😱 ИСТОРИЧЕСКОЕ СПАСЕНИЕ: 2 миллиона долларов в эфире, замороженные на протяжении 9 лет, освобождены после бага в Solidity
Криптоэкосистема только что стала свидетелем одного из самых захватывающих актов "этического хакерства" в своей недавней истории. Около 1,003 ETH (примерно 2 миллиона долларов), которые оставались полностью замороженными с 2016 года в смарт-контракте первичного предложения монет (ICO) проекта HongCoin (#TheHONG), были успешно спасены.
Этот исторический момент не стал результатом злонамеренного эксплойта в личных интересах, а явился результатом безупречной операции по спасению, организованной между исследователем безопасности и оригинальными разработчиками проекта.
💻 Баг: Почему деньги остались заблокированными?
В 2016 году, не достигнув своей минимальной цели по сбору средств, контракт HongCoin должен был автоматически вернуть $ETH a своим участникам. Однако примитивное программирование того времени обошлось дорого:
Агрегация тегов новостей Crypto и тематический контент | LBank
* Недостаток защитных библиотек: В начале Эфириума язык Solidity не имел встроенных защит от переполнения целых чисел (integer overflow). incrypted+ 1
* Ошибка глобального счетчика: Баг в внутренней логике уменьшил глобальный счетчик возвратов ниже реального баланса пользователей. Контракт неверно интерпретировал, что у инвесторов нет средств для получения, блокируя ликвидность в цепочке (on-chain) на "вечные" времена.
🛡️ Решение: Этическая Инженерия и Мультиподпись (Multisig)
Исследователь безопасности, под псевдонимом @0xFlorent_, нашел замороженный контракт, используя собственный сканер, разработанный для отслеживания старых адресов с балансами более 100 ETH.
Вдалеке от попытки односторонней атаки, исследователь разработал блестящую стратегию:
1. Контролируемый "Эксплойт": Он обнаружил, что административная функция контракта (изначально предназначенная для выпуска бонусных токенов) страдала от переполнения целых чисел. Отправив ей очень специфический параметр, функция сбрасывала заблокированный баланс пользователя, позволяя обойти ограничение оригинального бага.
2. Институциональная координация: Поскольку данная функция строго требовала мультиподписи (multisig) создателей HongCoin, Флорент связался с ними. После тестирования решения в локальной тестовой среде (форк через Foundry), команда безопасно подписала 41 транзакцию в основной сети. incrypted Благодаря этому, 48 исторических инвесторов наконец получили возможность вернуть свои законные средства после почти десятилетия, считая свой капитал потерянным.
🧠 Уроки OpSec и зрелость экосистемы
Этот случай оставляет нам три критических размышления о развитии инфраструктуры Web3:
* Эволюция кода: Сегодня Solidity (начиная с версии 0.8.0) имеет автоматические защиты от этих ошибок, и индустрия использует чрезвычайно строгие стандарты аудита, которые делают эти ошибки базовой логики делом прошлого. Crypto Briefing
* Ложное мнение о ИИ в аудитах: Сам исследователь отметил, что при анализе этих контрактов с помощью моделей Искусственного Интеллекта, инструменты часто ошибочно приходили к выводу, что контракт "невозможно уязвим", из-за предвзятости, что никто не смог этого сделать за 9 лет. Человеческий глаз и технический опыт по-прежнему незаменимы.
* Гигиена старых контрактов: Контракты "старой школы" не имеют функций обновления (прокси-контракты), что означает, что код – это закон и навсегда высечен в камне, показывая, почему безопасность при первоначальном развертывании имеет решающее значение. KuCoin
Замечание по безопасности Binance: Этот случай подчеркивает неоценимую ценность White Hats (этических хакеров) в нашей индустрии. По мере взросления рынка, защита ваших активов через ответственное хранение, использование корпоративных мультиподписных кошельков и работа на платформах с надежными системами управления – единственный способ гарантировать долговечность ваших инвестиций.
Что ты думаешь об этом историческом спасении в сети Эфириум? У тебя были средства, участвующие в каком-либо проекте эпохи ICO 2016 или 2017, которые ты считаешь заблокированными? 👇 Оставь свой опыт в комментариях и давай проанализируем безопасность блокчейна!