一名白帽黑客帮助香港币的创作者展示了如何利用智能合约上有缺陷的管理功能,最终在十年后为投资者退款。
一名化名白帽黑客帮助追回了价值200万美元、被锁定在一个有缺陷的首次代币发行(ICO)智能合约近十年的以太坊。
在周日向X发布的一篇帖子中,这位名为“0xflorent”的白帽公司表示,他们帮助从48名参与Hong Coin(HONG)ICO的投资者那里追回了约1,003个以太币(ETH),这是一个去中心化的风险投资基金,因未能实现其融资目标而未能启动。
“合同中包含了所有投资者的ETH,本应自动退款,”0xflorent说。然而,“退款功能中的一个bug悄悄破坏了这个功能,资金被卡住了。”
以太坊区块探险器Etherscan的数据显示,一位HONG投资者已获得96 ETH的退款,现价值约192,500美元,而另一名投资者则退还了0.5 ETH。
Hong Coin 首次提案于2016年,当时的YouTube视频将该代币描绘为社区运营的风险投资基金,项目去中心化自治组织的成员将协助决定哪些项目获得支持。
ICO于2016年8月29日开始,约两个月后于10月28日结束。
向HONG智能合约汇款的投资者本应获得分五阶段分配的2.5亿HONG代币,但未达成融资目标,投资者应获得退款。
Oxflorent表示,他们与HONG的创作者合作,向他们展示了如何利用一个有缺陷的管理员功能提取被锁定的资金,该功能重置了代币持有者的余额并触发了退款机制。
“出路是一个带有整数溢出漏洞的管理员功能,”他们解释道。“用特定输入拨打电话会重置持有人的余额,并解除退款支票的阻挡。”
5月24日,0xflorent表示他们从2018年1月一个失败的ICO项目和一名被困在跨链转账协议中的Liquality钱包用户中回收了共计19.33个ETH,价值约40,600美元。
