Відновлення 1 003,62 ETH від дослідника з білою шапкою з проваленого ICO Ethereum 2016 року перетворило стару помилку смарт-контракту на нагадування про те, що найранніші технічні рішення Ethereum можуть залишатися активними майже десять років.
Дослідник, відомий як 0xFlorent, сказав, що розблокував ETH з контракту HongCoin після того, як кошти були затримані дев'ять років. Використовуючи ціну Ethereum на 1 червня приблизно 1 983 долари, відновлена сума становила близько 1,99 мільйона доларів.
Відновлення залежало від початкового мультісигу HongCoin. Контракт HongCoin все ще потребував дії з цього управлінського шляху для відповідних адміністративних викликів.
Це зробило епізод ближче до археології контрактів, ніж до традиційного експлуатування: той самий незмінний код, що зберігав невдачу з поверненням коштів, також зберігав забутий маршрут навколо неї.
[
Пов’язане читання
Хтось щойно розчистив давно забуті сплячі гаманці Ethereum, і причина може вести назад кілька років
Сотні давно неактивних гаманців Ethereum були зібрані на позначене адреса, поки дослідники та користувачі все ще обговорюють, чи старі ключі, слабке програмне забезпечення гаманців чи інше викриття відкрили двері.
1 травня 2026 року · Ліам «Акіба» Райт
Контраст HongCoin є різким. Базовий шар Ethereum залишився нерухомим. Досі дійсний шлях дозволів та координоване підписання з початкового мультісигу зробили 48 початкових інвесторів правомочними на вимогу коштів через механізм повернення, який був порушений протягом багатьох років.
Як порушився шлях повернення
HongCoin — це проект Ethereum 2016 року, чий публічний репозитарій описував його як децентралізований венчурний фонд. Продаж токенів не досяг мети фінансування, і учасники повинні були мати змогу повернути свої ETH через функцію повернення контракту.
Проблема полягала в обліку контракту. У вихідному коді HongCoin функція refundMyIcoInvestment() перевіряє, чи баланс токенів викликача більший за tokensCreated. Якщо ця умова виконується, виклик повернення не працює.
Якщо вона пройшла, функція обнуляє баланс токенів викликача, очищає відповідний облік, зменшує tokensCreated на цей баланс токенів і потім надсилає повернення.
З часом ранні повернення зменшили глобальний лічильник tokensCreated. Це залишило великих власників у дивній ситуації: вони все ще мали баланси, пов’язані з їхніми початковими заявами, але ці баланси могли бути занадто великими для залишку контракту.
Функція повернення тоді розглядала їх як недійсні, блокуючи саме тих користувачів, яким вона мала заплатити.
Шлях втечі був ще одним старим фрагментом коду. Адміністративна функція mgmtIssueBountyToken(), обмежена мультісигом, могла додавати наданий обсяг до балансу одержувача та до bountyTokensCreated.
Цей шлях належав управлінській стороні контракту, тому початковий мультісиг мав брати участь. Сучасна арифметика Solidity за замовчуванням відкочується при переповненні.
До версії Solidity 0.8.0 арифметика оберталася при переповненні, якщо розробники не додавали власних перевірок. Старіший поведінка сформувала шлях втечі.
0xFlorent знайшов спосіб використати арифметичну поведінку адміністративної функції, щоб знизити баланс власника достатньо низько, щоб перевірка повернення пройшла. Результат був парадоксальним: одна застаріла помилка допомогла відновити практичну шкоду, завдану іншою застарілою помилкою.
| Етап | Ключова деталь |
|---|---|
| Продаж токенів 2016 року | HongCoin зібрав ETH для венчурного фонду Ethereum, який згодом не досяг мети. |
| Невдача з поверненням | Функція повернення відмовляла більшим власникам, коли глобальний лічильник токенів опустився нижче їхніх балансів. |
| Старий адміністративний шлях | Функція, обмежена мультісигом, все ще існувала і могла змінювати баланси за допомогою поведінки арифметики до версії 0.8. |
| Відновлення від білої шапки | 0xFlorent співпрацював з початковим мультісигом HongCoin, щоб зробити заблокованих власників правомочними на вимогу коштів. |
| Доказ на блокчейні | Транзакція 29 травня показує успішний виклик refundMyIcoInvestment(), що виробив внутрішній переклад 96 ETH. |
Мультісиг зробив це координованим відновленням
Вимога мультісигу встановила межу для відновлення HongCoin. Чутливий шлях потребував початкового управлінського адреса HongCoin для виконання відповідних викликів, тому практичне відновлення залежало від співпраці між дослідником та старим контрольним шляхом.
Координування мало такий же важливість, як і код. Відновлення включало 41 підписаних транзакцій для заблокованих власників, тоді як ще сім менших власників могли повернути кошти без обходу.
ICO почалося 29 серпня 2016 року, закінчилося 28 жовтня 2016 року і не досягло мети фінансування.
