Un ricercatore risolve un bug risalente a nove anni fa, sbloccando 2 milioni di dollari in Ethereum bloccati sin dall'ICO del 2016

Un'ICO del 2016 che non ha mai restituito i fondi

I fondi provenivano da Hongcoin, noto anche come "The HONG", un progetto basato su Ethereum del 2016 presentato come un fondo di investimento decentralizzato gestito dalla comunità. L'ICO non è riuscita a raggiungere il suo obiettivo di finanziamento, il che avrebbe dovuto innescare un rimborso automatico ai contributori. Non è andata così.

Un bug nella logica di rimborso ha impedito alla maggior parte degli investitori di richiedere i propri ETH. Il contratto confrontava il saldo di token di ciascun investitore con un contatore globale. I rimborsi parziali effettuati nel corso degli anni avevano ridotto tale contatore a 356, limitando qualsiasi ulteriore rimborso a soli 3,56 ETH per titolare. La maggior parte dei 48 investitori rimanenti deteneva molto più di quella cifra. I loro fondi sono rimasti bloccati.

L'indirizzo del contratto, 0x9fa8fa61a10ff892e4ebceb7f4e0fc684c2ce0a9, rimane verificabile su Etherscan.

L'exploit che ha risolto il problema

0xflorent ha identificato una vulnerabilità di overflow di interi in una funzione riservata agli amministratori collegata al portafoglio multisig del team Hongcoin. La funzione era stata originariamente progettata per coniare token di ricompensa, ma mancava di protezioni contro l'overflow, una debolezza comune nel codice Solidity pre-SafeMath del 2016.

Passando un valore di input specifico, la funzione poteva azzerare il saldo dei token di un investitore a 1, aggirando il controllo di rimborso e consentendo al contratto di rilasciare l'ETH corrispondente. Florent l'ha descritto come il "primo exploit white-hat su Ethereum", sottolineando che nessun aggressore esterno aveva alcun incentivo a utilizzarlo. I fondi potevano tornare solo ai contributori originali. Non c'è stata alcuna acquisizione di proprietà né alcun vettore di furto.

Come si è svolta la recuperazione

Florent ha contattato in privato via e-mail il team inattivo di Hongcoin. Ha convalidato l'intera sequenza di sblocco su un fork locale di Foundry della mainnet di Ethereum prima di toccare qualsiasi cosa sulla catena. Il multisig del team ha quindi firmato 41 transazioni, una per ogni possessore bloccato che richiedeva un ripristino del saldo. Sette possessori con saldi più piccoli hanno potuto richiedere i rimborsi direttamente senza la soluzione alternativa. L'intero processo ha richiesto circa una settimana.

Al 1° giugno 2026, tutti i 1.003,62 ETH erano stati sbloccati. Due investitori hanno già richiesto un totale di 96,5 ETH, per un valore di circa 193.000 dollari. Hanno inviato a Florent una ricompensa volontaria. Lui non ha preso alcuna commissione, né ha trattenuto alcuna percentuale. Rimangono circa 882 ETH a disposizione degli altri investitori.

Un modello di lavoro white hat

Questo è stato il secondo recupero reso pubblico da Florent in otto giorni. Il 24 maggio ha restituito 19,329 ETH, circa 40.590 dollari, provenienti da un contratto ICO del 2018 e da atomic swap scaduti legati a un portafoglio ormai inattivo.

Florent utilizza strumenti di scansione personalizzati, tra cui un nodo self-hosted, per individuare i contratti che contengono più di 100 ETH. Ha osservato che molti vecchi contratti sono fork l'uno dell'altro, il che significa che le vulnerabilità spesso si raggruppano. Ha anche menzionato l'uso di Claude Code per accelerare l'analisi, ma ha avvertito che lo strumento può essere eccessivamente pessimista riguardo ai contratti che segnala come impossibili da violare.

Cosa significa questo per i primi possessori di Ethereum

Centinaia di smart contract di Ethereum risalenti al boom delle ICO del 2016 e del 2017 contengono ancora fondi bloccati. La maggior parte dei contributori ha cancellato quei saldi anni fa. Il lavoro di Florent ci ricorda che alcuni di quei contratti hanno ancora una porta, e qualcuno con gli strumenti giusti potrebbe trovare la chiave.