Một nhà phát triển Ethereum đã thu hồi 1.003,62 ETH, trị giá xấp xỉ 2 triệu USD, từ hợp đồng ICO năm 2016 của HongCoin vào Chủ nhật, sau khi các khoản tiền bị mắc kẹt suốt chín năm do lỗi trong hợp đồng thông minh. Nhà phát triển, được biết đến với tên 0xFlorent_, đã phát hiện một cách “lách” cho phép đội ngũ HongCoin mở khóa tiền hoàn lại cho 48 nhà đầu tư ban đầu có ETH bị đóng băng khi chức năng hoàn tiền của dự án bị lỗi sau khi dự án bỏ lỡ mục tiêu huy động vốn. Vụ thu hồi này cho thấy các lỗ hổng vẫn tồn tại trong những hợp đồng thông minh Ethereum giai đoạn đầu, khi các cuộc tấn công trong lĩnh vực tài chính phi tập trung đã gây ra hơn 840 triệu USD thiệt hại trong 5 tháng đầu năm 2026.
Nhà phát triển mở khóa ETH bị đóng băng bằng cách lách hợp đồng thông minh
0xFlorent_ công bố việc thu hồi trên X vào Chủ nhật, giải thích rằng hợp đồng ICO năm 2016 của HongCoin được thiết kế để hoàn tiền cho nhà đầu tư sau khi dự án không đạt mục tiêu huy động vốn, nhưng một bug đã vô hiệu cơ chế hoàn tiền. Nhà phát triển phát hiện hợp đồng dựa vào một con số sai để xác định điều kiện được hoàn, khiến nhà đầu tư không thể truy cập ETH của họ trong chín năm.
Nhà phát triển bảo mật theo hướng “whitehat” đã tạo ra một cách lách để hợp đồng nhận diện các nhà đầu tư bị chặn và giải phóng quỹ. Sau đó, đội ngũ HongCoin đã thực hiện 41 giao dịch mở khóa để phân phối số ETH thu hồi. 0xFlorent_ cung cấp các bản ghi Etherscan của hợp đồng và ví đã được mở khóa như một bằng chứng xác minh trên chuỗi cho việc thu hồi.
Các đợt phát hành tiền xu lần đầu (ICO) từng là phương thức gây quỹ phổ biến trong những năm đầu của Ethereum, khi nhà đầu tư gửi ETH vào các hợp đồng thông minh để đổi lấy token của dự án. Hợp đồng thông minh là các chương trình chạy trên blockchain Ethereum và có thể tiếp tục hoạt động vô thời hạn sau khi dự án ngừng hoạt động.
Ngành DeFi đối mặt 840 triệu USD thiệt hại trong năm 2026
Việc thu hồi diễn ra trong bối cảnh các cuộc tấn công nhắm vào lĩnh vực tài chính phi tập trung vẫn tiếp diễn, với hơn 840 triệu USD bị mất trong 5 tháng đầu năm 2026. Chỉ riêng tháng 4 đã chiếm hơn 600 triệu USD tiền bị đánh cắp, theo nguồn tin.
Các nhà nghiên cứu bảo mật whitehat như 0xFlorent_ nhận diện lỗ hổng trong hệ thống blockchain để bảo vệ mạng hoặc thu hồi tiền, qua đó phân biệt công việc của họ với các tác nhân xấu lợi dụng bug để đánh cắp tài sản.
Chuyên gia đánh giá tính hiếm của các vụ thu hồi quỹ từ hợp đồng thông minh
Andy Yajin Zhou, phó giáo sư tại Đại học Hồng Kông và đồng sáng lập công ty an ninh on-chain BlockSec, cho biết với Decrypt rằng các vụ thu hồi như trường hợp HongCoin vẫn là “đặc biệt” và không cho thấy rằng lượng lớn tiền bị mất “có thể chỉ được thu hồi thường xuyên”.
“Việc thu hồi có thể xảy ra vì hợp đồng tình cờ chứa một lỗ hổng cho phép một nhà phát triển whitehat trích xuất và trả lại tiền một cách an toàn,” Zhou nói. “Rất tiếc, chúng ta không thể cho rằng các hợp đồng Ethereum cũ nhìn chung đều có các lỗ hổng như vậy.”
Zhou cho biết các khoản tiền bị khóa thường không thể truy cập được do “mất khóa hoặc logic hợp đồng không thể đảo ngược”, và không có ước tính đáng tin cậy về tổng số ETH bị mắc vĩnh viễn trong các hợp đồng cũ.
Dominick John, nhà phân tích tại Zeus Research, cho biết với Decrypt rằng vụ việc này cho thấy một số quỹ trước đây từng được xem là “bị mất” vẫn có thể được thu hồi và chứng minh hợp đồng thông minh không nhất thiết là “ngõ cụt”. John cho biết nghiên cứu bảo mật tốt hơn và các công cụ blockchain có thể giúp thu hồi thêm nhiều tài sản bị kẹt từ các hệ thống on-chain cũ, qua đó có khả năng mở khóa “giá trị đang ngủ yên” đồng thời phơi bày “hạn chế” trong thiết kế hợp đồng thông minh trước đó.
FAQ
0xFlorent_ đã thu hồi gì từ hợp đồng ICO của HongCoin?
0xFlorent_ đã thu hồi 1.003,62 ETH, trị giá xấp xỉ 2 triệu USD, từ hợp đồng ICO năm 2016 của HongCoin vào Chủ nhật. Các khoản tiền đã bị mắc kẹt suốt chín năm do một bug trong hợp đồng thông minh làm hỏng chức năng hoàn tiền sau khi dự án bỏ lỡ mục tiêu huy động vốn.
Vì sao hợp đồng HongCoin không thể hoàn tiền cho nhà đầu tư?
Hợp đồng HongCoin dựa trên một con số sai để xác định nhà đầu tư nào đủ điều kiện nhận hoàn, khiến 48 nhà đầu tư ban đầu không thể truy cập ETH của họ. 0xFlorent_ phát hiện ra lỗ hổng này và tạo ra một cách lách cho phép hợp đồng nhận diện các nhà đầu tư bị chặn, sau đó đội ngũ HongCoin đã thực hiện 41 giao dịch mở khóa.
Việc thu hồi tiền từ các hợp đồng thông minh cũ phổ biến đến mức nào?
Andy Yajin Zhou của BlockSec cho biết các vụ thu hồi như vậy vẫn “đặc biệt” và không thể sao chép thường xuyên. Việc thu hồi của HongCoin có thể xảy ra vì hợp đồng chứa một lỗ hổng cụ thể mà một nhà phát triển whitehat có thể khai thác an toàn, nhưng hầu hết các hợp đồng Ethereum cũ không có lỗ hổng như vậy, và nhiều khoản tiền bị khóa vẫn không thể truy cập được do khóa bị mất hoặc logic hợp đồng không thể đảo ngược.
