Onderzoeker lost 9 jaar oude bug op en maakt 2 miljoen dollar aan Ethereum vrij die sinds de ICO van 2016 geblokkeerd was

Een ICO uit 2016 die nooit is terugbetaald

Het geld was afkomstig van Hongcoin, ook wel "The HONG" genoemd, een op Ethereum gebaseerd project uit 2016 dat werd gepresenteerd als een door de gemeenschap beheerd gedecentraliseerd investeringsfonds. De ICO haalde zijn financieringsdoel niet, wat een automatische terugbetaling aan de donateurs had moeten activeren.
Dat werkte echter niet zo.

Door een bug in de terugbetalingslogica konden de meeste investeerders hun ETH niet claimen. Het contract vergeleek het tokensaldo van elke investeerder met een globale teller. Door gedeeltelijke terugbetalingen in de loop der jaren was die teller gedaald tot 356, waardoor verdere terugbetalingen werden beperkt tot slechts 3,56 ETH per houder. De meeste van de 48 overgebleven investeerders hadden veel meer dan dat. Hun geld bleef geblokkeerd.

Het contractadres, 0x9fa8fa61a10ff892e4ebceb7f4e0fc684c2ce0a9, blijft verifieerbaar op Etherscan.

De exploit die het probleem oploste

0xflorent identificeerde een integer-overflow-kwetsbaarheid in een functie die alleen voor beheerders was bedoeld en gekoppeld was aan de multisig-wallet van het Hongcoin-team. De functie was oorspronkelijk ontworpen om bounty-tokens te mint, maar miste overflow-beveiliging, een veelvoorkomende zwakte in pre-SafeMath Solidity-code uit 2016.

Door een specifieke invoerwaarde door te geven, kon de functie het tokensaldo van een investeerder terugzetten naar 1, waardoor de terugbetalingscontrole werd omzeild en het contract de bijbehorende ETH kon vrijgeven.

Florent beschreef het als de "eerste white-hat-exploit op Ethereum" en merkte op dat geen enkele externe aanvaller een reden had om er gebruik van te maken. Het geld kon alleen terugvloeien naar de oorspronkelijke donateurs. Er was geen sprake van eigendomsovername en geen diefstalvector.

Hoe het herstel verliep

Florent nam via e-mail privé contact op met het inactieve Hongcoin-team. Hij valideerde de volledige ontgrendelingssequentie op een lokale Foundry-fork van het Ethereum-mainnet voordat hij iets op de blockchain aanraakte. De multisig van het team ondertekende vervolgens 41 transacties, één voor elke geblokkeerde houder die een saldo-reset nodig had. Zeven houders met kleinere saldi konden rechtstreeks terugbetalingen claimen zonder de workaround.
Het hele proces duurde ongeveer een week.

Op 1 juni 2026 was alle 1.003,62 ETH vrijgegeven. Twee investeerders hebben al in totaal 96,5 ETH opgeëist, ter waarde van ongeveer $ 193.000. Zij stuurden Florent een vrijwillige beloning. Hij vroeg geen vergoeding, geen aandeel en geen commissie.
Er is nog ongeveer 882 ETH beschikbaar voor de andere investeerders om op te eisen.

Een patroon van whitehat-werk

Dit was Florents tweede gepubliceerde terugwinning in acht dagen. Op 24 mei gaf hij 19,329 ETH, ongeveer $40.590, terug uit een ICO-contract uit 2018 en verlopen atomic swaps die gekoppeld waren aan een inmiddels opgeheven wallet.

Florent gebruikt aangepaste scantools, waaronder een zelfgehoste node, om contracten te lokaliseren die meer dan 100 ETH bevatten. Hij merkte op dat veel oude contracten forks van elkaar zijn, wat betekent dat kwetsbaarheden vaak geclusterd zijn. Hij vermeldde ook dat hij Claude Code gebruikt om de analyse te versnellen, maar waarschuwde dat de tool te pessimistisch kan zijn over contracten die het als onkraakbaar markeert.

Wat dit betekent voor vroege Ethereum-houders

Honderden Ethereum-smartcontracten uit de ICO-boom van 2016 en 2017 bevatten nog steeds geblokkeerde middelen. De meeste donateurs hebben die saldi jaren geleden al afgeschreven.

Het werk van Florent herinnert ons eraan dat sommige van die contracten nog steeds een deur hebben, en dat iemand met de juiste tools de sleutel zou kunnen vinden.