استعاد مطوّر معروف باسم Florent ما يقرب من 1,003 ETH، بقيمة تبلغ نحو 2 مليون دولار بأسعار اليوم، من عقد طرح عملة أولي (ICO) تابع لـ HongCoin في عام 2016 حيث ظلت الأموال محبوسة لمدة تسع سنوات. صُمّم بيع رمز Ethereum ليُجري استرداداً تلقائياً للمستثمرين إذا فشل في بلوغ هدف جمع التمويل، لكن خللاً برمجياً منع دالة الاسترداد من التنفيذ بالنسبة للحَمَلة الذين تتجاوز أرصدتهم عدّاداً عالمياً استُنزف. استغل Florent ثغرة تجاوز سعة (overflow) في دالة المسؤول (admin) الخاصة بالعقد، بالتعاون مع فريق HongCoin على مدار نحو أسبوع لفتح الأموال لـ 48 مستثمراً أصلياً. تُظهر عملية الاسترداد كيف تواصل الثغرات المبكرة في العقود الذكية من حقبة ما قبل SafeMath حبس القيمة على السلسلة.
حظر ثغرة تجاوز السعة الاستردادات لمدة تسع سنوات
احتوى عقد HongCoin، الذي طُرح في عام 2016 كصندوق استثماري تديره مجموعة مجتمعية، على آلية استرداد ترفض أي حامل للرمز إذا تجاوز رصيده عدّاداً عالمياً متغيراً. خفّضت سنوات من الاستردادات الجزئية ذلك العدّاد إلى 356، ما حدّ أقصى لاستردادات إجمالية عند 3.56 ETH (ما يعادل تقريباً 7,000 دولار)، بينما كانت غالبية الحَمَلة المتبقين تحتفظ بمبالغ أكبر بكثير.
قال Florent لـ The Block إن العقد نُشر بإصدار قديم من لغة Solidity لا تتضمن وسائل حماية ضد أخطاء تجاوز السعة. في مثل هذه الأخطاء، إذا وصلت قيمة رقمية إلى مستوى مرتفع بدرجة كافية فإنها تنقلب إلى 0 أو 1، وهي ثغرة عولجت لاحقاً عبر مكتبة SafeMath.
حدّد المطوّر حلاً بديلاً عبر دالة المسؤول في الفريق، والتي كانت مُعدة أصلاً لإصدار رموز مكافآت لأحداث محددة. ومن خلال استدعاء هذه الدالة بقيمة إدخال دقيقة، أمكن إعادة ضبط رصيد حامل إلى 1، بما يسمح باجتياز فحص الاسترداد وإطلاق ETH المحبوس.
التعاون بين الفريق مكّن عملية فتح whitehat
كانت دالة المسؤول محصورة في محفظة multisig الخاصة بـ HongCoin، ما يمنع أي إجراء منفرد. أرسل Florent بريدًا إلكترونياً إلى الفريق، وجرى التحقق من تسلسل المعاملات على نسخة Foundry من الشبكة الرئيسية، ثم وقّع الفريق على معاملات فتح الأموال. واستغرقت العملية نحو أسبوع من أول رسالة بريد إلكتروني، وفقاً لـ Florent.
من بين 48 مستثمراً أصلياً يمكنهم الآن المطالبة بالأموال، احتاج 41 إلى استغلال إعادة ضبط الرصيد. أما السبعة الآخرون فكانت مبالغهم صغيرة بما يكفي لتُنزع مباشرة عبر الدالة القائمة. وقّع الفريق على 41 معاملة، واحدة لكل حامل كان محجوباً، لتغطية نحو 1,000 ETH التي كانت عالقة فعلياً.
تمكن مستثمران من استرداد إجمالي 96.5 ETH (بما يعادل تقريباً 193,000 دولار) ووجّها طوعاً إلى Florent مكافأة whitehat. قال Florent لـ The Block إنه لم تكن هناك رسوم أو اقتطاعات أو عمولات متضمنة. وقال: "خارج الفريق نفسه، لم يكن لدى أي شخص حقاً حافز للتعمق في العقد بهذه الدقة. لم تكن هناك ثغرة ملكية تتيح لشخص ما سرقة الأموال لنفسه، لذا بالنسبة للهاكر لم يكن هناك شيء يربحه؛ النتيجة الوحيدة لأي استغلال هي عودة ETH إلى المستثمرين الأصليين."
