Seorang peneliti keamanan yang dikenal sebagai 0xflorent berhasil memulihkan sekitar 1.003,62 ETH, senilai sekitar $2 juta, yang telah tertahan di dalam kontrak pintar ICO Ethereum tahun 2016 yang gagal selama hampir sembilan tahun.
Seorang peneliti berhasil memperbaiki celah keamanan yang telah ada selama sembilan tahun, dan membebaskan dana sebesar $2 juta dalam bentuk Ethereum yang terkunci sejak ICO pada tahun 2016
DITULIS OLEH
BAGIKAN
Poin Utama
- Peneliti keamanan 0xflorent membebaskan 1.003,62 ETH dari kontrak ICO Hongcoin tahun 2016 yang terkunci akibat bug selama hampir 9 tahun.
- Eksploitasi whitehat tersebut memanfaatkan integer overflow dalam fungsi admin multisig, yang membutuhkan 41 transaksi bertanda tangan untuk membuka blokir 48 investor.
- Dua investor telah mengklaim 96,5 ETH, dengan sekitar 882 ETH masih tersedia per 1 Juni 2026.
ICO Tahun 2016 yang Tidak Pernah Membayar Kembali
Dana tersebut berasal dari Hongcoin, yang juga dikenal sebagai "The HONG," sebuah proyek berbasis Ethereum tahun 2016 yang diusung sebagai dana investasi terdesentralisasi yang dikelola komunitas. ICO tersebut gagal mencapai target pendanaan, yang seharusnya memicu pengembalian dana otomatis kepada kontributor.
Namun, hal itu tidak terjadi.
Sebuah bug dalam logika pengembalian dana menghalangi sebagian besar investor untuk mengklaim ETH mereka. Kontrak tersebut membandingkan saldo token masing-masing investor dengan penghitung global. Pengembalian dana sebagian selama bertahun-tahun telah mengurangi penghitung tersebut menjadi 356, sehingga membatasi pengembalian dana lebih lanjut hanya sebesar 3,56 ETH per pemegang. Sebagian besar dari 48 investor yang tersisa memegang jumlah yang jauh lebih besar dari itu. Dana mereka tetap terkunci.
Alamat kontrak, 0x9fa8fa61a10ff892e4ebceb7f4e0fc684c2ce0a9, tetap dapat diverifikasi di Etherscan.
Eksploitasi yang Memperbaikinya
0xflorent mengidentifikasi kerentanan integer-overflow dalam fungsi khusus admin yang terhubung dengan dompet multisig tim Hongcoin. Fungsi tersebut awalnya dirancang untuk mencetak token hadiah tetapi tidak memiliki perlindungan overflow, sebuah kelemahan umum dalam kode Solidity pra-SafeMath dari tahun 2016.
Dengan memasukkan nilai input tertentu, fungsi tersebut dapat mereset saldo token investor menjadi 1, melewati pemeriksaan pengembalian dana, dan memungkinkan kontrak untuk melepaskan ETH yang sesuai.
Florent menggambarkannya sebagai "eksploit white-hat pertama di Ethereum," dengan mencatat bahwa tidak ada penyerang eksternal yang memiliki insentif untuk menggunakannya. Dana hanya dapat mengalir kembali ke kontributor asli. Tidak ada pengambilalihan kepemilikan dan tidak ada vektor pencurian.
Bagaimana Proses Pemulihan Berlangsung
Florent menghubungi tim Hongcoin yang tidak aktif secara pribadi melalui email. Ia memvalidasi urutan pembukaan kunci penuh pada fork Foundry lokal dari jaringan utama Ethereum sebelum melakukan apa pun di rantai blok. Multisig tim kemudian menandatangani 41 transaksi, satu untuk setiap pemegang yang diblokir yang memerlukan reset saldo. Tujuh pemegang dengan saldo lebih kecil dapat mengklaim pengembalian dana secara langsung tanpa perlu solusi alternatif.
Seluruh proses memakan waktu sekitar satu minggu.
Per 1 Juni 2026, seluruh 1.003,62 ETH telah dibebaskan. Dua investor telah mengklaim total 96,5 ETH, senilai sekitar $193.000. Mereka mengirimkan hadiah sukarela kepada Florent. Ia tidak mengambil biaya, potongan, maupun komisi.
Sekitar 882 ETH masih tersedia untuk diklaim oleh investor lainnya.
Pola Kerja Whitehat
Ini adalah pemulihan kedua yang dipublikasikan Florent dalam delapan hari. Pada 24 Mei, ia mengembalikan 19,329 ETH, sekitar $40.590, dari kontrak ICO tahun 2018 dan atomic swap yang telah kadaluwarsa yang terhubung dengan dompet yang kini tidak aktif.
Florent menggunakan alat pemindaian khusus, termasuk node yang dihosting sendiri, untuk menemukan kontrak yang menyimpan lebih dari 100 ETH. Ia mencatat bahwa banyak kontrak lama merupakan cabang satu sama lain, artinya kerentanan sering kali bergerombol. Ia juga menyebutkan penggunaan Claude Code untuk mempercepat analisis, namun memperingatkan bahwa alat tersebut dapat terlalu pesimistis terhadap kontrak yang ditandainya sebagai tidak dapat diretas.
Apa Artinya Ini bagi Pemegang Ethereum Awal
Ratusan kontrak pintar Ethereum dari era booming ICO tahun 2016 dan 2017 masih menyimpan dana yang terkunci. Sebagian besar kontributor telah menganggap saldo tersebut hilang bertahun-tahun yang lalu.
Karya Florent menjadi pengingat bahwa beberapa kontrak tersebut masih memiliki celah, dan seseorang dengan alat yang tepat mungkin dapat menemukan kuncinya.
