Un chercheur en sécurité connu sous le nom de 0xflorent a récupéré environ 1 003,62 ETH, d'une valeur d'environ 2 millions de dollars, qui étaient restés bloqués pendant près de neuf ans dans un contrat intelligent d'ICO Ethereum de 2016 qui avait échoué.
Un chercheur corrige une faille vieille de neuf ans et débloque 2 millions de dollars en Ethereum immobilisés depuis l'ICO de 2016
ÉCRIT PAR
PARTAGER
Points clés
- Le chercheur en sécurité 0xflorent a libéré 1 003,62 ETH d'un contrat ICO Hongcoin de 2016 bloqué par un bug pendant près de 9 ans.
- L'exploit de type « white hat » a utilisé un débordement d'entier dans une fonction d'administration multisig, nécessitant 41 transactions signées pour débloquer 48 investisseurs.
- Deux investisseurs ont déjà réclamé 96,5 ETH, et environ 882 ETH sont encore disponibles au 1er juin 2026.
Une ICO de 2016 qui n'a jamais remboursé
Les fonds provenaient de Hongcoin, également appelé « The HONG », un projet basé sur Ethereum lancé en 2016 et présenté comme un fonds d'investissement décentralisé géré par la communauté. L'ICO n'a pas atteint son objectif de financement, ce qui aurait dû déclencher un remboursement automatique aux contributeurs. Ce n'est pas ce qui s'est passé.
Un bug dans la logique de remboursement a empêché la plupart des investisseurs de réclamer leurs ETH. Le contrat comparait le solde de jetons de chaque investisseur à un compteur global. Les remboursements partiels effectués au fil des ans avaient ramené ce compteur à 356, limitant tout remboursement supplémentaire à seulement 3,56 ETH par détenteur. La plupart des 48 investisseurs restants détenaient bien plus que cela. Leurs fonds sont restés bloqués.
L'adresse du contrat, 0x9fa8fa61a10ff892e4ebceb7f4e0fc684c2ce0a9, reste vérifiable sur Etherscan.
L'exploit qui a résolu le problème
0xflorent a identifié une vulnérabilité de type « integer overflow » dans une fonction réservée à l'administrateur liée au portefeuille multisig de l'équipe Hongcoin. Cette fonction était initialement conçue pour frapper des jetons de prime, mais ne disposait pas de protections contre les débordements, une faiblesse courante dans le code Solidity antérieur à SafeMath datant de 2016.
En transmettant une valeur d'entrée spécifique, la fonction pouvait réinitialiser le solde de jetons d'un investisseur à 1, contournant ainsi le contrôle de remboursement et permettant au contrat de libérer l'ETH correspondant. Florent l'a décrit comme le « premier exploit white hat sur Ethereum », soulignant qu'aucun attaquant externe n'avait intérêt à l'utiliser. Les fonds ne pouvaient revenir qu'aux contributeurs d'origine. Il n'y a eu ni prise de contrôle de la propriété ni vecteur de vol.
Déroulement de la récupération
Florent a contacté en privé l'équipe inactive de Hongcoin par e-mail. Il a validé la séquence complète de déblocage sur une fourche locale Foundry du réseau principal Ethereum avant d'intervenir sur la chaîne. La signature multi-signature de l'équipe a ensuite signé 41 transactions, une pour chaque détenteur bloqué nécessitant une réinitialisation de solde. Sept détenteurs disposant de soldes plus modestes ont pu réclamer des remboursements directement sans avoir recours à cette solution de contournement. L'ensemble du processus a pris environ une semaine.
Au 1er juin 2026, la totalité des 1 003,62 ETH avait été débloquée. Deux investisseurs ont déjà réclamé un total de 96,5 ETH, d'une valeur d'environ 193 000 $. Ils ont envoyé à Florent une récompense volontaire. Il n'a perçu aucun frais, aucune part ni aucune commission. Environ 882 ETH restent disponibles pour les autres investisseurs.
Une pratique courante chez les white hats
Il s'agissait de la deuxième récupération rendue publique par Florent en huit jours. Le 24 mai, il a restitué 19,329 ETH, soit environ 40 590 dollars, provenant d'un contrat ICO de 2018 et d'atomic swaps expirés liés à un portefeuille aujourd'hui inactif.
Florent utilise des outils d'analyse personnalisés, notamment un nœud auto-hébergé, pour localiser les contrats contenant plus de 100 ETH. Il a noté que de nombreux anciens contrats sont des fourches les uns des autres, ce qui signifie que les vulnérabilités se regroupent souvent. Il a également mentionné l'utilisation de Claude Code pour accélérer l'analyse, mais a averti que l'outil peut se montrer trop pessimiste concernant les contrats qu'il signale comme impossibles à pirater.
Ce que cela signifie pour les premiers détenteurs d'Ethereum
Des centaines de contrats intelligents Ethereum datant de la période de boom des ICO de 2016 et 2017 contiennent encore des fonds bloqués. La plupart des contributeurs ont fait une croix sur ces soldes il y a des années. Le travail de Florent nous rappelle que certains de ces contrats ont encore une porte, et que quelqu'un disposant des bons outils pourrait bien trouver la clé.
