Главная
Новости
Подробнее

Whitehat восстановил $2 млн из уязвимости контракта HONG ICO 2016 года

iconCryptoBreaking
Поделиться
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$1 984,80-0,95 %
AI summary iconСводка

expand icon
Новости ETH: Белый хакер по имени 0xflorent восстановил около 1003 ETH ($2 млн) из ICO 2016 года от Hong Coin (HONG). Средства были заблокированы почти десять лет из-за ошибки в админ-функции смарт-контракта. Восстановление было проведено в координации с командой HONG, которая поддержала процесс без юридических проблем. Это обновление по ETH подчеркивает редкий успех в возврате утерянных средств из-за ошибок в ранних смарт-контрактах.
Whitehat Recovers $2m From 2016 Ico Contract Flaw Highlighting Risk

Десятилетняя Ethereum ICO с неудачным запуском обрела новую жизнь как пример исследования ретроактивного поиска ошибок и восстановления активов. Псевдонимный белый хакер под именем 0xflorent восстановил около 1 003 ETH из ICO Hong Coin (HONG), что составляет примерно 2 миллиона долларов по текущим ценам, после выявления уязвимости в механизме возврата средств, из-за которой средства инвесторов были заблокированы годами. Информация была опубликована в воскресенье в посте на X, где 0xflorent объяснил, как были разблокированы и восстановлены средства у 48 инвесторов, участвовавших в сборе средств проекта.

Проект HONG, представленный в 2016 году как инициатива, управляемая сообществом и представляющая собой венчурный фонд, управляемый децентрализованной автономной организацией, предложил инвесторам план получения 250 миллионов токенов HONG в пяти этапах. ICO начался 29 августа 2016 года и завершился 28 октября 2016 года. Хотя целевой показатель чеканки не был достигнут, инвесторам были обещаны возвраты их вложений в ETH. Однако ошибка в функции возврата препятствовала обработке этих возвратов, в результате чего средства ETH оставались фактически замороженными почти десять лет.

Данные с проводника Ethereum Etherscan подтверждают частично завершенные возвраты: по крайней мере один инвестор получил 96 ETH (примерно 192 500 долларов по текущим ценам), а другой получил возврат 0,5 ETH. Эти возвраты являются частью более крупной суммы в 1 003 ETH, связанной с нерешенным пулом, который, по словам 0xflorent, теперь разблокирован и возвращен при сотрудничестве проекта.

Контракт содержал все ETH инвесторов и должен был автоматически вернуть их средства. Однако ошибка в функции возврата тихо нарушала этот процесс, и средства оказались заблокированными.

0xflorent описал, как разблокировка была осуществлена путем сотрудничества с создателями HONG для эксплуатации уязвимой функции администратора, сбрасывающей балансы держателей токенов и запускающей механизм возврата средств. Хакер описал корневую причину как функцию администратора с уязвимостью переполнения целочисленного типа. При вызове с точным входом функция сбрасывала балансы и эффективно отключала проверку возврата средств, что позволило получить доступ к заблокированным средствам.

В публичном посте разработчика также упоминались предыдущие ретроспективные действия: 24 мая 0xflorent сообщил о восстановлении в общей сложности 19,33 ETH в рамках отдельных операций — включая средства из другого неудавшегося ICO-проекта в январе 2018 года и пользователя Liquality Wallet, чьи средства оказались заблокированными в протоколе межцепочечного перевода. Эта более широкая закономерность — выявление устаревших уязвимостей и ответственное возврат застрявших активов — кажется повторяющейся темой эпохи ICO и межцепочечных инструментов конца 2010-х годов.

Эпизод с Hong Coin находится на пересечении криптоистории и современного управления рисками. История HONG началась в эпоху, когда многие проекты стремились создавать сообщества вокруг децентрализованного управления и венчурного финансирования. Команда описывала казну и поток возвратов как центральный элемент обещания проекта. После того как ICO не достигла своей цели по привлечению средств, ожидалось, что участники будут автоматически возмещены через контракт — ожидание, которое оказалось хрупким в условиях программных ошибок.

С практической точки зрения, этот эпизод подчеркивает две вечные уроки для криптоэкосистемы. Во-первых, даже хорошо продуманная логика возврата средств может быть скомпрометирована небольшими, но критическими ошибками в коде смарт-контрактов. Функция администратора с ошибкой переполнения может тихо нарушить запланированный путь выплат, фактически заблокировав средства, которые в противном случае вернулись бы инвесторам. Во-вторых, история иллюстрирует потенциальную ценность ответственного раскрытия и совместного устранения уязвимостей, когда устаревшие контракты выявляют проблемы спустя годы бездействия. В данном случае создатели HONG были вовлечены для содействия восстановлению средств, а не столкновения с длительным спором или форками, которые могли бы оставить инвесторов без четкого пути к возмещению.

