یک توسعه‌دهنده با نام فلورنت می‌گوید که به بازیابی حدود ۱۰03 اتریوم (ETH) که در حال حاضر حدود ۲ میلیون دلار ارزش دارد، کمک کرده است. این مقدار اتریوم برای مدت ۹ سال در یک قرارداد عرضه اولیه سکه (ICO) مربوط به سال ۲۰۱۶ به دام افتاده بود.

این قرارداد متعلق به HongCoin است که با نام «The HONG» نیز شناخته می‌شود، یک فروش توکن اتریوم از سال ۲۰۱۶ که به عنوان یک صندوق سرمایه‌گذاری تحت مدیریت جامعه معرفی شده بود.

در یک رشته پستی در پلتفرم X که اوایل یکشنبه منتشر شد، فلورنت، که خود را یک محقق امنیتی توصیف می‌کند، گفت که این فروش به هدف خود نرسیده و قرار بود اتریوم سرمایه‌گذاران را به صورت خودکار بازپرداخت کند، اما یک باگ باعث شد پول گیر کند.

فلورنت در مصاحبه‌ای کتبی با The Block گفت که تابع بازپرداخت، هر دارنده‌ای را که موجودی توکن او بیشتر از یک شمارنده سراسری بود، رد می‌کرد. سال‌ها بازپرداخت جزئی، آن شمارنده را به ۳۵۶ کاهش داده بود و مجموع بازپرداخت‌ها را به ۳.۵۶ اتریوم (حدود ۷۰۰۰ دلار) محدود می‌کرد، در حالی که بیشتر دارندگان باقی‌مانده مقادیر بسیار بیشتری داشتند.

فلورنت گفت از آنجایی که این قرارداد با یک نسخه قدیمی از زبان برنامه‌نویسی سالیدیتی (Solidity) پیاده‌سازی شده بود، فاقد حفاظت در برابر خطاهای سرریز (overflow) بود، که در آن عددی که به اندازه کافی بزرگ می‌شود، در نهایت به ۰ یا ۱ بازنشانی می‌شود؛ این آسیب‌پذیری بعداً با کتابخانه SafeMath برطرف شد.

فلورنت گفت: «راه حل، استفاده از تابع ادمین تیم بود، تابعی که برای ضرب (mint) توکن‌های بونتی از رویدادهای خاص در نظر گرفته شده بود.» او افزود: «به دلیل عدم وجود حفاظت در برابر سرریز، فراخوانی آن با یک مقدار ورودی بسیار خاص، موجودی یک دارنده را به ۱ بازنشانی می‌کرد و از آنجا بررسی بازپرداخت انجام می‌شد و اتریوم آزاد می‌شد.»

فلورنت گفت که این اقدام یک هک یک‌جانبه نبود. تابع ادمین محدود به چندامضایی (multisig) هانگ‌کوین بود، بنابراین او به تیم ایمیل زد، توالی را روی یک فورک شبکه‌اصلی (mainnet fork) فاندری تأیید کرد و تیم خود تراکنش‌های بازگشایی را امضا کرد. او گفت که این فرآیند از اولین ایمیل حدود یک هفته طول کشید.

بر اساس محاسبات او، ۴۸ سرمایه‌گذار اولیه اکنون می‌توانند وجوه آزاد شده را مطالبه کنند، اما تنها ۴۱ نفر نیاز به بازنشانی موجودی داشتند؛ هفت نفر دیگر مقادیر به اندازه کافی کوچکی داشتند که مستقیماً بازپرداخت شوند. تیم ۴۱ تراکنش، هر یک برای یک دارنده مسدود شده، امضا کرد که حدود ۱۰۰۰ اتریوم واقعاً گیر کرده را پوشش می‌داد.

این محقق گفت که تاکنون دو سرمایه‌گذار مجموعاً ۹۶.۵ اتریوم (حدود ۱۹۳۰۰۰ دلار) را پس گرفته‌اند و داوطلبانه «پاداش کلاه سفید» برای فلورنت فرستاده‌اند، هرچند هیچ چیز کسی را به پرداخت آن ملزم نمی‌کند. او به The Block گفت: «هیچ کارمزد، هیچ سهمی، هیچ کمیسیونی وجود نداشت.» او انگیزه‌اش را کنجکاوی و یادگیری نحوه کار قراردادهای قدیمی توصیف کرد.

