Вход

Kinto закрывается после хака на $1,9 млн: цена упала на 94%

«Каждый смарт-контракт — это не просто код. Это обещание безопасности. И когда это обещание нарушается, страдает доверие ко всей экосистеме.»
— Эллисон Пирсон, директор по кибербезопасности Europol

В сентябре 2025 года сообщество Ethereum столкнулось с ещё одним болезненным напоминанием о рисках децентрализованных финансов (DeFi). Проект Kinto, Layer-2 решение, позиционировавшееся как инновационная платформа для кредитования и деривативов, объявил о полном закрытии операций после масштабного взлома, в результате которого было похищено около 577 ETH (на тот момент — $1,9 миллиона). Сразу после анонса цена токена K упала более чем на 94%, а команда, не получавшая зарплату с июля, признала, что не может восстановить финансирование.

Решение о закрытии, анонсированное 7 сентября в X (бывший Twitter), стало финальной точкой в истории, которая начиналась как амбициозный проект и превратилась в ещё одну предупредительную сказку для DeFi-индустрии. Несмотря на попытки реанимации через программу «Phoenix», слабые рыночные условия, потеря доверия инвесторов и невозможность привлечь новые средства сделали продолжение деятельности невозможным.

Как отметил Хакан Унал из Cyvers: «В DeFi нет второго шанса. Одна уязвимость — и доверие разрушено навсегда.»

🔍 Что такое Kinto: от амбиций до краха

Kinto был запущен как Ethereum Layer-2 проект, сочетающий функции децентрализованной биржи деривативов (perps) и протокола кредитования. Его ключевыми особенностями были:

  • Высокое плечо — до 50x для торговли перпетуальными контрактами.
  • Низкие комиссии — благодаря оптимизированной L2-архитектуре.
  • Интеграция с Morpho — для эффективного управления ликвидностью.
  • Планируемый airdrop (ERA) — для поощрения ранних пользователей.

Проект позиционировался как конкурент для таких платформ, как GMX и Hyperliquid, и привлёк внимание разработчиков и трейдеров. Однако его судьба была решена в июле 2025 года, когда злоумышленники нашли критическую уязвимость в коде.

⚡ Как произошёл взлом: уязвимость в прокси-контракте

Атака была возможна из-за критической уязвимости в стандарте ERC-1967 Proxy — широко используемом шаблоне OpenZeppelin для создания обновляемых смарт-контрактов. Этот паттерн позволяет разработчикам вносить изменения в логику контракта без изменения его адреса, что удобно, но создаёт риски, если админ-ключи скомпрометированы или логика управления небезопасна.

Хакеры воспользовались этой уязвимостью, чтобы:

  1. Минтировать 110 000 поддельных токенов K на сети Arbitrum.
  2. Использовать эти токены как обеспечение для заимствования реальных активов.
  3. Похитить средства из пулов ликвидности на Uniswap и кредитных воротах Morpho.

В результате было похищено 577 ETH, что полностью опустошило резервы протокола и сделало невозможным выполнение обязательств перед пользователями.

Как сказал Зак Чжоу (ZachXBT): «Upgradeable contracts — это удобно до тех пор, пока кто-то не получит доступ к кнопке "обновить" и не заменит ваш код на "передай мне всё".»

🔥 Попытка спасения: программа Phoenix и её провал

После атаки команда Kinto запустила экстренную инициативу под названием «Phoenix Program» (Программа Феникс) с целью реанимировать проект.

Меры включали:

  • Привлечение $1 миллиона в виде долга от частных кредиторов.
  • Возобновление торговли для генерации комиссий и восстановления ликвидности.
  • Публичные отчёты о восстановлении для возврата доверия.

Однако усилия оказались тщетными. По данным команды:

  • Финансирование новых раундов провалилось — инвесторы отказались вкладываться после взлома.
  • Рыночные условия остались слабыми, что ограничило рост объёмов торгов.
  • Доверие пользователей было безвозвратно утрачено.
  • Члены команды не получали зарплату с июля 2025 года.

В итоге команда приняла решение о добровольном закрытии, заявив: «Мы закроемся ответственно, вернём, что сможем сегодня, и продолжим бороться за возврат средств завтра.»

