Forskare löser nio år gammal säkerhetsbrist och frigör 2 miljoner dollar i Ethereum som varit låsta sedan ICO:n 2016

En ICO från 2016 som aldrig betalade tillbaka

Medlen härstammar från Hongcoin, även kallat "The HONG", ett Ethereum-baserat projekt från 2016 som marknadsfördes som en gemenskapsdriven decentraliserad investeringsfond. ICO:n nådde inte sitt finansieringsmål, vilket borde ha utlöst en automatisk återbetalning till bidragsgivarna.
Det fungerade inte så.

En bugg i återbetalningslogiken hindrade de flesta investerare från att kräva tillbaka sina ETH. Kontraktet jämförde varje investerares tokensaldo mot en global räknare. Delvisa återbetalningar genom åren hade minskat den räknaren till 356, vilket begränsade ytterligare återbetalningar till endast 3,56 ETH per innehavare. De flesta av de 48 återstående investerarna hade betydligt mer än så. Deras medel förblev låsta.

Kontraktsadressen, 0x9fa8fa61a10ff892e4ebceb7f4e0fc684c2ce0a9, kan fortfarande verifieras på Etherscan.

Exploiten som löste problemet

0xflorent identifierade en sårbarhet för heltalöverflöde i en funktion endast för administratörer som var kopplad till Hongcoin-teamets multisig-plånbok. Funktionen var ursprungligen utformad för att skapa bounty-tokens men saknade skydd mot överflöde, en vanlig svaghet i Solidity-kod från 2016 före SafeMath.

Genom att skicka ett specifikt ingångsvärde kunde funktionen återställa en investerares tokensaldo till 1, kringgå återbetalningskontrollen och låta kontraktet frigöra motsvarande ETH.

Florent beskrev det som den ”första white-hat-exploiten på Ethereum” och påpekade att ingen extern angripare hade något incitament att använda den. Medlen kunde endast flöda tillbaka till de ursprungliga bidragsgivarna. Det förekom ingen övertagande av äganderätten och ingen stöldvektor.

Hur återställningen gick till

Florent kontaktade det vilande Hongcoin-teamet privat via e-post. Han validerade hela upplåsningssekvensen på en lokal Foundry-fork av Ethereums mainnet innan han rörde något på kedjan. Teamets multisig signerade sedan 41 transaktioner, en för varje blockerad innehavare som krävde en återställning av saldot. Sju innehavare med mindre saldon kunde kräva återbetalning direkt utan den här lösningen.
Hela processen tog ungefär en vecka.

Per den 1 juni 2026 hade alla 1 003,62 ETH frigjorts. Två investerare har redan begärt ut sammanlagt 96,5 ETH, värda ungefär 193 000 dollar. De skickade Florent en frivillig belöning. Han tog inga avgifter, ingen andel och ingen provision.
Cirka 882 ETH återstår för de andra investerarna att begära ut.

Ett mönster av whitehat-arbete

Detta var Florents andra offentliggjorda återvinning på åtta dagar. Den 24 maj återlämnade han 19,329 ETH, cirka 40 590 dollar, från ett ICO-kontrakt från 2018 och utgångna atomiska swappar kopplade till en numera nedlagd plånbok.

Florent använder anpassade skanningsverktyg, inklusive en egenhostad nod, för att lokalisera kontrakt som innehåller mer än 100 ETH. Han noterade att många gamla kontrakt är förgreningar av varandra, vilket innebär att sårbarheter ofta klustrar sig. Han nämnde också att han använder Claude Code för att påskynda analysen, men varnade för att verktyget kan vara alltför pessimistiskt när det gäller kontrakt som det flaggar som omöjliga att knäcka.

Vad detta betyder för tidiga Ethereum-innehavare

Hundratals smarta Ethereum-kontrakt från ICO-boomen 2016 och 2017 innehåller fortfarande låsta medel. De flesta bidragsgivare skrev av dessa saldon för flera år sedan.

Florents arbete är en påminnelse om att vissa av dessa kontrakt fortfarande har en dörr, och att någon med rätt verktyg kan hitta nyckeln.