فلورنت گفت: «به غیر از خود تیم، هیچ کس واقعاً انگیزه‌ای برای بررسی دقیق این قرارداد نداشت.» او افزود: «هیچ نقص مالکیتی وجود نداشت که به کسی اجازه دهد وجوه را برای خود سرقت کند، بنابراین برای یک هکر چیزی برای به دست آوردن وجود نداشت؛ تنها نتیجه هر سوءاستفاده‌ای، بازگشت اتریوم به سرمایه‌گذاران اصلی بود.»

این اولین بازیابی او نیست. در روز یکشنبه، ۲۴ می، فلورنت از آزادسازی ۱۹.۳۲۹ اتریوم، حدود ۴۰۵۹۰ دلار، از دو قرارداد قدیمی‌تر خبر داد: یک ICO ناموفق در ژانویه ۲۰۱۸ با ۵.۱۴۱ اتریوم که پشت یک تابع بازپرداخت عمومی فراخوانی نشده بود، و هفت مبادله اتمی (atomic swaps) منقضی شده یک کاربر کیف پول Liquality به ارزش مجموعاً ۱۴.۱۹۰ اتریوم، که او گفت پس از بسته شدن اپلیکیشن Liquality در سال ۲۰۲۴، آن را به نمایندگی از کاربر بازپرداخت کرده است.

در مورد روش کار، فلورنت گفت که اخیراً یک نود اتریوم خودمیزبان راه‌اندازی کرده و یک اسکنر ساخته است تا هر قراردادی را که بیش از ۱۰۰ اتریوم نگهداری می‌کند، شناسایی کند، سپس کاندیداها را بررسی کرده است. فلورنت گفت: «بسیاری از قراردادها فورک‌هایی از قراردادهای دیگر هستند، بنابراین یک نقص در یکی، همان نقص در تمام قراردادهای دیگر در آن خوشه است.» او افزود: «با این حال، خوشه‌های بزرگ و شناخته شده قبلاً به طور کامل بررسی شده‌اند.»

در پاسخ به اینکه آیا او از هوش مصنوعی برای کمک به بازیابی استفاده کرده است، فلورنت گفت که از Claude Code برای تسریع کار در دسته‌بندی و خوشه‌بندی قراردادها استفاده کرده است، اما این مدل در تجزیه و تحلیل خود قراردادهای هوشمند دارای نقص است. او گفت: «هوش مصنوعی اغلب تحت تأثیر این واقعیت قرار می‌گیرد که قرارداد قبلاً هک نشده و افراد قبلی نتوانسته‌اند راهی برای آن پیدا کنند... بنابراین اغلب به طور پیش‌فرض می‌گوید 'این غیرقابل هک است، من همه چیز را امتحان کردم'، که اغلب نادرست است.»

این بازیابی در بحبوحه موج سنگین سوءاستفاده‌ها در دیفای (DeFi) انجام می‌شود. تنها در ماه آوریل، حملات به مجموع صدها میلیون دلار رسید که با یک سرقت تقریباً ۲۹۳ میلیون دلاری در Kelp DAO آغاز شد. یکی از بنیانگذاران شرکت امنیتی OpenZeppelin اخیراً گفته است که «تمام دیفای» را ناامن می‌داند. این رویدادها گاهی اوقات با بازیابی‌های کلاه سفید یا بازگرداندن داوطلبانه وجوه، مانند بازیابی تقریباً کامل Euler Finance پس از سوءاستفاده سال ۲۰۲۳، به پایان می‌رسند.

فلورنت گفت: «اخیراً شاهد احیای مجدد هکرها بر روی پروتکل‌ها بوده‌ایم، و دیفای در حال تبدیل شدن به فضایی پیچیده برای سرمایه‌گذاری است.» او افزود: «من دوست دارم یک جنبش متقابل از افرادی ببینم که سعی در محافظت از چیزها دارند، به جای سوءاستفاده از آنها. این از نظر اخلاقی پاداش‌بخش‌تر است و می‌تواند درآمد خوبی نیز داشته باشد.»