«Белая шляпа» помогла вернуть $2 млн из ICO-проекта 2016 года

Псевдонимный белый хакер, известный как 0xflorent, восстановил около 1 003 ETH, примерно 2 000 000$ на момент возврата, которые были заблокированы в неисправном контракте первичного размещения монет почти десятилетие. Средства принадлежали инвесторам ICO Hong Coin (HONG) — концепции децентрализованного венчурного капитала, которая так и не была запущена после того, как не достигла цели по финансированию.

В публикации в X в воскресенье белый хакер описал, как он помог разблокировать средства из контракта HONG, в котором хранились ETH 48 инвесторов. Hong Coin, запущенный как венчурный фонд, управляемый сообществом, так и не достиг своей цели и не выпустил обещанные токены.

Контракт был разработан для автоматического возврата средств инвесторам, если сбор не достигал цели. Ошибка в функции возврата средств незаметно сломала этот механизм, оставив средства заблокированными в контракте до момента их восстановления.

Данные блокчейна Ethereum показывают частичные возвраты некоторым участникам. Одному инвестору было возвращено 96 ETH (около 192 500$ на тот момент), а другому — 0,5 ETH, согласно данным, видимым на Etherscan.

ICO Hong Coin проходило с 29 августа 2016 года по 28 октября 2016 года. Инвесторы, отправившие ETH, должны были получить 250 000 000 токенов HONG в пять этапов, однако проект не достиг цели по финансированию, что запустило запланированный процесс возврата средств.

0xflorent сообщил, что сотрудничал с создателями HONG, показав им, как извлечь заблокированные средства, воспользовавшись дефектной административной функцией, которая сбрасывает балансы токенов и запускает проверку возврата средств. «Выходом оказалась административная функция с уязвимостью целочисленного переполнения», — объяснил он, добавив, что вызов этой функции с определённым входным значением сбрасывает баланс держателя и разблокирует возврат средств.

В отдельном обновлении от 24 мая 2024 года 0xflorent отметил предшествующий случай возврата: он извлёк в совокупности 19,33 ETH из провалившегося ICO-проекта в январе 2018 года и от пользователя кошелька Liquality, чьи средства оказались заблокированы в протоколе кросс-чейн перевода.

Рекламное видео эпохи 2016 года для Hong Coin позиционировало проект как венчурный фонд, управляемый сообществом, в котором члены децентрализованной автономной организации проекта помогали бы решать, какие проекты получат поддержку. Дизайн ICO и обещания в области управления символизируют целую эпоху, когда бесчисленные токенизированные усилия по привлечению средств сталкивались с аналогичными проблемами и правовыми неопределённостями.

История Hong Coin подчёркивает, как устаревшие уязвимости в ранних ICO-контрактах могут сохраняться годами и как целенаправленное техническое вмешательство — даже со стороны белых хакеров — может спасти активы, которые иначе остались бы недоступными. Это также указывает на сохраняющееся противоречие между инновациями в он-чейн финансировании и необходимостью надёжного контроля безопасности и управления с самого начала.

Ключевые выводы

• Возврат приблизительно 1 003 ETH от 48 инвесторов в ICO 2016 года, которое не достигло цели по финансированию, теперь частично реализован посредством он-чейн вмешательства.
• Механизм возврата средств был скомпрометирован административной функцией с уязвимостью целочисленного переполнения, которая позволила сбросить балансы и запустить возврат средств.
• Частичные возвраты уже появились в блокчейне: как минимум 96 ETH и 0,5 ETH были возвращены отдельным участникам, что свидетельствует о продолжающихся он-чейн возвратах активов.
• У 0xflorent есть история он-чейн возвратов помимо Hong Coin, включая возврат 19,33 ETH в начале 2018 года и дальнейшую работу с пользователем кошелька Liquality по проблеме кросс-чейн перевода.

Сага о Hong Coin и изъян в механизме возврата средств

Структура ICO Hong Coin была проста на бумаге: взносы в ETH должны были конвертироваться в 250 000 000 токенов HONG, распределённых по пяти фазам, с возвратом средств инвесторам, если цель по сбору не была достигнута. Проект восходит к 2016 году — периоду, когда волна ICO экспериментировала с децентрализованным управлением и венчурным распределением капитала. Пока многие проекты угасли, технические наследия некоторых из них — например, дефектная логика возврата средств — оставили открытые вопросы о том, как эти системы можно безопасно свернуть, когда что-то идёт не так.

Описание 0xflorent рассказывает о деликатном сотрудничестве с создателями проекта для извлечения средств, застрявших в дефектном пути возврата. Критическая уязвимость находилась в административной функции, предназначенной для управления балансами токенов, которая при вызове с заданным входным значением могла сбросить баланс держателя и тем самым разблокировать механизм возврата средств, иначе застрявший в тупике.

Этот эпизод напоминает о том, что даже в сфере, отмеченной быстрой итерацией и амбициозными идеями, надёжный дизайн контракта и чёткая обработка сбоев являются обязательными. Случай с Hong Coin также иллюстрирует, как тщательно скоординированный, технически грамотный подход может спасти средства пользователей спустя долгое время, хотя это не снимает ответственности за запуск безопасных и хорошо проверенных контрактов с самого начала.

Данные в блокчейне и что они раскрывают

Данные на цепочке дают представление о том, что было возвращено и что остаётся неопределённым. Etherscan показывает, что как минимум один инвестор получил 96 ETH, а другой — 0,5 ETH в рамках возвратов, связанных с контрактом Hong Coin. Общая сумма, возвращённая на сегодняшний день, — приблизительно 1 003 ETH среди 48 участников — представляет собой значимый возврат активов для случая, возникшего в период бума ICO 2016 года.

Помимо Hong Coin, 0xflorent упомянул другие случаи возврата, включая перемещение 19,33 ETH в начале 2018 года, описанное как совокупность средств из провалившегося ICO-проекта и застрявших средств пользователя кошелька Liquality в кросс-чейн переводе. Эти случаи в совокупности иллюстрируют, как настойчивые он-чейн расследования могут приносить ощутимые результаты спустя годы после того, как средства были размещены в сомнительных или плохо написанных смарт-контрактах.

Оригинальная презентация Hong Coin на YouTube позиционировала его как венчурный фонд под управлением сообщества, где децентрализованная автономная организация задумывалась как руководящий орган для отбора проектов. Хотя само ICO так и не было запущено, нарратив вокруг проекта помогает понять, почему такие фонды привлекали интерес и как концепции управления эпохи DAO воплотились в токенизированных экспериментах по привлечению средств.

Путь от обещания к возврату активов в случае Hong Coin является полезным примером как для разработчиков, так и для инвесторов: даже когда проект не запускается, оставленная им архитектура управления и возврата средств может быть использована для защиты участников — если дизайн контракта допускает безопасное сворачивание и активный возврат активов в умелых руках.

Наблюдателям крипторынка следует отслеживать, столкнутся ли другие спящие ICO с механизмами возврата средств с аналогичными уязвимостями и как аудиторы и исследователи-белые хакеры будут реагировать по мере того, как возврат активов продолжает развиваться, потенциально меняя ожидания в отношении устаревших ICO-контрактов и их долгосрочного наследия.

Эта статья была первоначально опубликована как White Hat Enables Recovery of 2 000 000$ From 2016 ICO Project на Crypto Breaking News — вашем надёжном источнике новостей о криптовалютах, Биткоине и обновлениях блокчейна.