Дослідник усунув 9-річну уразливість і розблокував 2 млн доларів в Ethereum, які були заблоковані з часу ICO у 2016 році

ICO 2016 року, яке так і не повернуло кошти

Кошти походили від Hongcoin, також відомого як «The HONG», — проекту на базі Ethereum 2016 року, який позиціонувався як децентралізований інвестиційний фонд, керований спільнотою. ICO не досягло своєї мети фінансування, що мало б спричинити автоматичне повернення коштів учасникам.
Це не спрацювало.

Помилка в логіці повернення коштів заблокувала більшості інвесторів можливість отримати свої ETH. Контракт порівнював баланс токенів кожного інвестора з глобальним лічильником. Часткові повернення коштів протягом років зменшили цей лічильник до 356, обмеживши будь-які подальші повернення лише 3,56 ETH на одного власника. Більшість із 48 інвесторів, що залишилися, мали набагато більше. Їхні кошти залишилися заблокованими.

Адреса контракту, 0x9fa8fa61a10ff892e4ebceb7f4e0fc684c2ce0a9, залишається перевіреною на Etherscan.

Експлойт, який виправив ситуацію

0xflorent виявив уразливість переповнення цілого числа у функції, доступній лише адміністраторам, пов'язаній із мультисигнатурним гаманцем команди Hongcoin. Ця функція спочатку була розроблена для випуску токенів винагороди, але не мала захисту від переповнення, що є типовою слабкістю коду Solidity до SafeMath 2016 року.

Передаючи певне вхідне значення, функція могла скинути баланс токенів інвестора до 1, обійшовши перевірку на повернення коштів і дозволивши контракту випустити відповідні ETH.

Флорент описав це як «перший експлойт білих капелюхів на Ethereum», зазначивши, що жоден зовнішній зловмисник не мав жодного стимулу використовувати його. Кошти могли повернутися лише до початкових вкладників. Не було ні переходу права власності, ні вектора крадіжки.

Як відбувалося відновлення

Флорант зв’язався з неактивною командою Hongcoin приватно електронною поштою. Він перевірив повну послідовність розблокування на локальному форку Foundry основної мережі Ethereum, перш ніж торкатися чогось у ланцюгу. Потім мультипідпис команди підписав 41 транзакцію, по одній для кожного заблокованого власника, якому потрібно було скинути баланс. Сім власників із меншими балансами могли вимагати повернення коштів безпосередньо без обхідного шляху.

Весь процес зайняв близько тижня.

Станом на 1 червня 2026 року всі 1 003,62 ETH було розморожено. Двоє інвесторів вже отримали загалом 96,5 ETH на суму приблизно 193 000 доларів. Вони надіслали Флоренту добровільну винагороду. Він не взяв жодних гонорарів, відрахувань чи комісій.

Приблизно 882 ETH залишаються доступними для отримання іншими інвесторами.

Модель роботи «білих хакерів»

Це було друге оприлюднене відновлення Флорентом коштів за вісім днів. 24 травня він повернув 19,329 ETH, приблизно 40 590 доларів, з контракту ICO 2018 року та атомних свопів, термін дії яких закінчився, пов'язаних із гаманцем, що наразі не існує.

Флорант використовує спеціальні інструменти сканування, зокрема самостійно розміщений вузол, щоб знаходити контракти, що містять понад 100 ETH. Він зазначив, що багато старих контрактів є форками один одного, а це означає, що вразливості часто скупчуються. Він також згадав про використання Claude Code для прискорення аналізу, але попередив, що цей інструмент може бути надто песимістичним щодо контрактів, які він позначає як такі, що неможливо зламати.

Що це означає для перших власників Ethereum

Сотні смарт-контрактів Ethereum з епохи буму ICO 2016 та 2017 років досі утримують заблоковані кошти. Більшість учасників списали ці залишки ще кілька років тому.

Робота Флорента нагадує, що деякі з цих контрактів все ще мають двері, і хтось із відповідними інструментами може знайти ключ.