Un hacker white-hat ha recuperato 2 milioni di dollari da uno smart contract difettoso legato all'offerta iniziale di monete (ICO) del 2016 di Hong Coin, aprendo la strada al rimborso degli investitori quasi un decennio dopo. L'hacker ha identificato una funzione admin difettosa nel contratto e ha collaborato con i creatori del progetto per sfruttarla—non per guadagno personale, ma per sbloccare fondi che erano rimasti bloccati dall'era dell'ICO.
Come è stato scoperto il difetto
La vulnerabilità è rimasta inosservata nel codice dello smart contract di Hong Coin per anni. Un hacker white-hat—un ricercatore di sicurezza indipendente—ha scoperto che una funzione admin poteva essere manipolata per prosciugare il contratto. Invece di tenere la conoscenza privata, ha contattato il team di Hong Coin e ha dimostrato esattamente come attivare l'exploit.
Guidando i creatori attraverso l'attacco, l'hacker ha mostrato loro i passaggi precisi necessari per recuperare i fondi intrappolati. Il team ha quindi eseguito l'exploit da solo, prelevando 2 milioni di dollari dal contratto.
Il ruolo del white-hat
Gli hacker white-hat di solito cercano bug per aiutare i progetti a correggerli, spesso guadagnando taglie (bounty). In questo caso, l'hacker non si è limitato a segnalare il problema—ha attivamente assistito nel recupero. Il design difettoso del contratto aveva bloccato i soldi degli investitori in un modo che le correzioni standard non potevano risolvere. L'approccio pratico dell'hacker è stato l'unico modo per liberarli.
Il team di Hong Coin non ha nominato pubblicamente l'hacker, ma ha confermato che il recupero è stato uno sforzo collaborativo. Non è stato divulgato alcun pagamento o taglia per il lavoro.
Rimborsi per gli investitori in attesa da tempo
I 2 milioni di dollari ora coprono i rimborsi per gli investitori che hanno messo denaro in Hong Coin durante l'ICO del 2016. All'epoca, il progetto prometteva una piattaforma decentralizzata, ma il difetto dello smart contract ha congelato i fondi prima che venisse lanciato un prodotto reale. Gli investitori hanno aspettato circa un decennio per rivedere i loro soldi.
Il processo di rimborso è in corso. Il team di Hong Coin sta contattando i contributori originali per restituire i loro contributi. Per molti, il recupero è un raro punto luminoso dopo anni di speranza perduta in un mercato pieno di ICO fallite e token dimenticati.
Il contratto stesso è stato chiuso, prevenendo ulteriori problemi. L'intervento dell'hacker ha trasformato una passività vecchia di un decennio in un'opportunità per chiudere la questione.
