Спасательная миссия разблокировала кэш Ethereum семилетней давности стоимостью 2 миллиона долларов

Оглавление Эксперт по кибербезопасности успешно выпустил около 1003 эфиров на сумму около 2 миллионов долларов, которые оставались в ловушке смарт-контракта ICO 2016 года в течение почти десяти лет. Криптовалюта принадлежала участникам HongCoin, токена на основе Ethereum, который позиционируется как инвестиционный инструмент, управляемый сообществом. ICO работало с 29 августа по 28 октября 2016 года, но в конечном итоге не достигло цели по сбору средств. После неудачной продажи смарт-контракт должен был автоматически вернуть средства инвесторам. Однако ошибка кодирования в механизме возврата молча помешала этому произойти. Первый «белый» эксплойт на Ethereum: я разблокировал 1 003,62 Ξ (2 000 000 долларов США), запертых в смарт-контракте ICO 2016 года на 9 лет. 48 первоначальных инвесторов теперь могут потребовать свои средства. pic.twitter.com/lyh5iyaDu7 — 0xflorent.eth (@0xFlorent_) 31 мая 2026 г. Специалист по кибербезопасности, известный в Интернете как «0xflorent» или Florent, подробно описал техническую проблему в сообщении в социальной сети на X. Механизм возврата откажет любому держателю токена, баланс которого превышает глобальную переменную отслеживания. За годы частичного снятия средств этот счетчик уменьшился до 356, фактически ограничив общую сумму возмещения всего лишь 3,56 ETH — значительно меньше, чем имело право получить большинство участников. Контракт был разработан с использованием устаревшей версии Solidity, языка программирования для смарт-контрактов Ethereum. В нем отсутствовала защита от уязвимостей целочисленного переполнения — дефекта, при котором числовые значения превышают максимальный предел и сбрасываются до нуля или единицы. Впоследствии индустрия блокчейнов устранила эту слабость с помощью SafeMath, защитной библиотеки. Флоран нашел решение, воспользовавшись административной функцией команды HongCoin. Выполнение его с определенным входным значением сбрасывает баланс токена участника до единицы, обеспечивая успешную проверку возврата и освобождая ETH. Это не был независимый эксплойт. Административная функция требовала авторизации в мультиподписном кошельке команды HongCoin, что требовало одобрения команды для каждой транзакции. Флоран связался с командой по электронной почте, проверил решение в тестовой сети, и впоследствии команда одобрила 41 транзакцию — по одной для каждого затронутого инвестора. Вся операция заняла примерно неделю. Среди 48 квалифицированных инвесторов 41 потребовал корректировки баланса. Остальные семь владели достаточно небольшими суммами, чтобы получить прямое возмещение. Два участника уже вывели в общей сложности 96,5 ETH на сумму около 193 000 долларов США. Оба добровольно выплатили Флорану вознаграждение в виде белых шляп, хотя оплата не была обязательной. «Не было никаких сборов, никаких сокращений, никакой комиссии», — заявил Флоран The Block. Это не первая операция Флорана по восстановлению. 24 мая он задокументировал освобождение 19,33 Ethereum от двух разных устаревших контрактов — несуществующего ICO 2018 года и аккаунта Liquality Wallet, активы которого застряли в атомных свопах с истекшим сроком действия. Флоран объяснил, что недавно он развернул свой собственный узел Ethereum и разработал инструмент сканирования для выявления контрактов, содержащих более 100 ETH. Затем он систематически проверял кандидатов в поисках слабых мест, которыми можно было бы воспользоваться. Он также использовал Claude Code для помощи в сортировке и категоризации контрактов, хотя и признал, что платформа искусственного интеллекта имеет ограничения при непосредственном анализе недостатков безопасности смарт-контрактов. Флоран выразил надежду, что больше людей будут работать над сохранением средств, а не эксплуатировать их. «Это более полезно с моральной точки зрения, а также может хорошо окупиться», — заметил он.