Un investigador soluciona un fallo de seguridad de hace nueve años y libera 2 millones de dólares en Ethereum bloqueados desde la ICO de 2016

Una ICO de 2016 que nunca devolvió el dinero

Los fondos procedían de Hongcoin, también conocido como «The HONG», un proyecto basado en Ethereum de 2016 presentado como un fondo de inversión descentralizado gestionado por la comunidad. La ICO no logró alcanzar su objetivo de financiación, lo que debería haber activado un reembolso automático a los contribuyentes. No fue así.

Un error en la lógica de reembolso impidió a la mayoría de los inversores reclamar su ETH. El contrato comparaba el saldo de tokens de cada inversor con un contador global. Los reembolsos parciales a lo largo de los años habían reducido ese contador a 356, limitando cualquier reembolso adicional a solo 3,56 ETH por titular. La mayoría de los 48 inversores restantes poseían mucho más que eso. Sus fondos quedaron bloqueados.

La dirección del contrato, 0x9fa8fa61a10ff892e4ebceb7f4e0fc684c2ce0a9, sigue siendo verificable en Etherscan.

El exploit que lo solucionó

0xflorent identificó una vulnerabilidad de desbordamiento de enteros en una función exclusiva para administradores vinculada a la cartera multisig del equipo de Hongcoin. La función se diseñó originalmente para acuñar tokens de recompensa, pero carecía de protecciones contra desbordamientos, una debilidad común en el código Solidity anterior a SafeMath de 2016.

Al pasar un valor de entrada específico, la función podía restablecer el saldo de tokens de un inversor a 1, eludiendo la comprobación de reembolso y permitiendo que el contrato liberara el ETH correspondiente. Florent lo describió como el «primer exploit de sombrero blanco en Ethereum», señalando que ningún atacante externo tenía ningún incentivo para utilizarlo. Los fondos solo podían volver a los contribuyentes originales. No hubo apropiación de la propiedad ni vector de robo.

Cómo se desarrolló la recuperación

Florent se puso en contacto en privado con el equipo inactivo de Hongcoin por correo electrónico. Validó la secuencia completa de desbloqueo en una bifurcación local de Foundry de la red principal de Ethereum antes de tocar nada en la cadena. A continuación, la firma múltiple del equipo firmó 41 transacciones, una por cada titular bloqueado que requiriera un restablecimiento del saldo. Siete titulares con saldos más pequeños pudieron reclamar reembolsos directamente sin necesidad de la solución alternativa. Todo el proceso duró aproximadamente una semana.

A fecha de 1 de junio de 2026, se habían desbloqueado los 1 003,62 ETH. Dos inversores ya han reclamado un total de 96,5 ETH, por un valor aproximado de 193 000 $. Le enviaron a Florent una recompensa voluntaria. Él no cobró honorarios, ni se quedó con ninguna parte, ni cobró comisión. Aún quedan aproximadamente 882 ETH disponibles para que los reclamen los demás inversores.

Una trayectoria de trabajo como whitehat

Esta fue la segunda recuperación que Florent hizo pública en ocho días. El 24 de mayo, devolvió 19,329 ETH, unos 40 590 dólares, procedentes de un contrato de ICO de 2018 y de atomic swaps caducados vinculados a un monedero ya inactivo.

Florent utiliza herramientas de escaneo personalizadas, incluido un nodo autohospedado, para localizar contratos que contengan más de 100 ETH. Señaló que muchos contratos antiguos son bifurcaciones unos de otros, lo que significa que las vulnerabilidades suelen agruparse. También mencionó el uso de Claude Code para acelerar el análisis, pero advirtió que la herramienta puede ser excesivamente pesimista con respecto a los contratos que marca como imposibles de descifrar.

Qué significa esto para los primeros titulares de Ethereum

Cientos de contratos inteligentes de Ethereum de la época del boom de las ICO de 2016 y 2017 aún retienen fondos bloqueados. La mayoría de los contribuyentes dieron por perdidos esos saldos hace años. El trabajo de Florent es un recordatorio de que algunos de esos contratos aún tienen una puerta, y alguien con las herramientas adecuadas podría encontrar la llave.