นักวิจัยด้านความปลอดภัยที่รู้จักกันในชื่อ 0xflorent ได้กู้คืน ETH ประมาณ 1,003.62 เหรียญ มูลค่าราว 2 ล้านดอลลาร์ ซึ่งเคยติดค้างอยู่ในสัญญาอัจฉริยะของ Ethereum ICO ที่ล้มเหลวในปี 2016 มาเกือบเก้าปี
นักวิจัยแก้บั๊กอายุ 9 ปี ปลดล็อกอีเธอเรียมมูลค่า 2 ล้านดอลลาร์ที่ถูกล็อกไว้ตั้งแต่ ICO ปี 2016
เขียนโดย
แชร์
ประเด็นสำคัญ
- นักวิจัยด้านความปลอดภัย 0xflorent ปลดล็อก 1,003.62 ETH จากสัญญา Hongcoin ICO ปี 2016 ที่ถูกล็อกด้วยบั๊กมานานเกือบ 9 ปี
- การใช้ประโยชน์แบบไวท์แฮตอาศัย integer overflow ในฟังก์ชันผู้ดูแลระบบของ multisig โดยต้องใช้ธุรกรรมที่ลงนาม 41 รายการเพื่อปลดบล็อกนักลงทุน 48 ราย
- มีนักลงทุน 2 รายได้เคลมไปแล้ว 96.5 ETH และยังมีประมาณ 882 ETH ที่ยังสามารถเคลมได้ ณ วันที่ 1 มิถุนายน 2026
ICO ปี 2016 ที่ไม่เคยคืนเงิน
เงินดังกล่าวมาจาก Hongcoin หรือที่เรียกกันว่า “The HONG” โครงการบน Ethereum ในปี 2016 ที่ถูกนำเสนอว่าเป็นกองทุนการลงทุนแบบกระจายศูนย์ที่ขับเคลื่อนโดยชุมชน ICO นี้ไม่สามารถทำยอดระดมทุนถึงเป้าหมาย ซึ่งตามเงื่อนไขควรทำให้เกิดการคืนเงินให้อัตโนมัติแก่ผู้ร่วมลงทุน
แต่มันไม่ได้เป็นแบบนั้น
บั๊กในตรรกะการคืนเงินทำให้นักลงทุนส่วนใหญ่ไม่สามารถเคลม ETH ได้ สัญญาเปรียบเทียบยอดโทเค็นของนักลงทุนแต่ละรายกับตัวนับรวมระดับสากล การคืนเงินบางส่วนตลอดหลายปีทำให้ตัวนับนั้นลดลงเหลือ 356 ส่งผลให้การคืนเงินเพิ่มเติมถูกจำกัดไว้เพียง 3.56 ETH ต่อผู้ถือเท่านั้น นักลงทุนที่เหลืออีก 48 รายส่วนใหญ่ถือมากกว่านั้นมาก เงินของพวกเขาจึงยังคงถูกล็อกไว้
ที่อยู่สัญญา 0x9fa8fa61a10ff892e4ebceb7f4e0fc684c2ce0a9 ยังคงตรวจสอบได้บน Etherscan
การใช้ประโยชน์ที่แก้ปัญหาได้
0xflorent ระบุ ช่องโหว่ integer-overflow ในฟังก์ชันสำหรับผู้ดูแลระบบเท่านั้นที่เชื่อมกับกระเป๋า multisig ของทีม Hongcoin ฟังก์ชันนี้เดิมถูกออกแบบมาเพื่อ mint โทเค็นบาวน์ตี้ แต่ขาดการป้องกัน overflow ซึ่งเป็นจุดอ่อนที่พบบ่อยในโค้ด Solidity ยุคก่อน SafeMath เมื่อปี 2016
ด้วยการใส่ค่าป้อนเข้าที่เฉพาะเจาะจง ฟังก์ชันดังกล่าวสามารถรีเซ็ตยอดโทเค็นของนักลงทุนให้เป็น 1 ทำให้ข้ามการตรวจสอบการคืนเงินได้ และทำให้สัญญาปล่อย ETH ที่สอดคล้องกันออกมาได้
