摘要:一名匿名网络安全专家利用整数溢出漏洞,成功为48名投资者解冻锁定近十年的以太币,总价值约200万美元。该操作基于对旧版Solidity合约缺陷的精准分析,未收取任何报酬,仅接受自愿性奖励。
币圈界报道:
十年冻结资金重获流通:白帽行动激活历史合约资产
网络安全研究者‘0xflorent’通过技术手段,成功释放了约1003枚以太币,这些资金自2016年起被锁定于香港币项目早期智能合约中,至今已逾九年,当前估值约为200万美元。此次行动源于合约退款机制因编码错误失效,导致募资失败后无法返还投资者资金。
募资失败遗留问题:合约自动返还功能失灵
该加密项目由社区主导推广,于2016年8月29日至10月28日开展为期六周的初始代币发行。尽管吸引大量参与者,但最终未能达成预定筹资目标。按照设计逻辑,系统应在募资未达标时自动触发退款流程,然而由于底层代码存在缺陷,此功能始终无法执行,致使资金长期滞留。
计数器异常致退款额度严重受限
技术分析显示,合约内部用于追踪退款状态的全局变量在多次部分提现后已降至356,而其计算方式采用不安全的整数运算,当持币余额超过该数值时,系统将拒绝执行退款操作。这一设计缺陷使得实际可退还金额被压缩至不足3.56以太币,远低于多数参与者的原始投资额。该合约使用过时的Solidity版本编写,缺乏现代安全防护机制,此类漏洞后来已被行业标准库有效解决。
多签授权下完成资产解封
研究员发现可通过调用合约中的管理接口,以特定输入值重置用户余额至初始状态,从而绕过验证限制。该功能需由香港币团队控制的多重签名钱包批准,每笔操作均须经团队成员确认。研究人员通过测试网络验证方案可行性后,向团队提交请求,共获批41笔调整交易。整个流程历时约一周,其中41名投资者需进行余额重置,其余7人因持有量较低可直接获得退款。
首批提取完成:自愿奖励体现道德共识
目前已有两名投资者成功提取共计96.5枚以太币。二人自愿向研究员提供了“白帽奖励”,但并非强制义务。研究员明确表示全程未收取任何费用、佣金或经济回报,仅接受非强制性感谢。
持续性资产恢复计划启动
这不是首次类似操作。此前,该研究者曾从两个失效合约中释放总计19.33枚以太币,涵盖一个2018年终止的ICO项目及一个陷入原子交换僵局的钱包账户。
近期,他部署了自己的以太坊节点,并开发自动化扫描工具,用于识别持有超过100以太币的潜在风险合约。结合静态代码分析工具辅助分类工作,但指出当前人工智能平台在深入理解智能合约安全缺陷方面仍存明显局限。
他表示,更希望推动更多技术人才投身于资产保护而非漏洞滥用,认为此类正向实践不仅具备伦理价值,也能带来可持续的合理回报。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。