حرر المطوّر سابقاً 19.329 ETH من عقود فاشلة
في يوم الأحد 24 مايو، وصف Florent استعادة 19.329 ETH، ما يعادل نحو 40,590 دولار، من عقدين أقدم. كان الأول عبارة عن ICO فاشل في يناير 2018 حبس 5.141 ETH خلف دالة استرداد عامة لم تُستدعَ أبداً. أما العقد الثاني فتضمن سبع عمليات تبادل ذرية atomic swaps منتهية الصلاحية لمستخدم Liquality Wallet بإجمالي 14.190 ETH، وقد قام Florent برد الأموال نيابة عن المستخدم بعد أن أغلقت Liquality تطبيقها في 2024.
منهجية الماسح تكشف العقود المحبوسة ذات القيمة العالية
قال Florent إنه نصب مؤخراً عقدة Ethereum يستضيفها بنفسه وبنى ماسحاً لتنبيه كل عقد يحمل أكثر من 100 ETH، ثم عمل على المرشحين. وقال: "الكثير من العقود هي نسخ متفرعة (forks) من عقود أخرى، لذا فإن العيب في واحدة هو نفسه العيب في جميع تلك العقود الأخرى ضمن المجموعة." وأضاف: "مع ذلك، فقد تم بالفعل تمشيط المجموعات الكبيرة المعروفة جيداً بدقة كافية."
وعندما سُئل عن المساعدة بالذكاء الاصطناعي، قال Florent إنه استخدم Claude Code لتسريع فرز وتجميع العقود، لكنه وجد قيوداً في تحليل العقود الذكية. وقال: "غالباً ما يكون الذكاء الاصطناعي متحيزاً بسبب حقيقة أن العقد لم يُكسر من قبل، وأن الأشخاص السابقين لم يجدوا طريقة للعبور من خلاله ... لذا غالباً ما يعود إلى افتراض: 'إنه غير قابل للكسر، جرّبت كل شيء'، وهو ادعاء كثيراً ما يكون غير صحيح."
تأتي عملية الاسترداد في ظل موجة من استغلالات DeFi. بلغت الهجمات مئات الملايين من الدولارات خلال أبريل وحده، بقيادة سحب بقيمة نحو 293 مليون دولار من Kelp DAO. وذكر أحد مؤسسي شركة أمن OpenZeppelin مؤخراً أنه يعتبر كل DeFi غير آمن. انتهت بعض الاستغلالات باستردادات whitehat أو عوائد طوعية، كما في استرداد Euler Finance شبه الكامل بعد استغلالها في 2023.
وقال Florent: "كانت هناك عودة واضحة للهاكرز على البروتوكولات في الفترة الأخيرة، وDeFi أصبحت مساحة معقدة للاستثمار فيها." وأضاف: "أتمنى رؤية حركة مضادة من أشخاص يحاولون حماية الأشياء بدلاً من استغلالها. هذا أكثر إرضاءً أخلاقياً، وقد يكون أيضاً مجزياً مالياً."
الأسئلة الشائعة
ما الذي جعل أموال طرح HongCoin ICO تبقى محبوسة لمدة تسع سنوات؟
أدى خلل برمجي في دالة الاسترداد الخاصة بعقد HongCoin لعام 2016 إلى رفض أي حامل إذا تجاوزت أرصدة رموزه عدّاداً عالمياً متغيراً. خفّضت سنوات من الاستردادات الجزئية ذلك العدّاد إلى 356، ما منع الاستردادات بالنسبة للحَمَلة الذين لديهم أرصدة أكبر، بينما افتقر العقد إلى حماية تجاوز السعة المعتادة في إصدارات Solidity اللاحقة.
كيف تمكن Florent من فتح ETH المحبوس دون سرقته؟
حدد Florent دالة مسؤول كانت مُعدة أصلاً لإصدار رموز مكافآت. ومن خلال استدعائها بقيمة إدخال محددة، تمكن من إعادة ضبط رصيد حامل إلى 1 بسبب ثغرة تجاوز سعة، ما سمح باجتياز فحص الاسترداد. كانت دالة المسؤول تتطلب توقيعات فريق HongCoin، لذلك نسّق Florent مع الفريق على مدار نحو أسبوع لتنفيذ 41 معاملة فتح للمستثمرين المتعثرين.
كم ETH استردها Florent من عقود قديمة؟
استرد Florent ما يقرب من 1,003 ETH (بما يعادل تقريباً 2 مليون دولار) من عقد HongCoin. وفي يوم الأحد 24 مايو، وصف تحرير 19.329 ETH إضافية (حوالي 40,590 دولار) من عقدين آخرين: ICO فاشل في يناير 2018 بقيمة 5.141 ETH، وسبع عمليات atomic swaps لـــ Liquality Wallet منتهية الصلاحية بإجمالي 14.190 ETH.
