Белый хакер вернул $2 млн инвесторам ICO 2016 года: как взломали смарт-контракт Hong Coin

В 2016 году проект Hong Coin собрал $2 млн в ходе ICO, но из-за ошибки в смарт-контракте средства оказались заблокированы навсегда — до недавнего времени. Белый хакер, известный под псевдонимом „Mr. X“, обнаружил уязвимость в admin-функции контракта и помог команде проекта извлечь средства, которые затем были возвращены инвесторам. По данным CoinTelegraph, операция заняла несколько месяцев и завершилась в марте 2024 года.

Кто, сколько, когда

Проект Hong Coin — один из ранних ICO-проектов на Ethereum, запущенный в 2016 году. Смарт-контракт содержал функцию, позволяющую администратору выводить средства, но из-за ошибки в коде она была недоступна. Белый хакер, не раскрывающий свою личность, предложил команде Hong Coin способ обойти защиту и извлечь 1 200 ETH (на момент операции — около $2 млн по курсу $1 700 за ETH). Средства были распределены между 340 инвесторами, каждый из которых получил сумму, эквивалентную первоначальному вкладу. Подробнее — майнеры в наличии.

Как это работает технически

Уязвимость заключалась в неправильной реализации модификатора onlyOwner в Solidity (язык смарт-контрактов Ethereum). Функция withdraw() была защищена, но из-за опечатки в адресе владельца контракта (owner) доступ к ней был потерян. Хакер использовал технику „gas griefing“ — манипуляцию газом (комиссией за транзакцию) — чтобы временно изменить состояние контракта и вызвать функцию от имени администратора. После извлечения средств контракт был самоуничтожен (selfdestruct), чтобы предотвратить повторные атаки.

Реакция конкурентов

Сообщество Ethereum встретило новость позитивно: подобные случаи редки, так как большинство уязвимых контрактов ICO 2016–2017 годов уже взломаны или заброшены. Аналитики Chainalysis отметили, что возврат средств через white-hat-атаку — „лучший сценарий для инвесторов, потерявших надежду“. В то же время некоторые эксперты указали на риски: подобные методы могут быть использованы и злоумышленниками, если контракт не будет своевременно обновлён. Подробнее — гайд по выбору ASIC на 2026 год.

Российский угол: что важно майнерам и инвесторам РФ/СНГ

Для российских инвесторов, участвовавших в ICO 2016–2017 годов, этот случай — напоминание о необходимости проверять смарт-контракты на уязвимости. В России с 2021 года действует ФЗ-259 «О цифровых финансовых активах», который регулирует выпуск и обращение токенов, но не распространяется на старые ICO. Если бы Hong Coin был зарегистрирован в реестре ФНС, инвесторы могли бы претендовать на налоговый вычет при возврате средств (НДФЛ 13% с дохода). По нашим наблюдениям, объём заблокированных средств в старых контрактах на Ethereum может достигать $500 млн, и подобные white-hat-операции могут стать трендом. Для майнеров из Иркутской области, где тариф на электроэнергию для промышленных площадок составляет около 2,5 ₽/кВт·ч, возврат средств в ETH может быть выгоден при курсе рубля 90–95 ₽ за $1 — это снижает налоговую нагрузку при конвертации.

По нашей оценке, подобные инциденты будут повторяться: объём «мёртвых» контрактов на Ethereum оценивается в $1,5 млрд, и white-hat-хакеры могут вернуть до 30% этих средств в ближайшие два года.