Білий хакер розблокував $2 млн у смартконтракті 2016 року

Майже через дев’ять років після провалу ICO HongCoin білий хакер під псевдонімом Florent розблокував 1003,62 ETH (близько $2 млн).

Перший вайт-хат експлойт в Ethereum: я розблокував 1,003.62
Ξ ($2,000,000), які були заблоковані у смартконтракті ICO 2016 року
протягом 9 років.

48 початкових інвесторів тепер можуть отримати свої кошти. pic.twitter.com/lyh5iyaDu7

— 0xflorent.eth (@0xFlorent_) May 31, 2026

Кошти застрягли в смартконтракті HONG, розгорнутому 29 серпня 2016 року. Продаж не досяг мінімальної мети, інвесторам мали автоматично повернути Ethereum. Однак через критичну помилку у функції повернення коштів монети було заморожено.

Механізм відхиляв запити користувачів, якщо їхній баланс перевищував значення глобального лічильника.

Florent виявив уразливість в адміністративній функції контракту, написаного на Solidity v0.3.5. У старих версіях мови не було захисту від цілочисельного переповнення. Хакер з’ясував, що специфічний виклик функції дозволяє обнулити баланс адреси, після чого перевірка проходить успішно.

Оскільки доступ до адмінфункції був обмежений мультисиґом команди HongCoin, дослідник зв’язався з розробниками. Спільними зусиллями вони провели 41 транзакцію для розблокування адрес 48 інвесторів.

Двоє вже вивели 96,5 ETH і добровільно надіслали хакеру винагороду.

HongCoin позиціювався як «венчурний капітал для всіх». ICO тривало з 29 серпня по 28 жовтня 2016 року. Увесь обсяг у 1003,62 ETH було надіслано саме в цей контракт — і він залишався там досі.

Florent уже допомагав відновлювати доступ до активів в інших застарілих протоколах, включно з невдалим ICO 2018 року та атомарними свопами Liquality. За його словами, щоб знаходити вразливі контракти з балансом понад 100 ETH, він використовує власне ПЗ та ШІ-інструменти для первинного аналізу коду.

Нагадаємо, у квітні зафіксовано рекордну кількість зламів у криптоіндустрії за місяць. Унаслідок понад 20 інцидентів збитки сягнули $651 млн.