核心摘要
安全研究员 Florent 近日发现并协助解锁了 2016 年 HongCoin(The HONG)ICO 合约中滞留近 9 年的约 1003 枚 ETH,当前价值约 200 万美元。这批资金因早期 Solidity 代码漏洞导致退款函数受全局计数器限制,绝大多数投资者始终无法正常取回投入的 ETH。Florent 与 HongCoin 团队合作,利用合约中遗留的管理员铸币函数,成功让 48 名原始投资者得以申请退款,整个过程耗时约一周。
正文解读
此次解锁完全由项目团队自行签署交易,并非单方面的黑客攻击行为。Florent 指出,这类老合约并不存在供外部盗取所有权的漏洞,因此黑客通常无利可图,唯有原始投资者才能从解锁中受益。截至目前,已有两名投资者合计取回 96.5 枚 ETH,并主动向 Florent 支付了「白帽赏金」,作为对其发现和协助的回报。
该事件反映出早期以太坊智能合约因语言和开发工具尚不成熟而遗留的安全隐患。2016 年的 ICO 热潮中,不少合约采用全局计数器来管理退款逻辑,却因 Solidity 在状态变量处理上的限制,导致退款功能在特定条件下永久冻结。此类合约虽无法被外部攻击者利用,但长期锁定大量资产,对原始投资者而言仍是资金效率的巨大损失。
Florent 表示,自己日常工作之一便是扫描持有大量 ETH 的老合约,寻找类似的被困资金。此次成功的白帽回收不仅为数十名早期投资者挽回了损失,也再次展示了白帽行为对加密生态的正面价值——在无需破坏系统安全的前提下,帮助修复历史遗留问题。
原创文章,作者:admin,如若转载,请注明出处:https://www.23btc.com/184413/
