Een white-hat hacker heeft $2 miljoen teruggehaald uit een foutief smart contract van de initiële coin aanbieding (ICO) van Hong Coin uit 2016, waardoor investeerders bijna tien jaar later hun geld terug kunnen krijgen. De hacker identificeerde een gebrekkige admin-functie in het contract en werkte samen met de makers van het project om deze te misbruiken – niet voor persoonlijk gewin, maar om geld vrij te maken dat sinds het ICO-tijdperk vastzat.
Hoe de kwetsbaarheid werd gevonden
De kwetsbaarheid zat jarenlang onopgemerkt in de code van het Hong Coin smart contract. Een white-hat hacker – een onafhankelijke beveiligingsonderzoeker – ontdekte dat een admin-functie gemanipuleerd kon worden om het contract leeg te halen. In plaats van die kennis voor zich te houden, namen ze contact op met het Hong Coin-team en lieten precies zien hoe de exploit kon worden uitgevoerd.
Door de makers door de aanval te leiden, toonde de hacker hen de exacte stappen die nodig waren om de vastzittende fondsen te herstellen. Het team voerde vervolgens zelf de exploit uit en haalde $2 miljoen uit het contract.
De rol van de white-hat hacker
White-hat hackers zoeken meestal naar bugs om projecten te helpen deze te repareren, vaak in ruil voor een beloning. In dit geval rapporteerde de hacker niet alleen het probleem – ze hielpen ook actief bij het terugkrijgen van het geld. Het gebrekkige ontwerp van het contract had het geld van investeerders opgesloten op een manier waar standaard oplossingen geen vat op hadden. De hands-on aanpak van de hacker was de enige manier om het vrij te maken.
Het Hong Coin-team heeft de hacker niet publiekelijk genoemd, maar bevestigde dat het herstel een samenwerking was. Er is geen betaling of premie bekendgemaakt voor het werk.
Terugbetalingen voor lang wachtende investeerders
De $2 miljoen dekt nu de terugbetalingen voor investeerders die tijdens de ICO van 2016 geld in Hong Coin hebben gestoken. Destijds beloofde het project een gedecentraliseerd platform, maar de fout in het smart contract bevroor de fondsen voordat er een echt product gelanceerd werd. Investeerders hebben ongeveer tien jaar gewacht om hun geld terug te zien.
Het terugbetalingsproces is gaande. Het Hong Coin-team neemt contact op met de oorspronkelijke bijdragers om hun inleg terug te geven. Voor velen is het herstel een zeldzaam lichtpuntje na jaren van verloren hoop in een markt vol mislukte ICO's en vergeten tokens.
Het contract zelf is afgesloten om verdere problemen te voorkomen. De tussenkomst van de hacker heeft een tien jaar oude verplichting omgezet in een kans op afsluiting.
