White Hat ermöglicht die Wiederherstellung von 2 Mio. $ aus einem ICO-Projekt von 2016

Ein pseudonymer White-Hat-Hacker namens 0xflorent hat etwa 1.003 ETH – zum Zeitpunkt der Rückgewinnung rund 2 Millionen US-Dollar – zurückgewonnen, die fast ein Jahrzehnt lang in einem fehlerhaften Initial Coin Offering-Vertrag gesperrt waren. Die Mittel gehörten Investoren des Hong Coin (HONG) ICO, einem dezentralen Risikokapitalkonzept, das nie gestartet ist, nachdem es sein Finanzierungsziel nicht erreicht hatte.

In einem Beitrag auf X am Sonntag beschrieb der White Hat, wie er dabei half, Mittel aus dem HONG-Vertrag freizuschalten, der ETH für 48 Investoren hielt. Hong Coin, als community-gesteuerter Venture-Fonds gestartet, erreichte nie sein Ziel und gab die versprochenen Token nicht aus.

Der Vertrag war so konzipiert, dass er Investoren automatisch rückerstattet, wenn die Finanzierung nicht ausreicht. Ein Bug in der Rückerstattungsfunktion zerstörte diesen Mechanismus still und heimlich und ließ die Mittel im Vertrag stecken, bis sie zurückgewonnen werden konnten.

Ethereum-Daten zeigen Teilrückerstattungen an einige Teilnehmer. Einem Investor wurden 96 ETH (damals etwa 192.500 US-Dollar) erstattet und einem anderen wurden 0,5 ETH zurückgegeben, wie aus auf Etherscan sichtbaren Daten hervorgeht.

Der Hong Coin ICO lief vom 29.08.2016 bis zum 28.10.2016. Investoren, die ETH eingesandt hatten, sollten 250 Millionen HONG Token in fünf Phasen erhalten, aber das Projekt erreichte sein Finanzierungsziel nicht und löste damit den geplanten Rückerstattungsprozess aus.

0xflorent gab an, mit den HONG-Erstellern kooperiert zu haben und ihnen gezeigt zu haben, wie die gesperrten Mittel durch Ausnutzung einer fehlerhaften Admin-Funktion extrahiert werden können, die Token-Guthaben zurücksetzt und die Rückerstattungsprüfung auslöst. „Der Ausweg war eine Admin-Funktion mit einer Integer-Overflow-Schwachstelle", erklärten sie und fügten hinzu, dass der Aufruf mit einer bestimmten Eingabe das Guthaben eines Inhabers zurücksetzt und die Erstattung entsperrt.

In einem separaten Update vom 24.05.2024 vermerkte 0xflorent eine frühere Rückgewinnung: Sie hatten insgesamt 19,33 ETH aus einem gescheiterten ICO-Projekt im Januar 2018 und von einem Liquality Wallet-Nutzer zurückgewonnen, dessen Mittel in einem Cross-Chain-Transferprotokoll festgesteckt waren.

Ein Werbevideo aus dem Jahr 2016 für Hong Coin stellte das Projekt als einen gemeinschaftlich geführten Risikokapitalfonds dar, bei dem Mitglieder der dezentralen autonomen Organisation des Projekts mitentscheiden würden, welche Projekte Unterstützung erhalten. Das Design des ICO und das Governance-Versprechen sind emblematisch für eine breitere Ära, in der unzählige tokenisierte Fundraising-Bemühungen ähnliche Defizite und rechtliche Unsicherheiten erlebten.

Die Geschichte von Hong Coin unterstreicht, wie Legacy-Schwachstellen in frühen ICO-Verträgen über Jahre hinweg bestehen bleiben können, und wie gezielte, technische Eingriffe – selbst durch White-Hat-Akteure – Vermögenswerte retten können, die sonst unzugänglich geblieben wären. Es hebt auch die anhaltende Spannung zwischen Innovation im On-Chain-Fundraising und der Notwendigkeit robuster Sicherheits- und Governance-Kontrollen von Anfang an hervor.

Wesentliche Erkenntnisse

• Rückgewinnung von etwa 1.003 ETH von 48 Investoren in einem ICO aus dem Jahr 2016, das sein Finanzierungsziel nicht erreicht hatte, nun teilweise durch On-Chain-Intervention realisiert.
• Der Rückerstattungsmechanismus wurde durch eine Admin-Funktion mit einer Integer-Overflow-Schwachstelle kompromittiert, die ein Zurücksetzen der Guthaben und das Auslösen von Rückerstattungen ermöglichte.
• Teilrückerstattungen sind bereits On-Chain erschienen, wobei mindestens 96 ETH und 0,5 ETH an einzelne Teilnehmer zurückgegeben wurden, was auf laufende On-Chain-Rückgewinnungen hindeutet.
• 0xflorent hat eine Geschichte von On-Chain-Rückgewinnungen über Hong Coin hinaus, darunter eine Rückgewinnung von 19,33 ETH Anfang 2018 und weitere Arbeit mit einem Liquality Wallet-Nutzer bei einem Cross-Chain-Transferproblem.

