2016 yılında gerçekleştirilen HongCoin adındaki Ethereum ICO’sunda, dokuz yıl boyunca akıllı sözleşmede kitli kalan yaklaşık 2 milyon değerinde ether, bir güvenlik araştırmacısı olan 0xflorent tarafından kurtarıldı. Bu fonların kurtarılması, yıllarca güncellenmeyen akıllı sözleşmedeki sayısal taşma açığının keşfedilmesi sayesinde mümkün oldu.
ICO’daki Hatalar ve Geri Alma Süreci
HongCoin, 2016’da düzenlenen token satışından beklenen geliri elde edemeyince, yatırımcıların fonlarının otomatik olarak geri gönderilmesi gerekiyordu. Ancak, sözleşmedeki bir sorun nedeniyle bu işlem gerçekleşmedi ve paralar sıkışıp kaldı. Toplamda 1.003,62 ETH, 48 yatırımcıya ait şekilde sözleşmede kilitli kalmıştı.
Yapılan kısmi ödemeler sırasında sayaç, bazı yatırımcıların yalnızca belli bir miktarını geri alabilmelerine imkan tanıdı. Ancak 0xflorent, yönetici kontrol fonksiyonunda daha sonraki güvenlik önlemlerinin eksikliğini fark ederek bu açığı değerlendirdi. Yönetici fonksiyonunu kullanarak önce limitleri aştı ve ardından fonların geri iadesini sağladı.
HongCoin tarafından imzalanan 41 işlem ile sözleşmedeki kilitli kalan 1.000 ETH eski yatırımcılara geri döndü. Daha küçük bakiyeleri olan 7 yatırımcı ise ayrı olarak fonlarını almayı başardı.
Beyaz Şapka Operasyonu ve İşbirliği
Bu kurtarma operasyonu, HongCoin ekibi olmadan gerçekleştirilemedi. Yönetici fonksiyonun etkinleştirilmesi için çoklu imza cüzdanı gerektiğinden, 0xflorent onlarla iletişime geçti. Ethereum ağı üzerinde test eden araştırmacı, ekip ile işbirliği yaparak işlemleri başlattı.
Neticede iki eski yatırımcı nihayet 96,5 ETH, yani yaklaşık 193 bin doları geri aldı. Diğer yatırımcılar ise kendi fonlarını almak için başvuru yapabilirler.
Güvenlik Kayıtları ve DeFi’deki Durum
0xflorent kısa süre içinde ikinci kez benzer bir kurtarma operasyonuna imza attı. Daha önce kapanmış bir cüzdandaki kapsamlı fonları, sahiplerine iade etti. Bu olaylar, merkeziyetsiz finans sisteminde yaşanan büyük saldırıların ardından güvenlik konusunun önemini bir kez daha gözler önüne serdi.
Kısa bir süre önce sadece Kelp DAO’da gerçekleşen saldırılarda 293 milyon dolara kadar varan kayıplar yaşanmıştı. Bu bağlamda, yatırımcılar güvenilirliği sağlamak adına önlemler konusunda daha hassas olmaya itilmektedir.
