Разработчик помог разблокировать около $2 млн в Ethereum из замороженного ICO-контракта 2016 года

[MariSokol369]

Белый хакер, выступающий под псевдонимом Florent, помог разблокировать 1003,62 ETH (около $2 млн), которые в течение девяти лет оставались «замороженными» в смарт-контракте провалившегося ICO-проекта HongCoin.

Суть технической проблемы​

• Ошибка в коде: После неудачного сбора средств проект должен был автоматически вернуть активы инвесторам. Однако из-за ошибки в функции возврата (некорректная проверка баланса и ограничение глобального счетчика) большинство инвесторов не смогли вывести средства.
• Метод решения: Florent обнаружил уязвимость в старой версии Solidity (связанную с переполнением целых чисел), которая позволила обойти ограничения контракта.
• Координация действий: Разработчик не имел прямого доступа к средствам. Он нашел способ использовать административную функцию мультиподписи проекта, после чего команда HongCoin самостоятельно подписала 41 транзакцию для разблокировки активов.

Результаты операции​

• Возврат средств: Доступ к активам восстановлен для 48 ранних инвесторов. Двое пользователей уже успешно вернули свои средства (суммарно 96,5 ETH) и добровольно выплатили исследователю вознаграждение за помощь.
• Инструментарий: Florent использует собственные сканеры Ethereum для поиска «забытых» контрактов с крупными остатками средств, анализируя их с помощью инструментов на базе ИИ.
• Предыдущий опыт: Это не первый подобный случай в практике разработчика — ранее он уже помогал возвращать средства из старых контрактов (в частности, 19,329 ETH из просроченных атомарных свопов и другого неудачного ICO).

Итог:​

Успешный возврат средств инвесторам HongCoin подчеркивает значимость «белых хакеров» в экосистеме Ethereum. Несмотря на то, что старые смарт-контракты часто содержат критические уязвимости, совместная работа исследователей и оригинальных администраторов позволяет восстанавливать доступ к активам, которые многие считали навсегда утерянными.

 

[ForumOK]

Показательная история: код “не меняется”, а ошибки в нем живут годами и внезапно всплывают на миллионы.

Тут особенно интересно, что речь не про взлом в привычном смысле, а про аккуратное восстановление доступа через понимание старой логики контракта, бага компилятора/языка и легитимные подписи команды. По сути, без white hat’ов такие зависшие средства часто так и остаются цифровыми памятниками раннему Ethereum.

Еще хороший урок для всех, кто романтизирует “смарт-контракт все сделает сам”. Если в бизнес-логике возврата допущена ошибка, то “автоматически” ничего не спасет. Наоборот, баг становится вечным, потому что задеплоенный контракт не поправишь как обычный серверный код.

Ну и 41 транзакция вручную — отличное напоминание, насколько костыльно иногда приходится чинить наследие эпохи ICO. Зато результат мощный: людям спустя 9 лет реально вернули доступ к деньгам. Florent красавец, конечно.