En white-hat-hacker har hentet tilbake $2 millioner fra en defekt smartkontrakt knyttet til Hong Coins børsintroduksjon (ICO) i 2016, og baner vei for refusjoner til investorer nesten et tiår senere. Hackeren identifiserte en feilaktig adminfunksjon i kontrakten og samarbeidet med prosjektets skapere for å utnytte den – ikke for personlig vinning, men for å frigjøre midler som hadde vært låst siden ICO-tiden.
Hvordan svakheten ble funnet
Sårbarheten lå uoppdaget i Hong Coins smartkontraktkode i flere år. En white-hat-hacker – en uavhengig sikkerhetsforsker – oppdaget at en adminfunksjon kunne manipuleres for å tømme kontrakten. I stedet for å holde denne kunnskapen privat, kontaktet de Hong Coin-teamet og demonstrerte nøyaktig hvordan man kunne utløse eksploiteten.
Ved å veilede skaperne gjennom angrepet viste hackeren dem de presise stegene som trengtes for å hente tilbake de frosne midlene. Teamet utførte deretter eksploiteten selv og trakk ut $2 millioner fra kontrakten.
White-hat-ens rolle
White-hat-hackere jakter vanligvis på feil for å hjelpe prosjekter med å lappe dem, og tjener ofte dusører. I dette tilfellet rapporterte hackeren ikke bare problemet – de assisterte aktivt i gjenvinningen. Kontraktens feilaktige design hadde låst investormidler på en måte som standardrettinger ikke kunne påvirke. Hackerens praktiske tilnærming var den eneste måten å frigjøre dem på.
Hong Coin-teamet har ikke offentliggjort hackerens navn, men bekreftet at gjenvinningen var et samarbeid. Ingen betaling eller dusør er oppgitt for arbeidet.
Refusjoner for lenge ventende investorer
De $2 millionene dekker nå refusjoner for investorer som satte penger i Hong Coin under ICO-en i 2016. På den tiden lovet prosjektet en desentralisert plattform, men smartkontraktfeilen frøs midlene før noe reellt produkt ble lansert. Investorer har ventet omtrent et tiår på å se pengene sine igjen.
Refusjonsprosessen er i gang. Hong Coin-teamet kontakter opprinnelige bidragsytere for å returnere deres innskudd. For mange er gjenvinningen et sjeldent lyspunkt etter år med tapt håp i et marked fullt av mislykkede ICO-er og glemte tokens.
Kontrakten er avsluttet for å forhindre ytterligere problemer. Hackerens inngripen forvandlet en ti år gammel forpliktelse til en mulighet for avslutning.