Die Hong Coin-Saga und der Rückerstattungsfehler

Die ICO-Struktur von Hong Coin war auf dem Papier unkompliziert: ETH-Beiträge würden in 250 Millionen HONG Token umgewandelt, die in fünf Phasen verteilt werden, mit Rückerstattungen an Investoren, wenn das Finanzierungsziel nicht erreicht wurde. Das Projekt stammt aus dem Jahr 2016, einer Zeit, in der eine Flut von ICOs mit dezentraler Governance und Venture-ähnlicher Kapitalallokation experimentierte. Während viele Projekte verblassten, hinterließen die technischen Hinterlassenschaften einiger weniger – wie fehlerhafte Rückerstattungslogik – offene Fragen darüber, wie diese Systeme sicher aufgelöst werden können, wenn etwas schiefläuft.

0xflorents Bericht beschreibt eine heikle Zusammenarbeit mit den Schöpfern des Projekts, um Mittel aus einem fehlerhaften Rückerstattungspfad zu extrahieren. Die kritische Schwachstelle lag in einer Admin-Funktion, die für die Verwaltung von Token-Guthaben entwickelt wurde und die, wenn sie mit einer präparierten Eingabe aufgerufen wurde, das Guthaben eines Inhabers zurücksetzen und damit den Rückerstattungsmechanismus freischalten konnte, der ansonsten in einer Sackgasse steckte.

Die Episode ist eine Erinnerung daran, dass auch in einem Bereich, der durch schnelle Iteration und ehrgeizige Ideen gekennzeichnet ist, robustes Vertragsdesign und klares Fehlerhandling unerlässlich sind. Der Hong Coin-Fall veranschaulicht auch, wie ein sorgfältig koordinierter, technisch fundierter Ansatz Benutzermittel noch lange nach der Tatsache retten kann, auch wenn dies die Verantwortung für den Start sicherer und gut auditierter Verträge von Anfang an nicht aufhebt.

Beweise On-Chain und was die Daten offenbaren

On-Chain Daten bieten einen Einblick in das, was zurückgewonnen wurde und was noch ungewiss bleibt. Etherscan zeigt, dass mindestens ein Investor 96 ETH und ein anderer 0,5 ETH als Teil der Rückerstattungen im Zusammenhang mit dem Hong Coin-Vertrag erhalten hat. Der bisher zurückgewonnene Gesamtbetrag – etwa 1.003 ETH über 48 Teilnehmer – stellt eine bedeutende Rückgewinnung für einen Fall dar, der im ICO-Boom von 2016 seinen Ursprung hatte.

Über Hong Coin hinaus hat 0xflorent andere Rückgewinnungen referenziert, darunter eine Bewegung von 19,33 ETH Anfang 2018, die als Kombination aus einem gescheiterten ICO-Projekt und den festgesteckten Mitteln eines Liquality Wallet-Nutzers in einem Cross-Chain-Transfer beschrieben wird. Diese Fälle veranschaulichen gemeinsam, wie persistente On-Chain-Untersuchungen Jahre nach dem Einsatz von Mitteln in fragwürdige oder schlecht geschriebene Smart Contracts greifbare Ergebnisse liefern können.

Hong Coins ursprüngliche YouTube-Darstellung stellte es als einen gemeinschaftlich verwalteten Venture-Fonds dar, wobei die dezentrale autonome Organisation als Lenkungsgremium für Projektauswahlen vorgesehen war. Obwohl der ICO selbst nicht gestartet ist, hilft die Erzählung rund um das Projekt dabei, zu verstehen, warum solche Fonds Interesse weckten und wie Governance-Konzepte aus der DAO-Ära in tokenisierte Fundraising-Experimente übersetzt wurden.

Der Weg von der Versprechung zur Rückgewinnung bei Hong Coin ist eine nützliche Fallstudie für Builder und Investoren gleichermaßen: Selbst wenn ein Projekt nicht startet, kann die Governance- und Rückerstattungsarchitektur, die es hinterlässt, so gestaltet werden, dass Teilnehmer geschützt werden – wenn das Vertragsdesign eine sichere Auflösung und aktive Vermögenswiederherstellung durch fähige Hände ermöglicht.

Beobachter des Krypto-Bereichs sollten verfolgen, ob weitere ruhende ICOs mit Rückerstattungsmechanismen auf ähnliche Schwachstellen stoßen und wie Auditoren und White-Hat-Forscher reagieren, während Vermögenswiederherstellungen weiter voranschreiten und möglicherweise die Erwartungen an Legacy-ICO-Verträge und ihre dauerhaften Hinterlassenschaften neu gestalten.

Dieser Artikel wurde ursprünglich als White Hat Enables Recovery of $2M From 2016 ICO Project auf Crypto Breaking News veröffentlicht – Ihre vertrauenswürdige Quelle für Krypto-Nachrichten, Bitcoin-Nachrichten und Blockchain-Updates.