Florent อธิบายว่านี่คือ “การใช้ประโยชน์แบบไวท์แฮตครั้งแรกบน Ethereum” โดยระบุว่าไม่มีผู้โจมตีภายนอกคนใดมีแรงจูงใจที่จะใช้มัน เงินสามารถไหลกลับไปยังผู้ร่วมลงทุนดั้งเดิมเท่านั้น ไม่มีการยึดความเป็นเจ้าของ และไม่มีช่องทางสำหรับการขโมย
การกู้คืนเกิดขึ้นอย่างไร
Florent ติดต่อทีม Hongcoin ที่เงียบหายไปแล้วแบบส่วนตัวผ่านอีเมล เขาตรวจสอบลำดับการปลดล็อกทั้งหมดบน Foundry fork ของ Ethereum mainnet ในเครื่องก่อนจะไปแตะอะไรบนเชน จากนั้น multisig ของทีมได้ลงนามในธุรกรรม 41 รายการ รายการละหนึ่งสำหรับผู้ถือที่ถูกบล็อกแต่ละรายซึ่งจำเป็นต้องรีเซ็ตยอดคงเหลือ ผู้ถืออีก 7 รายที่มียอดคงเหลือน้อยกว่าสามารถเคลมคืนได้โดยตรงโดยไม่ต้องใช้วิธีแก้ชั่วคราว
กระบวนการทั้งหมดใช้เวลาประมาณหนึ่งสัปดาห์
ณ วันที่ 1 มิถุนายน 2026 ETH ทั้งหมด 1,003.62 เหรียญได้ถูกปลดแช่แข็งแล้ว นักลงทุน 2 รายได้เคลมรวมกัน 96.5 ETH มูลค่าราว 193,000 ดอลลาร์ พวกเขาส่งบาวน์ตี้ให้ Florent โดยสมัครใจ เขาไม่รับค่าธรรมเนียม ไม่หักส่วนแบ่ง และไม่รับคอมมิชชัน
ยังมีประมาณ 882 ETH ที่พร้อมให้นักลงทุนรายอื่นเคลมได้
รูปแบบของงานไวท์แฮต
นี่เป็นการกู้คืนที่ถูกเผยแพร่สู่สาธารณะครั้งที่สองของ Florent ในรอบแปดวัน เมื่อวันที่ 24 พฤษภาคม เขาได้ ส่งคืน 19.329 ETH หรือประมาณ 40,590 ดอลลาร์ จากสัญญา ICO ปี 2018 และ atomic swaps ที่หมดอายุซึ่งเชื่อมโยงกับกระเป๋าที่เลิกใช้งานไปแล้ว
Florent ใช้เครื่องมือสแกนที่พัฒนาขึ้นเอง รวมถึงโหนดที่โฮสต์เอง เพื่อค้นหาสัญญาที่ถือครองมากกว่า 100 ETH เขาระบุว่าสัญญาเก่าหลายฉบับเป็นฟอร์กของกันและกัน ทำให้ช่องโหว่มักกระจุกตัวเป็นกลุ่ม เขายังกล่าวถึงการใช้ Claude Code เพื่อเร่งการวิเคราะห์ แต่เตือนว่าเครื่องมือนี้อาจมองในแง่ร้ายเกินไปเกี่ยวกับสัญญาที่มันปักธงว่าไม่สามารถเจาะได้
สิ่งนี้หมายถึงอะไรสำหรับผู้ถือ Ethereum ยุคแรก
สัญญาอัจฉริยะ Ethereum หลายร้อยฉบับจากยุคบูม ICO ปี 2016 และ 2017 ยังคงมีเงินที่ถูกล็อกอยู่ ผู้ร่วมลงทุนส่วนใหญ่ตัดใจจากยอดคงเหล่านั้นไปนานแล้ว
งานของ Florent เป็นเครื่องย้ำเตือนว่าสัญญาเหล่านั้นบางฉบับยังคงมี “ประตู” อยู่ และคนที่มีเครื่องมือที่เหมาะสมอาจหา “กุญแจ” เจอ
