Смарт-контракт, написанный на устаревшей версии Solidity, девять лет удерживал 1003,62 ETH (~$2 млн) инвесторов провалившегося ICO HongCoin. В мае 2026 года белый хакер под псевдонимом Florent совместно с разработчиками проекта разблокировал средства — 48 оригинальных инвесторов наконец могут их забрать.
Что не так с привычным взглядом
Обычно считается, что средства в смарт-контрактах защищены кодом и не могут быть потеряны без взлома. Однако ошибка в функции возврата, написанной на Solidity v0.3.5 (выпущена в 2016 году), сделала их недоступными на девять лет. В старой версии языка отсутствовала защита от целочисленного переполнения — механизм отклонял запросы, если баланс пользователя превышал глобальный счётчик. Это не взлом, а баг, который белый хакер превратил в спасение. Подробнее — актуальные модели ASIC.
Реальные данные
ICO HongCoin стартовало 29 августа 2016 года и длилось до 28 октября. Проект позиционировался как «венчурный капитал для всех», но не собрал минимальную цель. По условиям, инвесторы должны были получить ETH обратно автоматически, но из-за ошибки все 1003,62 ETH застряли в контракте HONG. Florent обнаружил уязвимость в административной функции: специфический вызов позволял обнулить баланс адреса, после чего проверка проходила успешно. Доступ к админ-функции был ограничен мультисигом команды HongCoin, поэтому хакер связался с разработчиками. Совместно они провели 41 транзакцию для разблокировки адресов 48 инвесторов. Двое уже вывели 96,5 ETH и добровольно отправили хакеру вознаграждение.
Кому это выгодно, кому — наоборот
Выгодно инвесторам HongCoin, которые девять лет не могли получить свои ETH. Выгодно белому хакеру Florent, который получил вознаграждение и репутацию. Для разработчиков Ethereum это напоминание о рисках старых версий Solidity. Наоборот — для тех, кто потерял средства в аналогичных контрактах без возможности восстановления. По нашим наблюдениям, подобные инциденты подчёркивают важность аудита кода даже для давно неактивных проектов. Подробнее — гайд по выбору ASIC на 2026 год.
Российский контекст
Для российских майнеров и инвесторов, работающих через реестр ФНС, этот случай — иллюстрация рисков смарт-контрактов. В РФ майнинг легализован, но налогообложение (НДФЛ 13-15% для физлиц, налог на прибыль 25% для юрлиц) требует учёта всех операций. Если бы средства были заморожены в контракте, используемом российским майнером, восстановление доступа могло бы затянуться из-за отсутствия чёткой процедуры. Кроме того, в регионах с дешёвой электроэнергией, таких как Иркутская область (тарифы для промышленности ~3-5 ₽/кВт·ч), майнеры активно используют старые контракты для пулов — и уязвимости в них могут привести к потерям. Российским инвесторам стоит учитывать, что даже через 9 лет средства могут быть возвращены, но только при наличии доступа к разработчикам и грамотного белого хакера.
Florent уже помогал восстанавливать доступ к активам в других устаревших протоколах, включая неудачное ICO 2018 года и атомарные свопы Liquality. Для поиска уязвимых контрактов с балансом более 100 ETH он использует собственное ПО и ИИ-инструменты для первичного анализа кода. В апреле 2026 года зафиксировано рекордное число взломов в криптоиндустрии за месяц — более 20 инцидентов с ущербом $651 млн, что контрастирует с этичным подходом Florent.
Комментарии
0