Ang Papel ng White Hat Hacker sa Hong Coin
Isang white hat hacker ang tumulong sa mga tagalikha ng Hong Coin sa pamamagitan ng pagpapakita sa kanila kung paano samantalahin ang isang depektibong admin function sa isang smart contract, na nagresulta sa pag-refund ng mga mamumuhunan matapos ang halos isang dekada. Ang pseudonymous na hacker na kilala bilang 0xflorent ay nagtagumpay na ma-recover ang humigit-kumulang $2 milyon na halaga ng Ether mula sa isang faulty initial coin offering (ICO) smart contract.
Pagbawi ng mga Pondo
Sa isang post sa X noong Linggo, ibinahagi ni 0xflorent na nakatulong silang ma-recover ang humigit-kumulang 1,003 Ether (ETH) mula sa 48 mamumuhunan na lumahok sa Hong Coin (HONG) ICO, isang decentralized venture capital fund na hindi kailanman nailunsad dahil hindi nito naabot ang layunin sa pagpopondo.
“Ang kontrata ay humawak ng lahat ng ETH ng mga mamumuhunan at dapat sana ay auto-refund sila,” sabi ni 0xflorent. Gayunpaman, “isang bug sa refund function ang tahimik na sumira dito, at ang mga pondo ay naipit.”
Ayon sa data mula sa Ethereum block explorer na Etherscan, isang mamumuhunan ng HONG ang na-refund na ng 96 ETH, na ngayon ay nagkakahalaga ng humigit-kumulang $192,500, habang 0.5 ETH ang naibalik sa isa pang mamumuhunan.
Kasaysayan ng Hong Coin
Ang Hong Coin ay unang ipinakilala noong 2016, at isang YouTube video noong panahong iyon ang naglalarawan sa token bilang isang community-run venture capital fund kung saan ang mga miyembro ng decentralized autonomous organization ng proyekto ay tutulong sa pagpapasya kung aling mga proyekto ang makakatanggap ng suporta. Ang ICO ay nagsimula noong Agosto 29, 2016, at nagtapos mga dalawang buwan mamaya noong Oktubre 28.
Ang mga mamumuhunan na nagpadala ng ETH sa HONG smart contract ay dapat sana ay makatanggap ng 250 milyong HONG tokens na ipinamamahagi sa limang yugto, ngunit hindi ito umabot sa layunin sa pagpopondo, at dapat sana ay ma-refund ang mga mamumuhunan.
Pag-exploit ng Vulnerability
Sinabi ni 0xflorent na nakipagtulungan sila sa mga tagalikha ng HONG at ipinakita sa kanila kung paano kunin ang mga nakalakip na pondo sa pamamagitan ng pagsasamantala sa isang depektibong admin function na nag-reset sa mga balanse ng mga may hawak ng token at nag-trigger sa refund mechanism.
“Ang paraan palabas ay isang admin function na may integer overflow vulnerability,” ipinaliwanag nila. “Ang pagtawag dito gamit ang isang tiyak na input ay nag-reset ng balanse ng isang may hawak at nag-unblock ng refund check.”
Noong Mayo 24, sinabi ni 0xflorent na nakuha nila ang pinagsamang 19.33 ETH na nagkakahalaga ng humigit-kumulang $40,600 mula sa isang nabigong proyekto ng ICO noong Enero 2018 at isang gumagamit ng Liquality Wallet na may ilang pondo na naipit sa isang cross-chain transfer protocol.
