গবেষক ৯ বছর পুরোনো বাগ সমাধান করে ২০১৬ সালের আইসিও থেকে লক থাকা ২০ লাখ ডলারের ইথেরিয়াম মুক্ত করলেন

২০১৬ সালের একটি ICO যা কখনও টাকা ফেরত দেয়নি

ফান্ডগুলো Hongcoin থেকে এসেছে, যা “The HONG” নামেও পরিচিত—একটি ২০১৬ সালের Ethereum-ভিত্তিক প্রকল্প, যা কমিউনিটি-চালিত বিকেন্দ্রীভূত বিনিয়োগ তহবিল হিসেবে প্রচার করা হয়েছিল। ICOটি তার ফান্ডিং টার্গেট পূরণ করতে ব্যর্থ হয়, যা হলে অবদানকারীদের কাছে স্বয়ংক্রিয়ভাবে রিফান্ড ট্রিগার হওয়ার কথা ছিল।

কিন্তু সেটা সেভাবে কাজ করেনি।

রিফান্ড লজিকের একটি বাগ অধিকাংশ বিনিয়োগকারীকে তাদের ETH দাবি করতে বাধা দেয়। কন্ট্র্যাক্টটি প্রতিটি বিনিয়োগকারীর টোকেন ব্যালেন্সকে একটি গ্লোবাল কাউন্টারের সঙ্গে তুলনা করত। বছরের পর বছর আংশিক রিফান্ড হওয়ার ফলে ওই কাউন্টারটি ৩৫৬-এ নেমে আসে, ফলে পরবর্তী যেকোনও রিফান্ড প্রতি হোল্ডার মাত্র ৩.৫৬ ETH-এ সীমাবদ্ধ হয়ে যায়। বাকি ৪৮ জন বিনিয়োগকারীর বেশিরভাগের হোল্ডিং এর চেয়ে অনেক বেশি ছিল। তাদের ফান্ড লকই থেকে যায়।

কন্ট্র্যাক্ট অ্যাড্রেস 0x9fa8fa61a10ff892e4ebceb7f4e0fc684c2ce0a9, Etherscan-এ এখনও যাচাইযোগ্য।

যে এক্সপ্লয়েট সমস্যাটি ঠিক করেছে

0xflorent চিহ্নিত করেছেন Hongcoin টিমের মাল্টিসিগ ওয়ালেটের সঙ্গে যুক্ত একটি অ্যাডমিন-অনলি ফাংশনে ইন্টিজার-ওভারফ্লো দুর্বলতা। ফাংশনটি মূলত বাউন্টি টোকেন মিন্ট করার জন্য তৈরি করা হয়েছিল, কিন্তু এতে ওভারফ্লো প্রোটেকশন ছিল না—২০১৬ সালের প্রি-SafeMath Solidity কোডে এটি একটি সাধারণ দুর্বলতা।

একটি নির্দিষ্ট ইনপুট ভ্যালু পাঠিয়ে, ফাংশনটি একজন বিনিয়োগকারীর টোকেন ব্যালেন্সকে ১-এ রিসেট করতে পারত, ফলে রিফান্ড চেকটি বাইপাস হয়ে কন্ট্র্যাক্টটি সংশ্লিষ্ট ETH রিলিজ করতে পারত।

ফ্লোরেন্ট এটিকে Ethereum-এ “প্রথম হোয়াইট-হ্যাট এক্সপ্লয়েট” হিসেবে বর্ণনা করেন, উল্লেখ করেন যে কোনো বাহ্যিক আক্রমণকারীর এটি ব্যবহার করার প্রণোদনা ছিল না। ফান্ড কেবল মূল অবদানকারীদের কাছেই ফিরে যেতে পারত। কোনো মালিকানা দখল হয়নি এবং চুরির কোনো ভেক্টর ছিল না।