💸 Что будет с пользователями: возврат средств и airdrop

Несмотря на закрытие, команда предприняла шаги для минимизации ущерба для пострадавших.

🔐 Возврат средств

Kinto объединил оставшиеся активы (около $800 000) в безопасный кошелёк, контролируемый фондом. Эти средства будут распределены в следующем порядке:

  • Кредиторы программы Phoenix — получат около 76% от своих вложений.
  • Пользователи, пострадавшие в Morpho — могут претендовать на благотворительную выплату до $1 100 из фонда в $55 000, созданного на личные средства основателя Рамона Рекуэро.

🔄 Механизм вывода

  • Пользователи могут выводить свои активы с L2-платформы до 30 сентября 2025 года.
  • После этой даты будет развернут контракт на Ethereum mainnet, позволяющий пользователям восстановить остатки.

🎁 Airdrop всё ещё состоится

Несмотря на закрытие, запланированный ERA airdrop будет проведён 15 октября 2025 года, как и обещалось. Это стало редким жестом уважения к сообществу в подобных ситуациях.

⚠️ Причины краха: уроки для всей индустрии DeFi

Падение Kinto — это не единичный случай, а симптом системных проблем в DeFi.

🔧 Уязвимость upgradeable-контрактов

Использование обновляемых контрактов — это компромисс между гибкостью и безопасностью. Каждый проект, использующий OpenZeppelin UUPS или Transparent Proxy, должен понимать, что централизованные элементы управления (admin keys) — это главная точка риска.

📉 Отсутствие надёжных мер защиты казначейства

Многие проекты не имеют страховки, многоуровневой мультиподписи или программ bug bounty, что делает их уязвимыми к атакам.

💸 Неустойчивые модели доходности

Зависимость от airdrop’ов и высоких ставок по вкладам создаёт пузырь, который лопается при первых признаках кризиса.

🛡️ Недостаточный аудит

Несмотря на наличие аудитов от известных фирм, уязвимости в логике могут быть упущены, особенно в сложных системах с множеством интеграций.

Как отметил Чарльз Гильем из Ledger: «Безопасность — это не разовое событие. Это непрерывный процесс, в котором нет места самодовольству.»

🌐 Сравнение с другими крахами: Kinto в контексте

Kinto — не первый и, к сожалению, не последний DeFi-проект, закрывшийся после хака. Вот как он соотносится с другими катастрофами:

Проект Причина краха Ущерб Последствия
Kinto Уязвимость в ERC-1967 Proxy $1,9 млн Полное закрытие, частичный возврат
Celsius Непрозрачность, чрезмерное плечо $4,7 млрд Банкротство, судебные разбирательства
Venus Protocol Фишинг, кража ключей $13,5 млн Приостановка пулов, расследование
Lykke Атака Lazarus Group $22,8 млн Закрытие, иски инвесторов

В отличие от Celsius, Kinto не участвовал в рискованных операциях. Его крах был вызван чисто технической ошибкой — что делает его особенно поучительным.

✅ Выводы: Kinto как предостережение для будущего DeFi

Закрытие Kinto — это трагедия для его команды и пользователей. Но для всей индустрии это ценный урок.

Ключевые выводы:

  • Уязвимости в upgradeable-контрактах — один из главных рисков в современном DeFi.
  • Даже успешные проекты могут рухнуть за считанные часы.
  • Восстановление доверия почти невозможно после крупного взлома.
  • Ответственное закрытие с попыткой возврата средств — редкость и достойный пример.
  • Индустрия нуждается в более строгих стандартах безопасности, страховании и децентрализованном управлении.

Как сказал Андреас Антонопулос: «В DeFi вы не теряете деньги из-за рынка. Вы теряете их из-за кода. Или из-за того, что забыли проверить код.»

История Kinto — это не просто история о хаке. Это напоминание о том, что в мире, где каждый контракт — это закон, одна ошибка в коде может стоить миллиона. И пока проекты будут ставить скорость выше безопасности, мы будем видеть всё больше таких «Фениксов», которые так и не смогут подняться из пепла.

08.09.2025, 06:08
Новости