هکرهای کلاه‌سفید موفق به بازیابی ۲ میلیون دلار ETH شدند که نزدیک به یک دهه در قرارداد هوشمند عرضه توکن سال ۲۰۱۶ قفل شده بود

یک هکر کلاه‌سفید با نام مستعار «0xflorent» روز یکشنبه در شبکه اجتماعی X اعلام کرد که به بازیابی حدود ۱,۰۰۳ ETH (به ارزش تقریبی ۲ میلیون دلار) از یک قرارداد هوشمند معیوب مربوط به عرضه توکن Hong Coin (HONG) در سال ۲۰۱۶ کمک کرده است؛ این موضوع ۴۸ سرمایه‌گذار را درگیر کرده بود.

پروژه Hong Coin در ابتدا به عنوان یک صندوق سرمایه‌گذاری خطرپذیر غیرمتمرکز با مدیریت جامعه طراحی شده بود که عرضه توکن آن از ۲۹ اوت ۲۰۱۶ آغاز و در ۲۸ اکتبر همان سال به پایان رسید، اما به دلیل عدم دستیابی به هدف تأمین مالی، راه‌اندازی نشد. قرار بود قرارداد به‌طور خودکار مبالغ را به سرمایه‌گذاران بازگرداند، اما وجود یک آسیب‌پذیری در تابع بازپرداخت باعث شد تا این دارایی‌ها برای نزدیک به یک دهه قفل بمانند.

فردی با نام مستعار 0xflorent با همکاری سازنده HONG، با بهره‌برداری از یک تابع مدیریتی دارای آسیب‌پذیری سرریز عدد صحیح (integer overflow)، موجودی دارندگان توکن را بازنشانی کرد و با وارد کردن ورودی‌های خاص، مکانیسم بازپرداخت را فعال نمود و موفق به استخراج وجوه قفل‌شده شد. طبق داده‌های Etherscan، یکی از سرمایه‌گذاران تاکنون بازپرداختی معادل ۹۶ ETH (تقریباً ۱۹۲,۵۰۰ دلار) دریافت کرده است. پیش‌تر در ۲۴ مه، 0xflorent همچنین ۱۹.۳۳ ETH را از یک پروژه عرضه توکن ناموفق دیگر مربوط به سال ۲۰۱۸ بازیابی کرده بود.