Istraživač razbija 9 godina staru grešku, oslobađa 2 milijuna dolara u Ethereumu zaključanih još od ICO-a 2016. godine

ICO iz 2016. koji nikad nije vratio sredstva

Sredstva potječu od Hongcoina, poznatog i kao “The HONG”, projekta iz 2016. temeljenog na Ethereumu koji je predstavljen kao decentralizirani investicijski fond kojim upravlja zajednica. ICO nije dosegnuo cilj prikupljanja sredstava, što je trebalo pokrenuti automatski povrat doprinosa sudionicima.

No nije funkcioniralo tako.

Greška u logici povrata spriječila je većinu ulagača da zatraže svoj ETH. Ugovor je uspoređivao saldo tokena svakog ulagača s globalnim brojačem. Djelomični povrati tijekom godina smanjili su taj brojač na 356, ograničivši sve daljnje povrate na samo 3,56 ETH po vlasniku. Većina od preostalih 48 ulagača držala je znatno više od toga. Njihova su sredstva ostala zaključana.

Adresa ugovora, 0x9fa8fa61a10ff892e4ebceb7f4e0fc684c2ce0a9, i dalje je provjerljiva na Etherscanu.

Eksploit koji je to popravio

0xflorent je identificirao ranjivost preljeva cijelog broja u funkciji dostupnoj samo administratoru, povezanoj s multisig novčanikom Hongcoin tima. Funkcija je izvorno bila namijenjena mintanju bounty tokena, ali nije imala zaštitu od preljeva, što je bila česta slabost u Solidity kodu iz 2016. prije SafeMath-a.

Prosljeđivanjem određene ulazne vrijednosti, funkcija je mogla resetirati saldo tokena ulagača na 1, zaobilazeći provjeru povrata i omogućujući ugovoru da isplati odgovarajući ETH.

Florent je to opisao kao “prvu white-hat eksploataciju na Ethereumu”, napominjući da nijedan vanjski napadač nije imao poticaj da je iskoristi. Sredstva su mogla teći samo natrag izvornim doprinositeljima. Nije bilo preuzimanja vlasništva i nije postojao vektor krađe.

Kako se oporavak odvijao

Florent je privatno kontaktirao neaktivni Hongcoin tim putem e-maila. Potvrdio je cijeli slijed otključavanja na lokalnom Foundry forku Ethereum mainneta prije nego što je išta dirao on-chain. Multisig tima zatim je potpisao 41 transakciju, po jednu za svakog blokiranog vlasnika kojem je trebalo resetiranje salda. Sedam vlasnika s manjim saldima moglo je zatražiti povrat izravno bez ovog zaobilaznog rješenja.

Cijeli je proces trajao oko tjedan dana.

Na dan 1. lipnja 2026. svih 1.003,62 ETH bilo je odmrznuto. Dva ulagača već su povukla ukupno 96,5 ETH, vrijednih otprilike 193.000 dolara. Poslali su Florentu dobrovoljnu nagradu (bounty). Nije uzeo nikakve naknade, nikakav postotak i nikakvu proviziju.

Otprilike 882 ETH ostaje dostupno za ostale ulagače da ih preuzmu.

Obrazac whitehat rada

Ovo je bila Florentova druga javno objavljena akcija povrata u osam dana. Dana 24. svibnja vratio je 19,329 ETH, oko 40.590 dolara, iz ugovora ICO-a iz 2018. i isteklih atomskih zamjena povezanih s novčanikom koji više ne postoji.

Florent koristi prilagođene alate za skeniranje, uključujući vlastiti (self-hosted) čvor, kako bi pronašao ugovore koji drže više od 100 ETH. Napomenuo je da su mnogi stari ugovori međusobni forkovi, što znači da se ranjivosti često grupiraju. Također je spomenuo korištenje Claude Codea za ubrzavanje analize, ali je upozorio da alat može biti pretjerano pesimističan prema ugovorima koje označi kao nemoguće za probijanje.

Što to znači za rane Ethereum vlasnike

Stotine Ethereum pametnih ugovora iz razdoblja ICO booma 2016. i 2017. i dalje drže zaključana sredstva. Većina doprinositelja otpisala je te iznose još prije godina.

Florentov rad podsjetnik je da neka od tih ugovora i dalje imaju vrata, a netko s pravim alatima možda će pronaći ključ.