Récupération des fonds des investisseurs de Hong Coin
Un hacker white hat a aidé les créateurs de Hong Coin en leur montrant comment exploiter une fonction d’administration défectueuse sur un contrat intelligent, permettant ainsi de rembourser les investisseurs après près d’une décennie. Ce hacker, connu sous le pseudonyme de « 0xflorent », a réussi à récupérer 2 millions de dollars d’Ether bloqués dans un contrat intelligent d’offre initiale de pièces (ICO) défectueux depuis presque dix ans.
Dans un post sur X dimanche, 0xflorent a annoncé avoir aidé à récupérer environ 1 003 Ether (ETH) pour 48 investisseurs ayant participé à l’ICO de Hong Coin (HONG), un fonds de capital-risque décentralisé qui n’a jamais vu le jour en raison de son échec à atteindre son objectif de financement.
« Le contrat détenait tous les ETH des investisseurs et était censé les rembourser automatiquement, » a déclaré 0xflorent. Cependant, « un bug dans la fonction de remboursement a silencieusement compromis ce mécanisme, et les fonds se sont retrouvés bloqués. »
Les données de l’explorateur de blocs Ethereum, Etherscan, montrent qu’un investisseur HONG a déjà été remboursé de 96 ETH, d’une valeur actuelle d’environ 192 500 dollars, tandis qu’un autre a reçu 0,5 ETH.
Historique de Hong Coin
Hong Coin a été présenté pour la première fois en 2016, et une vidéo YouTube à l’époque décrivait le token comme un fonds de capital-risque géré par la communauté, où les membres de l’organisation autonome décentralisée du projet auraient la responsabilité de décider quels projets recevraient un soutien. L’ICO a débuté le 29 août 2016 et s’est terminé environ deux mois plus tard, le 28 octobre. Les investisseurs qui ont envoyé des ETH au contrat intelligent HONG étaient censés recevoir 250 millions de tokens HONG répartis sur cinq étapes, mais le projet n’a pas atteint son objectif de financement, et les investisseurs devaient être remboursés.
Exploitation de la vulnérabilité
0xflorent a expliqué qu’il avait collaboré avec les créateurs de HONG, leur montrant comment extraire les fonds bloqués en profitant d’une fonction d’administration défectueuse qui réinitialisait les soldes des détenteurs de tokens et déclenchait le mécanisme de remboursement.
« La solution était une fonction d’administration avec une vulnérabilité de débordement d’entier, » ont-ils précisé. « L’appeler avec une entrée spécifique réinitialise le solde d’un détenteur et débloque le contrôle de remboursement. »
Le 24 mai, 0xflorent a également déclaré avoir récupéré un total de 19,33 ETH, d’une valeur d’environ 40 600 dollars, d’un projet ICO échoué en janvier 2018 et d’un utilisateur de Liquality Wallet dont les fonds étaient piégés dans un protocole de transfert inter-chaînes.
