Một nhà nghiên cứu bảo mật mang tên 0xflorent đã hợp tác cùng nhóm phát triển hợp đồng ICO của Ethereum (ETH) năm 2016 để giải phóng khoảng 2 triệu đô la Mỹ dưới dạng ether đã bị kẹt trong chín năm, thông qua một cuộc khôi phục trắng được phối hợp nhằm khai thác lỗ hổng tràn số nguyên mà các nhà phát triển ban đầu chưa từng vá.
Hợp đồng thuộc về HongCoin, một đợt bán token năm 2016 đã không đạt được mục tiêu huy động vốn và dự kiến tự hoàn lại ether cho nhà đầu tư nhưng đã không thực hiện được do lỗi trong chức năng hoàn tiền.
0xflorent đã giải đông 1.003,62 ETH, với 48 nhà đầu tư ban đầu hiện đủ điều kiện để yêu cầu. Hai người đã thực hiện, rút về tổng cộng 96,5 ETH tương đương khoảng 193.000 USD, anh ấy cho biết trong một chuỗi X vào Chủ nhật.
Vụ khai thác trắng đầu tiên trên ethereum: Tôi đã mở khóa 1.003,62
Ξ ($2.000.000) bị kẹt trong hợp đồng thông minh của đợt ICO năm 2016
trong 9 năm.
48 nhà đầu tư ban đầu hiện có thể yêu cầu rút tiền của họ. pic.twitter.com/lyh5iyaDu7
Logic hoàn tiền của hợp đồng từ chối mọi người giữ token có số dư token vượt quá một bộ đếm toàn cầu đã bị giảm xuống còn 356 do nhiều năm hoàn tiền một phần, giới hạn các khoản hoàn tiền thêm ở mức 3,56 ETH.
0xflorent phát hiện ra rằng một hàm quản trị trên hợp đồng, được giới hạn trong ví đa chữ ký của HongCoin, thiếu các biện pháp bảo vệ tràn số nguyên sau này được tích hợp vào ngôn ngữ Solidity. Việc gọi hàm này với một giá trị đầu vào cụ thể đã đặt lại số dư của người nắm giữ về một, cho phép kiểm tra hoàn tiền vượt qua và giải phóng số tiền.
Tuy nhiên, việc khôi phục không phải là một cuộc khai thác đơn phương. Vì chức năng quản trị yêu cầu multisig của HongCoin để thực thi, 0xflorent đã gửi email cho đội ngũ, xác minh chuỗi mở khóa trên một phân nhánh thử nghiệm của mạng chính ethereum, và chính đội ngũ đã ký các giao dịch mở khóa.
Nó đã thực hiện 41 giao dịch, một giao dịch cho mỗi chủ sở hữu bị chặn, giải phóng khoảng 1.000 ETH vốn bị kẹt. Bảy chủ sở hữu khác có số dư nhỏ đủ để hoàn tiền trực tiếp mà không cần biện pháp thay thế.
Đây là lần phục hồi thứ hai mà 0xflorent đã công bố trong tám ngày.
Vào ngày 24 tháng Năm, anh ấy cho biết đã trả lại 19,329 ETH, tương đương khoảng 40.590 USD, cho các chủ sở hữu ban đầu, bao gồm 5,141 ETH từ đợt ICO thất bại vào tháng 1 năm 2018 và 14,190 ETH từ bảy giao dịch nguyên tử đã hết hạn trong tài khoản ví Liquality bị mất khả năng truy cập sau khi ví ngừng hoạt động vào năm 2024.
Các khoản bồi thường được thực hiện trong giai đoạn căng thẳng nghiêm trọng với các vụ khai thác DeFi, riêng tháng Tư đã ghi nhận hàng trăm triệu đô la bị rút khỏi các giao thức, nổi bật là tổn thất khoảng 293 triệu đô la tại Kelp DAO.