На блокчейні вже є запис про діяльність з поверненням коштів. Транзакція 29 травня на блокчейні викликала refundMyIcoInvestment() і виробила внутрішній переклад 96 ETH з контракту HongCoin на адресу інвестора.
Вартість транзакції верхнього рівня була 0 ETH, бо реальний перехід відбувався всередині виклику контракту.
Кожен, хто стежить за грошима, має розділити право на отримання від завершеного розподілу. Стан контракту та виконання мультісигу відновили шлях вимоги коштів, які були недоступні протягом багатьох років.
Випадок HongCoin слід ретельно вивчити, перш ніж хтось загально узагальнювати його на інші старі затримані фонди. Інгредієнти були незвично конкретними: ідентифікована логіка контракту, адміністративна функція, яка все ще доступна початковому контролю, біла шапка, готова до координації, і достатньо залишку на блокчейні, щоб зусилля були варті.
Практична деталь — це власність і дозвіл. Стара функція могла змінювати баланси, але лише управлінський шлях міг її викликати.
Це дає відновленню його етичну та оперативну межу: сторонні дослідження знайшли шлях, початкові підписувачі його виконали, і шлях вимоги відновився для інвесторів.
[
Пов’язане читання
Aave попереджає, що відновлення експлуатації на 71 млн доларів може бути конфісковано, перш ніж потерпілим повернуть кошти
Суперечка може вирішити, чи повернуться кошти з відновлення DeFi спершу користувачам, чи стануть цілями для сторонніх кредиторів.
5 травня 2026 року · Джино Матос
Ті ж факти також роблять цей випадок важким для узагальнення. Багато сплячих контрактів не мають активного ключа контролю, чистого набору заявників або публічного сліду, що робить відповідне відновлення правдоподібним.
Ця межа також зменшує спокусу розглядати епізод як широкий шаблон експлуатації. Технічний механізм пояснює, чому ворота повернення відкрилися знову, але наслідок історії походить від комбінації старого коду, живих дозволів та публічного врегулювання.
Подібна археологія стає ризикованішою, коли контракт не має одного з цих елементів, бо відкриття може виявити слабкість перед тим, як створити придатний шлях відновлення.
Ethereum зберігає помилку та лікарство
Більша історія Ethereum робить відновлення HongCoin більше, ніж просто цікавістю. Аналіз 2025 року за участю Конора Грогана з Coinbase оцінив назавжди втрачені ETH у понад 913 111, подавши це як обережну оцінку помилок користувачів та контрактів.
У цю категорію входять кошти, відправлені на адреси для спалення, помилки контрактів та значні історичні інциденти.
Деякі з найважливіших ранніх моментів Ethereum також були дебатами про відновлення. У 2016 році жорсткий форк DAO перемістив близько 12 мільйонів ETH з контрактів, пов’язаних з DAO, у контракт для відновлення після визначної кризи управління мережі.
У 2017 році інцидент з самоуничтоженням бібліотеки мультісиг Parity Technologies заблокував 513 774,16 ETH у 587 гаманцях.
Ці епізоди були більшими та політично важливішими, ніж HongCoin. Вони все ще допомагають зрозуміти, чому це менше відновлення має резонанс.
Обіцянка Ethereum, що код та стан тривають, є властивістю безпеки та системою пам’яті. Вона зберігає помилки, напівзабуті припущення, старі дозволи та інколи лікарство, майбутня актуальності якого була непомітною при розгортанні.
[
Пов’язане читання
Гроші з відновлення TheDAO, що залишилися, пролежали десять років, тепер вони стають постійним бюджетом безпеки Ethereum на 220 млн доларів
Ветерани хочуть ставити 69 420 ETH з залишків відновлення 2016 року, що щороку генерує мільйони на безпеку смарт-контрактів.
30 січня 2026 року · Джино Матос
Ця довга пам’ять тепер знаходиться поряд зі зрілою культурою безпеки. У січні ветерани Ethereum оголосили плани перетворити близько 75 000 ETH з залишків відновлення TheDAO на ставкову добродійну допомогу для безпеки Ethereum.
Випадок HongCoin працює в набагато меншому масштабі, але вказує на ту саму посмертну долю ранніх рішень Ethereum.
Наступний тест — це відновлюваність: чи інші старі контракти містять шляхи, які можна використати відповідально. Для відновлення від білої шапки потрібна не тільки помилка. Потрібен справедливий контрольний шлях, публічні докази на блокчейні, обережне розкриття та спосіб уникнути перетворення археології контрактів у посібник для опортуністичних атак.
HongCoin показує, що деякі затримані кошти можуть залишатися у старій логіці, чекаючи, поки хтось зрозуміє як саму помилку, так і структуру дозволів навколо неї. Це сподівання для 48 інвесторів, які тепер мають право на вимогу.
Це також попередження для решти екосистеми: Ethereum пам’ятає поганий код, а інколи пам’ятає і вихідний шлях.
Публікація Провалене ICO Ethereum 2016 року щойно розблокувало 1 003 ETH, експлуатуючи себе з’явилася спочатку на CryptoSlate.