Речь идёт о проекте HongCoin, ICO которого проходило с 29 августа по 28 октября 2016 года. Проект позиционировался как «венчурный капитал для всех», однако продажа токенов не достигла минимальной цели, и инвесторам автоматически должны были вернуть Ethereum.
Средства — 1003,62 ETH — были отправлены в смарт-контракт, развернутый на базе Solidity v0.3.5. Из-за ошибки в логике возврата средств монеты оказались заблокированы. Механизм контракта отклонял транзакции при несоответствии глобального счетчика балансов, что фактически сделало вывод невозможным.
Хакер Florent обнаружил уязвимость в административной функции контракта и использовал особенность старых версий языка программирования, где отсутствовала защита от целочисленного переполнения. Это позволило корректно обойти проверку и инициировать разблокировку средств.
Поскольку доступ к административным функциям был защищён мультисиг-кошельком команды проекта, исследователь связался с разработчиками HongCoin. В результате совместной работы было проведено 41 транзакция, позволившая вернуть средства 48 инвесторам.
По данным участников проекта, двое из них уже вывели 96,5 ETH и добровольно отправили хакеру вознаграждение за помощь.
Florent ранее участвовал в восстановлении доступа к средствам в других устаревших криптопроектах, включая неудачное ICO 2018 года и атомарные свопы Liquality. Он использует собственное программное обеспечение и инструменты искусственного интеллекта для анализа смарт-контрактов и поиска заблокированных активов.
Эксперты отмечают, что случай HongCoin вновь поднимает вопрос безопасности ранних блокчейн-протоколов, многие из которых остаются уязвимыми даже спустя годы после запуска.
На фоне этого ранее сообщалось, что только за апрель в криптоиндустрии было зафиксировано более 20 крупных инцидентов, а общий ущерб превысил 651 млн долларов.
