White hat hacker giải cứu 1.003 Ethereum(ETH) bị khóa 10 năm trong ICO Hong Coin(HONG)

Một *“white hat hacker”* ẩn danh đã giúp phục hồi khoảng *1.003 Ethereum(ETH)* – tương đương gần *2 triệu đô la Mỹ* – bị mắc kẹt suốt gần 10 năm trong một hợp đồng thông minh ICO lỗi, rồi hoàn trả lại cho nhà đầu tư. Vụ việc xoay quanh ICO dự án *Hong Coin(HONG)*, qua đó cho thấy vấn đề *“tiền on-chain bị khóa vĩnh viễn”* đôi khi vẫn có thể được giải quyết nếu tận dụng được lỗ hổng mã nguồn và có sự hợp tác từ đội ngũ dự án.

Theo chia sẻ của hacker với biệt danh *0xflorent* trên mạng xã hội X ngày 3 (giờ địa phương), anh đã phối hợp với các nhà phát triển Hong Coin để giải cứu thành công khoảng *1.003 ETH* bị đóng băng, thuộc về 48 nhà đầu tư từng tham gia ICO. Với giá *Ethereum(ETH)* hiện tại, số tiền này trị giá xấp xỉ 2 triệu đô la Mỹ, tương đương khoảng 3,03 tỷ đồng.

Hong Coin là một dự án ra mắt từ năm 2016, tự giới thiệu mình như một dạng *quỹ đầu tư mạo hiểm phi tập trung*, nơi cộng đồng cùng biểu quyết quyết định rót vốn vào các dự án. Tuy nhiên, ICO này không huy động được số vốn như kỳ vọng, kế hoạch triển khai gần như đổ vỡ. Theo thiết kế ban đầu, nhà đầu tư sẽ được hoàn lại *Ethereum(ETH)* đã góp. Nhưng một lỗi trong hàm hoàn tiền (*refund function*) của *smart contract* khiến toàn bộ số ETH này bị “nhốt cứng” trên chuỗi, không thể rút ra theo cách thông thường.

Trong quá trình rà soát, *0xflorent* phát hiện một lỗ hổng *tràn số nguyên (integer overflow)* ẩn trong chức năng quản trị của hợp đồng thông minh. Bằng cách truyền vào một giá trị đặc biệt khi gọi hàm, số dư của một số địa chỉ có thể bị “reset”, từ đó vô hiệu điều kiện ngăn chặn hoàn tiền và mở khóa số *Ethereum(ETH)* bị kẹt. Với sự đồng thuận và hỗ trợ kỹ thuật của đội ngũ phát triển Hong Coin, anh đã triển khai phương thức này để rút và phân phối lại tiền cho nhà đầu tư, thay vì chiếm đoạt.

Dữ liệu từ nền tảng phân tích on-chain *Etherscan* cho thấy ít nhất một nhà đầu tư đã nhận lại 96 *Ethereum(ETH)*, tương đương khoảng 192.500 đô la Mỹ. Một địa chỉ khác cũng xác nhận đã được hoàn lại 0,5 ETH. Đây chỉ là hai trong số hàng chục giao dịch hoàn tiền, nhưng đủ để minh chứng rằng số vốn từng bị xem như “mất trắng” giờ đã được khôi phục.

*bình luận*

Trường hợp Hong Coin cho thấy ngay cả với các *ICO* cũ, vốn bị bỏ hoang và tưởng như đã “chết”, vẫn có cơ hội phục hồi tài sản nếu:

- Mã nguồn hợp đồng thông minh còn có thể kiểm tra;

- Tồn tại lỗ hổng cho phép can thiệp hợp pháp;

- Đội ngũ dự án hoặc người nắm quyền quản trị vẫn sẵn sàng hợp tác.

Tuy nhiên, số ca như vậy rất hiếm. Hầu hết các dự án ICO giai đoạn 2016–2018 hoặc đã giải tán, hoặc chủ dự án biến mất, hoặc hợp đồng thông minh được triển khai quá sơ sài, không để lại cánh cửa kỹ thuật nào để “giải cứu” tài sản. Vụ việc này đồng thời nhấn mạnh mức độ *rủi ro kỹ thuật* của các hợp đồng thông minh đời đầu, khi cơ chế bảo mật, kiểm toán mã và tiêu chuẩn phát triển còn chưa hoàn thiện.

Đối với nhà đầu tư hiện nay, câu chuyện Hong Coin là lời nhắc nhở quan trọng: trước khi gửi vốn vào bất kỳ ICO, DeFi hay dự án on-chain nào, cần đặc biệt chú ý tới chất lượng *smart contract*, lịch sử kiểm toán bảo mật, cũng như uy tín đội ngũ vận hành. Bởi một khi tài sản đã bị khóa cứng trong hợp đồng lỗi mà không có “cửa hậu” hợp pháp như trường hợp nói trên, khả năng phục hồi gần như bằng không – ngay cả với các *white hat hacker* lão luyện.