Önemli Çıkarımlar:
Takma adlı bir güvenlik araştırmacısı, 2016 Hong Coin ICO akıllı sözleşmesinden, iade fonksiyonundaki bir hatanın yatırımcı fonlarını neredeyse on yıl boyunca kilitlediği yaklaşık 1.003 Ether'i (kabaca 2 milyon dolar değerinde) kurtardı.
"Sözleşme, tüm yatırımcıların ETH'sini tutuyordu ve otomatik olarak iade etmesi gerekiyordu. Ancak, iade fonksiyonundaki bir hata bunu sessizce bozdu ve fonlar takılı kaldı," dedi kurtarmayı gerçekleştiren beyaz şapkalı hacker 0xflorent, Pazar günü X'te yaptığı bir paylaşımda.
Hong Coin ICO, 29 Ağustos - 28 Ekim 2016 tarihleri arasında gerçekleşti ve merkezi olmayan bir otonom organizasyon tarafından yönetilen topluluk odaklı bir girişim sermayesi fonunun parçası olarak beş aşamada 250 milyon HONG tokenı sundu. Proje, fon toplama hedefine ulaşamayınca, akıllı sözleşmenin 48 yatırımcıya katkılarını otomatik olarak geri ödemesi gerekiyordu. İade mekanizmasındaki bir kusur — bir yönetici fonksiyonundaki tamsayı taşması (integer overflow) güvenlik açığı — bu iadelerin işlenmesini engelleyerek Ether'in zincir üzerinde donmuş halde kalmasına neden oldu.
Kurtarma işlemi, orijinal Hong Coin ekibiyle iş birliği gerektirdi. 0xflorent, tamsayı taşması hatası bulunan bir yönetici fonksiyonunun, belirli bir girdi değeriyle çağrıldığında token sahibi bakiyelerini sıfırlayabildiğini ve böylece iade kontrolünün önünü açtığını tespit etti. Fonksiyon, ekibin çoklu imza cüzdanından yetkilendirme gerektirdiği için 0xflorent geliştiricilerle iletişime geçti, düzeltmeyi bir test ağında doğruladı ve ekip, bakiyesi ayarlanması gereken etkilenen her yatırımcı için 41 işlemi onayladı. Yedi yatırımcı, geçici çözüm olmadan doğrudan iade alacak kadar küçük miktarlara sahipti.
Etherscan'den alınan zincir üstü veriler, iadelerin yatırımcılara ulaşmaya başladığını doğruluyor. Bir katılımcı, mevcut fiyatlarla yaklaşık 192.500 dolar değerinde 96 ETH alırken, bir başkasına 0,5 ETH iade edildi. Her ikisi de 0xflorent'e gönüllü olarak beyaz şapkalı ödülleri verdi, ancak herhangi bir ödeme zorunlu değildi. "Hiçbir ücret, hiçbir kesinti, hiçbir komisyon yoktu," dedi 0xflorent.
Hong Coin kurtarması izole bir vaka değil. 0xflorent, 24 Mayıs'ta iki ayrı eski sözleşmeden — Ocak 2018'den kalma başarısız bir ICO ve süresi dolmuş bir zincirler arası atomik takas nedeniyle fonları sıkışan bir Liquality Cüzdan kullanıcısı — 19,33 ETH kurtardığını bildirdi. Araştırmacı, kendi Ethereum düğümünü kurduğunu ve 100 ETH'den fazla tutan sözleşmeleri belirlemek için bir tarama aracı oluşturduğunu, ardından istismar edilebilir zayıflıklar için adayları sistematik olarak incelediğini söyledi. Sözleşmeleri sıralamak ve kategorize etmek için Claude Code'u kullandı, ancak AI platformunun akıllı sözleşme güvenlik açıklarını doğrudan analiz etme konusunda sınırlamaları olduğunu belirtti.
Bu olay, ICO dönemi akıllı sözleşmelerinde gömülü olan gizli riski vurguluyor; bunların çoğu, SafeMath gibi tamsayı taşması güvenlik açıklarına karşı korumalardan yoksun, eski Solidity sürümleri üzerine inşa edilmişti. Blockchain kayıtları kalıcı olsa da, kilitli varlıklara erişim, kod düzeyindeki kusurları belirlemeden ve istismar etmeden imkansız kalabiliyor. Vaka aynı zamanda sorumlu iyileştirme için bir model sergiliyor: düşmanca istismar yerine orijinal geliştiricilerle koordine edilen beyaz şapkalı müdahalesi, daha geniş ekosistemi istikrarsızlaştırmadan mahsur kalan değeri serbest bırakabilir.
Kripto endüstrisi için Hong Coin kurtarması, kaç benzer atıl sözleşmenin hâlâ mahsur fonlar tuttuğu ve retroaktif kurtarmaları hangi standartların yönetmesi gerektiği konusunda pratik soruları gündeme getiriyor. 0xflorent, daha fazla güvenlik araştırmacısının bu yolu izlemesini umduğunu ifade etti. "Ahlaki olarak daha tatmin edici ve aynı zamanda iyi para da kazandırabilir," dedi.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi niteliği taşımaz.
