إنقاذ العملات المشفرة: يحرر الخبير استثمارًا مجمدًا بقيمة مليوني دولار في إيثريوم بعد إغلاق دام قرابة عقد من الزمن.
عمل باحث أمني يعرف بـ 0xflorent مع الفريق وراء عقد طرح أولي للعملة لـ Ethereum ($ETH) لعام 2016 لفتح ما يقرب من 2 مليون دولار من الأثير التي كانت محاصرة لمدة تسع سنوات، في عملية استرداد منسقة بيضاء استغلت ثغرة في تجاوز الأعداد الصحيحة لم يتمكن المطورون الأصليون من تصحيحها مطلقًا.
ينتمي العقد إلى HongCoin، وهي عملية بيع رمزية لعام 2016 لم تحقق هدفها التمويلي وكان من المفترض أن تقوم باسترداد الأثير للمستثمرين تلقائيًا ولكنها فشلت في القيام بذلك بسبب خطأ في وظيفة استرداد الأموال.
قام مسار 0xflorent بإلغاء تجميد 1,003.62 دولارًا أمريكيًا من ETH، مع وجود 48 مستثمرًا أصليًا مؤهلين الآن للمطالبة. وقد قام اثنان بذلك، وحصلا على مبلغ إجمالي قدره 96.5 دولارًا من ETH تبلغ قيمته حوالي 193000 دولار، حسبما قال في سلسلة X يوم الأحد.
أول استغلال للقبعة البيضاء على Ethereum: قمت بفتح 1,003.62 Ξ (2,000,000 دولار) محاصرة في عقد ICO الذكي لعام 2016 لمدة 9 سنوات. يمكن للمستثمرين الأصليين البالغ عددهم 48 الآن المطالبة بأموالهم. pic.twitter.com/lyh5iyaDu7 — 0xflorent.eth (@0xFlorent_) 31 مايو 2026
رفض منطق استرداد العقد أي حامل تجاوز رصيده الرمزي عدادًا عالميًا أدى إلى انخفاض سنوات من المبالغ المستردة الجزئية إلى 356، مما أدى إلى الحد الأقصى لاسترداد المبالغ الإضافية عند 3.56 دولار إيثريوم.
وجدت 0xflorent أن وظيفة الإدارة في العقد، والتي تقتصر على محفظة HongCoin متعددة التوقيع، تفتقر إلى الحماية من تجاوز الأعداد الصحيحة المضمنة لاحقًا في لغة برمجة Solidity. يؤدي استدعاؤها بقيمة إدخال محددة إلى إعادة تعيين رصيد المالك إلى واحد، مما يسمح بمرور شيك استرداد الأموال وتحرير الأموال.
ومع ذلك، لم يكن التعافي بمثابة استغلال أحادي الجانب. نظرًا لأن وظيفة الإدارة تتطلب تنفيذ التوقيع المتعدد الخاص بـ HongCoin، قامت 0xflorent بإرسال بريد إلكتروني إلى الفريق، والتحقق من صحة تسلسل إلغاء القفل على شوكة اختبار لشبكة Ethereum الرئيسية، ووقع الفريق نفسه على معاملات إلغاء القفل.
لقد وقعت 41 معاملة، واحدة لكل حامل محظور، مما أدى إلى تحرير ما يقرب من 1000 دولار من ETH التي كانت عالقة حقًا. كان لدى سبعة حاملين آخرين أرصدة صغيرة بما يكفي لاستردادها مباشرة دون الحل البديل.
وهذا هو الاسترداد الثاني من نوعه الذي تنشره 0xflorent خلال ثمانية أيام.
في 24 مايو، قال إنه أعاد 19.329 دولارًا إيثريوم، تبلغ قيمتها حوالي 40.590 دولارًا، إلى أصحابها الأصليين، بما في ذلك 5.141 دولارًا إيثريوم من ICO الفاشل في يناير 2018 و14.190 دولارًا إيثريوم من سبع مقايضات ذرية منتهية الصلاحية في حساب مستخدم Liquality Wallet الذي أصبح غير قابل للوصول بعد إغلاق المحفظة في عام 2024.
يأتي التعافي خلال فترة طويلة من عمليات استغلال التمويل اللامركزي، حيث شهد شهر أبريل وحده استنزاف مئات الملايين من الدولارات عبر البروتوكولات، وعلى رأسها خسارة ما يقرب من ٢٩٣ مليون دولار على Kelp DAO.