(120BTC.COm)讯:白帽黑客0xflorent周日在X平台表示,他们协助Hong Coin创作者从2016年ICO智能合约中解冻并领回约1,003以太(ETH),等值约200万美元。48位投资者的资金在9年后终于回到口袋。
整数溢位:被锁住9年的退币机制
Hong Coin(HONG)是2016年的去中心化风投基金,ICO在当年8月29日启动,10月28日结束。投资者汇入ETH后,应该收到2.5亿枚HONG代币,但项目未能达到募资目标,所有资金应自动退还。
0xflorent指出,合约的退款函式藏了一个整数溢位漏洞,导致退款机制在启动后静默失效,资金被锁在合约地址内。该Etherscan链上资料显示,已有投资者收到退款,其中一人领回96ETH(约19.25万美元),另一人则收到0.5ETH。
「退出的路径是一个有整数溢位漏洞的管理函式,」0xflorent解释,「用特定输入呼叫它,会重置持有者的余额并触发退款检查。」
2016年ICO潮的缩影
Hong Coin是2016年第一批以太币ICO之一。当年共有约12场ICO,募资总额约700万美元,不到3年后的2018年,ICO数量飙升到40+场,总募资突破15亿美元。Hong Coin虽然规模不大,但其智能合约bug是那个时代的缩影,许多项目在写合约时跳过了形式化验证,导致资金被锁、被窃或错失退款。
以台湾语境来看,2016年正是比特币价格从600美元冲上1万美元的翻倍年。若当时的投资者将同样金额投入比特币并持有至今,96ETH等值的资金将变成长约40万美元。这也凸显了ICO时代「低gas费、少竞争」的优势,但智能合约品质才是真正决定回报的关键。
白帽黑客的近期战绩
0xflorent在过去几周也持续活跃。5月24日,他们宣布从2018年初另一个ICO项目领回19.33ETH(约4万美元),并协助Liquality钱包使用者取回跨链转帐中卡住的资金。这些案例显示,即使在ETH主网上的智能合约,只要合约逻辑有漏洞,白帽仍然可以逆向工程找出解锁路径。
对于Web3初学者来说,这则故事也提醒了一件事:你锁在智能合约中的资金并不会永远「安全」,如果合约本身有bug,你的钱可能既不会增值也不会退还,只会静静地停在合约地址里等待被发现。
