История HongCoin выглядит как сюжет из архива ранней эпохи Ethereum: неудачное ICO 2016 года, забытый смарт-контракт, ошибка в коде и тысяча ETH, которые десять лет лежали в блокчейне, но были недоступны владельцам. Теперь эти средства удалось разблокировать благодаря исследователю безопасности, известному под псевдонимом 0xflorent. По данным СМИ, речь идет о 1003,62 ETH, что на момент публикации оценивается примерно в $2 млн. Эти средства были собраны во время токенсейла HongCoin в 2016 году. Проект не достиг целевой суммы, поэтому контракт должен был автоматически вернуть инвесторам их эфир. Но из-за ошибки в механизме возврата крупные выплаты оказались заблокированы.
Проблема была не в том, что деньги исчезли. Они всё это время оставались в смарт-контракте и были видны в сети Ethereum. Главная сложность заключалась в том, что код контракта не позволял большинству инвесторов корректно вывести средства. Логика возврата отклоняла держателей, чей баланс токенов превышал определённый глобальный счетчик. После частичных возвратов этот счетчик снизился до 356, фактически ограничив дальнейшие выплаты суммой около 3,56 ETH. 00xflorent нашел уязвимость переполнения целочисленного значения в административной функции контракта. Проще говоря, старая версия кода неправильно работала с числами: при определенных условиях значение могло «перепрыгнуть» допустимый диапазон и превратиться в другое значение. В современных версиях Solidity такие операции по умолчанию вызывают ошибку, но в 2016 году защита была устроена иначе, а многие контракты писались без сегодняшних стандартов безопасности.
Читайте также
Крипто “Киты” купили 61568 BTC: на фоне напряженности в мире
Важно, что это не был взлом ради кражи. 0xflorent действовал как white-hat-исследователь: сначала проверил метод на тестовой копии сети Ethereum, затем связался с командой HongCoin по электронной почте и согласовал действия с владельцами мультиподписного кошелька. Поскольку административная функция требовала подписи команды, односторонне вывести средства было нельзя.
В итоге команда HongCoin подписала 41 транзакцию — по одной для каждого крупного заблокированного держателя. Еще семь инвесторов имели достаточно маленькие балансы и могли запросить возврат напрямую. Всего право на получение средств получили 48 первоначальных участников ICO. Два инвестора уже забрали 96,5 ETH, или около $193000 и добровольно отправили белому хакеру вознаграждение за проделанную работу.
Сам 0xflorent назвал операцию «первым white-hat exploit в Ethereum» и написал, что разблокировал 1003,62 ETH, которые «застряли» в смарт-контракте на десять лет. Для рынка цифровых активов эта история важна не только из-за суммы. Она показывает, что старые смарт-контракты могут годами хранить как деньги, так и незакрытые технические риски. Ранние ICO часто запускались в условиях, когда стандарты аудита, библиотеки безопасности и практика тестирования были намного слабее, чем сегодня. Тогда Ethereum только формировал свою инфраструктуру, а разработчики экспериментировали с токенсейлами почти в реальном времени. Теперь такие контракты превращаются в цифровые капсулы времени: в них могут лежать активы, ошибки и юридические вопросы, о которых участники давно забыли.
Случай HongCoin стал редким позитивным примером. Обычно слово «эксплойт» в индустрии связано с потерями, атаками и паникой. Здесь тот же технический подход помог не украсть средства, а вернуть их владельцам. И это хороший повод для старых проектов проверить свои контракты, а для инвесторов — вспомнить, не остались ли их ETH в забытых токенсейлах прошлого цикла.
Меню 
Знания 
События 
Новости 
Курсы валют