Pesquisador descobre falha de segurança com nove anos e libera US$ 2 milhões em Ethereum bloqueados desde a ICO de 2016

Uma ICO de 2016 que nunca pagou

Os fundos eram originários da Hongcoin, também conhecida como “The HONG”, um projeto baseado em Ethereum de 2016 apresentado como um fundo de investimento descentralizado administrado pela comunidade. A ICO não atingiu sua meta de financiamento, o que deveria ter acionado um reembolso automático aos contribuintes.
Não foi assim que aconteceu.

Um bug na lógica de reembolso impediu a maioria dos investidores de resgatar seus ETH. O contrato comparava o saldo de tokens de cada investidor com um contador global. Reembolsos parciais ao longo dos anos haviam reduzido esse contador para 356, limitando quaisquer reembolsos adicionais a apenas 3,56 ETH por detentor. A maioria dos 48 investidores restantes detinha muito mais do que isso. Seus fundos permaneceram bloqueados.

O endereço do contrato, 0x9fa8fa61a10ff892e4ebceb7f4e0fc684c2ce0a9, continua verificável no Etherscan.

A vulnerabilidade que resolveu o problema

0xflorent identificou uma vulnerabilidade de estouro de inteiro em uma função exclusiva para administradores vinculada à carteira multisig da equipe Hongcoin. A função foi originalmente projetada para cunhar tokens de recompensa, mas carecia de proteções contra estouro, uma fraqueza comum no código Solidity pré-SafeMath de 2016.

Ao passar um valor de entrada específico, a função podia zerar o saldo de tokens de um investidor, contornando a verificação de reembolso e permitindo que o contrato liberasse o ETH correspondente.

Florent descreveu isso como a “primeira exploração white-hat na Ethereum”, observando que nenhum invasor externo tinha qualquer incentivo para usá-la. Os fundos só poderiam retornar aos contribuintes originais. Não houve apropriação de propriedade nem vetor de roubo.

Como ocorreu a recuperação

Florent entrou em contato em particular com a equipe inativa da Hongcoin por e-mail. Ele validou a sequência completa de desbloqueio em um fork local da Foundry da mainnet do Ethereum antes de mexer em qualquer coisa na cadeia. A multisig da equipe então assinou 41 transações, uma para cada detentor bloqueado que precisava de uma reinicialização de saldo. Sete detentores com saldos menores puderam solicitar reembolsos diretamente sem a solução alternativa.

Todo o processo levou cerca de uma semana.

Em 1º de junho de 2026, todos os 1.003,62 ETH haviam sido desbloqueados. Dois investidores já reivindicaram um total de 96,5 ETH, no valor aproximado de US$ 193.000. Eles enviaram a Florent uma recompensa voluntária. Ele não cobrou taxas, nem ficou com parte do valor, nem recebeu comissão.
Aproximadamente 882 ETH permanecem disponíveis para os outros investidores reivindicarem.

Um padrão de trabalho de whitehat

Esta foi a segunda recuperação divulgada por Florent em oito dias. Em 24 de maio, ele devolveu 19,329 ETH, cerca de US$ 40.590, de um contrato de ICO de 2018 e atomic swaps expirados vinculados a uma carteira agora extinta.

Florent usa ferramentas de varredura personalizadas, incluindo um nó auto-hospedado, para localizar contratos que contenham mais de 100 ETH. Ele observou que muitos contratos antigos são bifurcações uns dos outros, o que significa que as vulnerabilidades costumam se agrupar. Ele também mencionou o uso do Claude Code para acelerar a análise, mas alertou que a ferramenta pode ser excessivamente pessimista em relação aos contratos que sinaliza como impossíveis de serem quebrados.

O que isso significa para os primeiros detentores de Ethereum

Centenas de contratos inteligentes de Ethereum da era do boom das ICOs de 2016 e 2017 ainda mantêm fundos bloqueados. A maioria dos contribuintes já havia dado esses saldos como perdidos há anos.

O trabalho de Florent é um lembrete de que alguns desses contratos ainda têm uma porta, e alguém com as ferramentas certas pode encontrar a chave.