白帽黑客利用2016年ICO合约漏洞追回200万美元，凸显风险警示_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

白帽黑客利用2016年ICO合约漏洞追回200万美元，凸显风险警示

2026-06-01 13:26:35

一项十年前启动失败并沉寂已久的以太坊首次代币发行项目，因漏洞追溯与资产追回而重获关注。一位化名为0xflorent的白帽黑客发现了退款机制中存在的一个缺陷，该缺陷导致投资者资金被冻结多年；随后，他成功追回了Hong Coin（HONG）ICO项目中约48位投资者总计1,003枚以太币（按当前价格计算约合200万美元）。

漏洞的发现与资金解锁

0xflorent于周日通过社交平台X披露了这一过程，解释了资金是如何被解锁并成功追回的。HONG项目于2016年推出，旨在建立一个由去中心化自治组织治理的社区驱动型风险基金，并向投资者承诺分五个阶段发放2.5亿枚HONG代币。该ICO于2016年8月29日开始，同年10月28日结束。虽然募资目标未能达成，项目方承诺向投资者退还其投入的以太币。然而，退款功能中的一个错误导致退款无法执行，致使这笔资金被冻结近十年。

以太坊区块链浏览器Etherscan的数据证实了部分退款已完成：至少一位投资者收到了96枚以太币（约合192,500美元），另一位收到了0.5枚以太币。这些退款是总额1,003枚以太币中被冻结资金的一部分。0xflorent表示，通过与项目方合作，这批资金现已全部解锁并追回。

“合约本应持有所有投资者的以太币并自动退款。但退款功能的一个漏洞悄无声息地破坏了这一机制，导致资金被困。”0xflorent概述了解锁过程：他与HONG的创建者合作，利用一个有缺陷的管理员功能重置了持币者的余额，从而触发了退款机制。他指出，根本原因在于一个存在整数溢出漏洞的管理员函数。当以特定输入调用该函数时，它会重置余额并有效解除退款限制，使得被锁资金得以收回。

更广泛的漏洞追回背景

该开发者在公开讨论中还提到了此前的追溯行动：在5月24日，0xflorent报告通过多次操作共追回了19.33枚以太币，其中包括2018年1月另一个失败ICO项目的资金，以及一名Liquality钱包用户因跨链转账协议而滞留的资金。这种识别历史漏洞并负责任地追回滞留资产的模式，似乎在2010年代末的ICO和跨链工具领域已成为一个反复出现的主题。

Hong Coin事件处于加密货币历史与现代风险管理的交汇点。HONG的故事始于一个许多项目试图围绕去中心化治理和风险资金构建社区的时代。项目团队曾将资金库和退款流程描述为其承诺的核心。当ICO未能达到募资目标时，合约本应自动向贡献者退款——但程序设计的疏忽使得这一预期变得脆弱。

对加密生态的持续启示

从实践角度来看，这一事件为加密生态系统带来了两个持久的教训。首先，即使构思完善的退款逻辑也可能因智能合约中微小但关键的编码缺陷而失效。一个存在溢出漏洞的管理员功能可能会无声地中断预定的支付路径，实质上冻结本应返还给投资者的资金。其次，这个故事说明了当历史合约在沉寂多年后暴露出漏洞时，负责任的披露与合作修复具有潜在价值。在此案例中，HONG的创建者参与了追回过程，从而避免了可能让投资者无法获得补偿的长期争议或分叉。

对于投资者和建设者而言，Hong Coin的资金追回提醒人们，历史项目往往隐藏着安全与治理风险。2016年那波ICO浪潮留下了各式各样的合约设计，其中一些从未经过全面审计或针对极端输入进行充分测试。白帽黑客能够在多年后解锁资金且未对更广泛的链上生态造成破坏，这一事实体现了以太坊生态的韧性。然而，这也引发了疑问：是否还有其他沉睡的ICO存在类似的退款或治理漏洞？未来此类干预应遵循何种标准？

未来展望

展望未来，观察者将关注Hong Coin案例如何影响当前及未来的追溯修复。原始开发者是否会公布退款功能的完整补丁和审计记录，以防止类似合约重蹈覆辙？是否存在其他具有类似退款或治理漏洞的沉睡ICO有待发现？社区将如何平衡白帽干预的道德考量与历史合约可能引发的意外风险？

核心要点回顾

一项十年前的ICO（HONG）因退款功能漏洞导致资金长期滞留，现已有约1,003枚以太币从48位投资者处成功追回。公开数据显示，部分投资者已收到退款，其中包括一位收到96枚以太币和一位收到0.5枚以太币的案例，这凸显了在历史合约中进行实际资产追回的可能性。

该漏洞源于一个存在整数溢出问题的管理员函数，当以特定输入触发时，它能重置余额并使退款得以执行。0xflorent的行动展示了一种与项目创建者合作、而非通过恶意利用或破坏来解锁资金的白帽方式。这一事件进一步强调了智能合约安全（尤其是ICO时代设计中关于管理员控制和退款机制）的广泛教训，并凸显了在生态系统中负责任披露的持续价值。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文