😱 HISTORYCZNE RATUNKU: 2 miliony dolarów w Etherze uwięzione przez 9 lat zostały uwolnione po błędzie Solidity
Ekosystem krypto właśnie był świadkiem jednego z najbardziej fascynujących aktów "etycznego hackingu" w swojej niedawnej historii. Około 1,003 ETH (około 2 milionów dolarów), które były całkowicie zamrożone od 2016 roku w inteligentnym kontrakcie Oferty Początkowej Monet (ICO) projektu HongCoin (#TheHONG), zostały pomyślnie uratowane.
Ten kamień milowy nie był wynikiem złośliwego exploitu dla osobistych korzyści, lecz perfekcyjnej operacji ratunkowej skoordynowanej między badaczem bezpieczeństwa a oryginalnymi deweloperami projektu.
💻 Błąd: Dlaczego pieniądze utknęły?
W 2016 roku, po nieosiągnięciu minimalnego celu zbiórki, kontrakt HongCoin miał automatycznie zwrócić $ETH a swoim uczestnikom. Jednak prymitywna programowanie tamtych czasów zapłaciło wysoką cenę:
Agregacja Tagów Nowości Crypto i Treści Tematycznych | LBank
* Brak bibliotek ochronnych: Na początku Ethereum, język Solidity nie miał natywnych zabezpieczeń przed przepełnieniem liczb całkowitych (integer overflow). incrypted+ 1
* Błąd globalnego licznika: Błąd w logice wewnętrznej obniżył globalny licznik zwrotów poniżej rzeczywistego salda użytkowników. Kontrakt błędnie interpretował, że inwestorzy nie mają środków do odzyskania, blokując płynność na łańcuchu (on-chain) w sposób "perpetualny".
🛡️ Rozwiązanie: Inżynieria Etyczna i Multisig
Badacz bezpieczeństwa, pod pseudonimem @0xFlorent_, zlokalizował zablokowany kontrakt przy użyciu własnego skanera zaprojektowanego do śledzenia starych adresów z saldami powyżej 100 ETH.
Zamiast próbować ataku jednostronnego, badacz opracował genialną strategię:
1. "Eksploatacja" Kontrolowana: Odkrył, że funkcja administracyjna kontraktu (pierwotnie zaprojektowana do wydawania tokenów bonusowych) cierpiała na przepełnienie liczb całkowitych. Wysyłając jej niezwykle specyficzny parametr, funkcja resetowała zablokowane saldo użytkownika, omijając ograniczenie pierwotnego błędu.
2. Koordynacja Instytucjonalna: Ponieważ ta funkcja wymagała ściśle wielopodpisu (multisig) twórców HongCoin, Florent się z nimi skontaktował. Po przetestowaniu rozwiązania w lokalnym środowisku testowym (fork poprzez Foundry), zespół bezpiecznie podpisał 41 transakcji w sieci głównej. incrypted Dzięki temu 48 historycznych inwestorów w końcu ma otwartą drogę do odzyskania swoich legitymnych środków po prawie dekadzie uznawania swojego kapitału za stracony.
🧠 Lekcje OpSec i Dojrzałość Ekosystemu
Ta sprawa zostawia nas z trzema krytycznymi refleksjami na temat ewolucji infrastruktury Web3:
* Ewolucja kodu: Obecnie, Solidity (od wersji 0.8.0) ma automatyczne zabezpieczenia przed tymi błędami, a branża korzysta z niezwykle rygorystycznych standardów audytorskich, co sprawia, że te błędy logiczne są już przeszłością. Crypto Briefing
* Fałszywe poczucie bezpieczeństwa dzięki AI w audytach: Sam badacz zauważył, że analizując te kontrakty za pomocą modeli Inteligencji Sztucznej, narzędzia często błędnie wnioskują, że kontrakt jest "niemożliwy do zhakowania" z powodu stronniczości, że nikt nie osiągnął tego przez 9 lat. Ludzkie oko i doświadczenie techniczne nadal są niezastąpione.
* Higiena w starych kontraktach: Kontrakty "starej szkoły" nie mają funkcji aktualizacji (kontrakty proxy), co oznacza, że kod jest prawem i jest na zawsze wyryty w kamieniu, co pokazuje, dlaczego bezpieczeństwo przy początkowym wdrożeniu jest wszystkim. KuCoin
Notatka Bezpieczeństwa Binance: Ten ratunek pokazuje nieocenioną wartość White Hats (etycznych hakerów) w naszej branży. W miarę dojrzewania rynku, ochrona swoich aktywów poprzez odpowiedzialne zarządzanie, korzystanie z portfeli wielopodpisowych oraz handel na platformach z solidnymi systemami zarządzania to jedyny sposób na zapewnienie długowieczności Twoich inwestycji.
Co sądzisz o tym historycznym ratunku w sieci Ethereum? Czy miałeś środki uczestnicząc w jakimś projekcie z ery ICO 2016 lub 2017, który uważasz za uwięziony? 👇 Podziel się swoimi doświadczeniami w komentarzach i przeanalizujmy bezpieczeństwo blockchain!