Для инвесторов и разработчиков восстановление Hong Coin напоминает о том, что исторические проекты несут скрытые риски безопасности и управления. Волна ICO 2016 года оставила после себя широкий спектр проектов контрактов, некоторые из которых никогда не проходили полной аудиторской проверки или тестирования на крайние случаи. То, что белый хакер смог разблокировать средства спустя годы — не дестабилизируя при этом всю цепочку — свидетельствует о устойчивости экосистемы ethereum, когда на сцену выходят легитимные хранители. Однако это также поднимает вопросы о том, возможны ли подобные ретроспективные восстановления в других спящих ICO и какие стандарты должны регулировать такие вмешательства в будущем.

Глядя вперед, наблюдатели захотят увидеть, как дело с Hong Coin повлияет на текущие и будущие корректировки. Оригинальные разработчики опубликуют полный патч и аудиторскую цепочку для функции возврата средств, чтобы предотвратить повторение подобных инцидентов в аналогичных контрактах? Существуют ли другие неактивные ICO с аналогичными уязвимостями возврата средств или управления, ожидающими обнаружения? И как сообщества будут балансировать этику вмешательства «белых шляп» с риском непреднамеренных последствий в устаревших контрактах?

Основные выводы

  • Десятилетняя ICO (HONG) позволила вернуть около 1003 ETH у 48 инвесторов после того, как ошибка в функции возврата средств привела к блокировке средств на годы.
  • Публичные данные показывают, что возвраты уже были произведены некоторым инвесторам, включая одного получателя 96 ETH и другого — 0,5 ETH, что подчеркивает реальное восстановление активов по устаревшим контрактам.
  • Уязвимость возникла из-за функции администратора с переполнением целого числа, которая при активации с определённым вводом сбрасывала балансы и позволяла проводить возвраты.
  • Действия 0xflorent демонстрируют бело-шляпный подход к разблокировке средств в сотрудничестве с создателями проекта, а не через враждебную эксплуатацию или дестабилизацию.
  • Эпизод подчеркивает более широкие уроки по безопасности смарт-контрактов, особенно в отношении административных контролей и механизмов возврата средств в проектах эпохи ICO, а также акцентирует важность ответственного раскрытия информации в экосистеме.

Исторический контекст и текущие последствия

Икона Hong Coin 2016 года — это снимок эпохи, когда децентрализация и сообщественное управление вышли на первый план в повествованиях о привлечении средств. Амбиции проекта — позволить участникам сообщества решать, какие проекты получат поддержку — привлекали многих сторонников идеологии эпохи DAO. Однако результат привлечения средств, незапущенный продукт и сложности с возвратом средств иллюстрируют, как техническая хрупкость может предшествовать амбициям в управлении в криптовалютных проектах.

Инцидент также демонстрирует, как криптоэкосистема может развивать форму обратной подотчетности. Когда обнаруживается ошибка в давно неиспользуемом контракте, сообщество может мобилизоваться для восстановления стоимости, а не оставлять ее навсегда заблокированной. Сотрудничество между 0xflorent и создателями HONG демонстрирует, что конструктивное, технически обоснованное взаимодействие может привести к реальному восстановлению активов без возникновения споров или правовых конфликтов.

С точки зрения взаимодействия с инвесторами, этот случай предоставляет конкретные данные о задержке при восстановлении активов. Хотя точная сумма восстановленных активов, вероятно, будет продолжать изменяться по мере подтверждения дополнительных возвратов, первоначальные данные и последующие раскрытия указывают на то, что даже давно неактивные активы могут найти путь обратно к участникам, когда структурные уязвимости выявляются и устраняются координированным образом.

Для исследователей и разработчиков история Hong Coin служит напоминанием о необходимости приоритизации надежной логики возврата средств и механизмов защиты при проектировании контрактов. Она также подчеркивает важность четких путей вмешательства — будь то формальные программы баг-баунти, санкционированные аудиты или совместные процессы устранения проблем, — которые могут способствовать ответственному восстановлению активов в устаревших контрактах без ущерба для общей безопасности и управления сетью.

По мере развития событий наблюдателям следует отслеживать, будут ли продолжаться выпуски оставшихся заблокированных средств, а также опубликуют ли разработчики дополнительные технические детали или записи об исправлениях, которые могут помочь в аналогичных ретроспективных восстановлениях в других местах. История с Hong Coin может стать учебным примером того, как обращаться с устаревшими контрактами с бездействующими средствами таким образом, чтобы защищать интересы инвесторов и сохранять целостность экосистемы.

0xflorent.eth

Эта статья была первоначально опубликована как Whitehat возвращает $2 млн из уязвимости в контракте ICO 2016 года, подчеркивая риски на Crypto Breaking News — вашем надежном источнике новостей о криптовалютах, новостей о bitcoin и обновлений блокчейна.

Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации. Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.