En white-hat-hacker har genvundet 2 millioner dollars fra en defekt smart kontrakt knyttet til Hong Coins børsintroduktion (ICO) i 2016, hvilket baner vejen for investorrefusion næsten et årti senere. Hackeren identificerede en fejlbehæftet admin-funktion i kontrakten og samarbejdede med projektets skabere om at udnytte den – ikke for personlig vinding, men for at frigøre midler, der havde siddet fast siden ICO-æraen.
Sådan blev fejlen fundet
Sårbarheden lå uopdaget i Hong Coins smart kontrakt-kode i årevis. En white-hat-hacker – en uafhængig sikkerhedsforsker – opdagede, at en admin-funktion kunne manipuleres til at tømme kontrakten. I stedet for at holde denne viden privat kontaktede de Hong Coin-teamet og demonstrerede præcis, hvordan man udløser udnyttelsen.
Ved at guide skaberne gennem angrebet viste hackeren dem de nøjagtige trin, der var nødvendige for at genvinde de fastlåste midler. Teamet udførte derefter udnyttelsen selv og trak 2 millioner dollars ud af kontrakten.
White-hat-hackerens rolle
White-hat-hackere jager typisk fejl for at hjælpe projekter med at rette dem, ofte mod en dusør. I dette tilfælde rapporterede hackeren ikke blot problemet – de hjalp aktivt med genopretningen. Kontraktens fejlbehæftede design havde låst investormidler på en måde, som standardrettelser ikke kunne løse. Hackerens praktiske tilgang var den eneste måde at frigøre dem på.
Hong Coin-teamet har ikke offentliggjort hackerens navn, men bekræftede, at genopretningen var en samarbejdsindsats. Ingen betaling eller dusør er blevet oplyst for arbejdet.
Refusion til længeventende investorer
De 2 millioner dollars dækker nu refusion til investorer, der puttede penge i Hong Coin under ICO'en i 2016. Dengang lovede projektet en decentraliseret platform, men smart kontrakt-fejlen frøs midlerne, før noget egentligt produkt blev lanceret. Investorer har ventet omkring et årti på at se deres penge igen.
Tilbagebetalingsprocessen er i gang. Hong Coin-teamet kontakter oprindelige bidragydere for at returnere deres bidrag. For mange er genopretningen et sjældent lyspunkt efter års tabt håb i et marked fyldt med mislykkede ICO'er og glemte tokens.
Kontrakten er blevet lukket ned for at forhindre yderligere problemer. Hackerens indgriben forvandlede en ti år gammel forpligtelse til en chance for afslutning.
