Casi 2 millones de dólares en ether (ETH), que habían estado bloqueados en un contrato inteligente durante nueve años tras el ICO de HongCoin en 2016, finalmente han sido recuperados gracias a la intervención de un investigador de seguridad conocido como 0xflorent. Al identificar y explotar una vulnerabilidad de desbordamiento de enteros en el contrato inteligente desactualizado, 0xflorent permitió el acceso a los fondos atrapados, brindando un alivio largamente esperado a los antiguos inversores.
Problemas y rescate en el caso de HongCoin
El ICO de HongCoin, lanzado en 2016, no logró alcanzar su objetivo de recaudación de fondos, lo que según el contrato debería haber activado un reembolso automático de ETH a los inversores. Sin embargo, un error en la función de reembolso mantuvo estos fondos bloqueados en el contrato, dejando un total de 1,003.62 ETH varados durante nueve años y afectando a 48 inversores tempranos.
A medida que pasaban los años, solo eran posibles reembolsos parciales, debido principalmente a un contador en el contrato que restringía los reembolsos a un máximo de solo 3.56 ETH por transacción. Esta limitación impidió el acceso a cantidades mayores. 0xflorent notó que una función de administrador accesible a través de una billetera multifirma carecía de las medidas de seguridad que se habían introducido en el lenguaje de programación Solidity en años posteriores. Utilizando esta omisión y al ingresar los valores correctos, pudieron restablecer los saldos de los tokens a solo una unidad y eludir por completo la verificación de reembolso.
Mini glosario: El desbordamiento de enteros se refiere a un error en el que una variable excede su valor máximo y se restablece a cero, un defecto que puede socavar gravemente la seguridad de los contratos inteligentes.
A través de un total de 41 transacciones autorizadas por HongCoin, los antiguos inversores con derechos a casi 1,000 ETH bloqueados en el contrato finalmente recuperaron el acceso a sus fondos. Otros siete, que tenían saldos más pequeños, pudieron recuperar su dinero de forma independiente.
Colaboración y coordinación de sombrero blanco
Este esfuerzo de recuperación no fue un trabajo en solitario. La función privilegiada en el contrato requería que la billetera multifirma de HongCoin se activara. Después de contactar al equipo, 0xflorent demostró el proceso de desbloqueo en una versión de prueba de la mainnet de Ethereum, después de lo cual el equipo de HongCoin aprobó y firmó las transacciones necesarias.
Después de esperar casi una década, dos antiguos inversores pudieron recuperar 96.5 ETH, ahora valorados en aproximadamente $193,000, mientras que otros participantes elegibles también pudieron reclamar sus fondos a medida que avanzaba el proceso.
Otros rescates recientes y perspectiva de seguridad en DeFi
El trabajo de 0xflorent en el caso de HongCoin marca su segundo rescate similar en solo ocho días. El 24 de mayo, anunció la devolución de 19.329 ETH—atascados desde un ICO fallido en 2018 y posteriormente retenidos en la cerrada Liquality Wallet—a sus propietarios originales.
Estos episodios ocurren en un momento en que la seguridad vuelve a estar en primer plano en las finanzas descentralizadas (DeFi). El sector ha presenciado la pérdida de cientos de millones de dólares debido a explotaciones de protocolos, con un ataque de $293 millones a Kelp DAO en abril destacándose como uno de los incidentes más significativos en los últimos meses.