রিকভারি কীভাবে সম্পন্ন হলো

ফ্লোরেন্ট ইমেইলের মাধ্যমে নীরব হয়ে থাকা Hongcoin টিমের সঙ্গে ব্যক্তিগতভাবে যোগাযোগ করেন। অন-চেইনে কিছু করার আগে তিনি Ethereum মেইননেটের একটি লোকাল Foundry ফর্কে সম্পূর্ণ আনলক সিকোয়েন্স যাচাই করেন। এরপর টিমের মাল্টিসিগ ৪১টি ট্রান্স্যাকশনে সই করে—প্রতিটি ব্লকড হোল্ডারের জন্য একটি করে, যাদের ব্যালেন্স রিসেট প্রয়োজন ছিল। ছোট ব্যালেন্স থাকা সাতজন হোল্ডার ওয়ার্কারাউন্ড ছাড়াই সরাসরি রিফান্ড দাবি করতে পেরেছিলেন।

পুরো প্রক্রিয়াটি প্রায় এক সপ্তাহ সময় নেয়।

১ জুন, ২০২৬ অনুযায়ী, সব ১,০০৩.৬২ ETH আনফ্রোজেন করা হয়েছে। দুইজন বিনিয়োগকারী ইতোমধ্যেই মোট ৯৬.৫ ETH দাবি করেছেন, যার মূল্য আনুমানিক $১৯৩,০০০। তারা স্বেচ্ছায় ফ্লোরেন্টকে একটি বাউন্টি পাঠিয়েছেন। তিনি কোনো ফি, কোনো কাট, এবং কোনো কমিশন নেননি।

অন্য বিনিয়োগকারীদের দাবি করার জন্য আনুমানিক ৮৮২ ETH এখনও উপলব্ধ আছে।

হোয়াইটহ্যাট কাজের একটি ধারাবাহিকতা

এটি ফ্লোরেন্টের আট দিনের মধ্যে দ্বিতীয় প্রকাশিত রিকভারি। ২৪ মে তিনি ফেরত দিয়েছেন ১৯.৩২৯ ETH, প্রায় $৪০,৫৯০, যা ২০১৮ সালের একটি ICO কন্ট্র্যাক্ট এবং বর্তমানে অকার্যকর একটি ওয়ালেটের সঙ্গে যুক্ত মেয়াদোত্তীর্ণ অ্যাটমিক সোয়াপ থেকে এসেছে।

ফ্লোরেন্ট ১০০ ETH-এর বেশি ধরে রাখা কন্ট্র্যাক্ট খুঁজে পেতে নিজস্ব স্ক্যানিং টুল ব্যবহার করেন, যার মধ্যে একটি সেল্ফ-হোস্টেড নোডও রয়েছে। তিনি উল্লেখ করেন যে অনেক পুরোনো কন্ট্র্যাক্ট একে অন্যের ফর্ক, ফলে দুর্বলতাগুলো প্রায়ই একসঙ্গে ক্লাস্টার করে। তিনি বিশ্লেষণ দ্রুত করতে Claude Code ব্যবহারের কথাও বলেন, তবে সতর্ক করেন যে টুলটি যেসব কন্ট্র্যাক্টকে ‘ক্র্যাক করা যাবে না’ বলে ফ্ল্যাগ করে, সেগুলো নিয়ে কখনও কখনও অতিরিক্ত হতাশাবাদী হতে পারে।

প্রাথমিক Ethereum হোল্ডারদের জন্য এর অর্থ কী

২০১৬ এবং ২০১৭ সালের ICO বুম যুগের শত শত Ethereum স্মার্ট কন্ট্র্যাক্টে এখনও লকড ফান্ড রয়েছে। অধিকাংশ অবদানকারী অনেক আগেই সেসব ব্যালেন্সকে ক্ষতি হিসেবে ধরে নিয়েছিলেন।

ফ্লোরেন্টের কাজ মনে করিয়ে দেয়, ওই কন্ট্র্যাক্টগুলোর কিছুতে এখনও একটি দরজা আছে—আর সঠিক টুল থাকা কেউ হয়তো চাবিটা খুঁজে পেতে পারে।