (CEX) với cùng mức giá 7,48 đô la.

Tuy nhiên, phản ứng này không hoàn toàn dập tắt sự bất mãn của cộng đồng. Những quan điểm tương tự về việc các bên tham gia dự án bán tháo thị trường xuất hiện khắp nơi trên các nền tảng xã hội và nhiều nhà đầu tư đã chia sẻ ảnh chụp màn hình tài sản của họ và phàn nàn về những khoản lỗ nặng nề.

Sự cố lỗ hổng bảo mật này không phải là trường hợp cá biệt. Đã có rất nhiều sự cố lỗ hổng bảo mật hợp đồng tương tự trên thị trường tiền điện tử. Theo TheBlock, chỉ riêng trong tháng 4 năm nay, ngành công nghiệp tiền điện tử đã mất 92,5 triệu đô la do các lỗ hổng DeFi, tăng 27,3% so với cùng kỳ năm ngoái. Trong số đó, UPCX và KiloEx chịu thiệt hại lớn nhất, với khoản lỗ lần lượt là 70 triệu đô la và 7,5 triệu đô la. Các nhà phân tích tại công ty bảo mật blockchain PeckShield cho biết: "Lỗ hổng bảo mật của Kinto có thể là một cuộc tấn công reentrancy do chức năng đúc tiền không được khóa. Vấn đề này thường gặp ở các hợp đồng chưa được kiểm toán trong nhiều vòng." Họ khuyến nghị các nhà đầu tư nên ưu tiên kiểm tra báo cáo kiểm toán và lịch trình mở khóa token khi tham gia vào các dự án mới.

Vụ việc Kinto một lần nữa làm nổi bật những thách thức bảo mật của các dự án blockchain khi triển khai các giải pháp Lớp 2.

Tóm tắt

Sự cố token Kinto là một ví dụ thu nhỏ của thị trường tiền điện tử năm 2025: sự đổi mới và rủi ro cùng tồn tại. Sự cố hôm qua và thông báo chính thức hôm nay không chỉ kiểm tra khả năng ứng phó khủng hoảng của dự án mà còn nhắc nhở các nhà đầu tư phải hành động thận trọng. Trong vài ngày tới, báo cáo kiểm toán và kế hoạch bồi thường của Kinto sẽ là trọng tâm. Nếu được xử lý đúng cách, đây có thể chỉ là một giai đoạn khó khăn tạm thời; nếu không, nó có thể gây tổn hại nghiêm trọng đến danh tiếng của Kinto. Trong thị trường biến động nhanh chóng này, DYOR (Tự nghiên cứu) vẫn là phương châm bất hủ.

Liên kết gốc