Приблизно через дев’ять років після невдачі ICO HongCoin, білий хакер під ніком Florent зміг розблокувати 1003,62 ETH (приблизно $2 млн).
Перший вайт-хат експлойт в Ethereum: я розблокував 1,003.62
Ξ ($2,000,000), які були заблоковані у смартконтракті ICO 2016 року
протягом 9 років.48 початкових інвесторів тепер можуть отримати свої кошти. pic.twitter.com/lyh5iyaDu7
— 0xflorent.eth (@0xFlorent_) May 31, 2026
Кошти опинилися замороженими в смартконтракті HONG, розгорнутому 29 серпня 2016 року. Продаж не досяг цільового мінімуму, тому інвесторам мали автоматично повернути Ethereum. Однак через серйозну помилку у функції повернення коштів, монети було заблоковано.
Механізм відкидав запити користувачів, якщо їхній баланс перевищував значення глобального лічильника.
Florent виявив вразливість в адміністративній функції контракту, написаного на Solidity v0.3.5. У старих версіях мови відсутній захист від переповнення цілих чисел. Хакер з’ясував, що специфічний виклик функції дозволяє скинути баланс адреси до нуля, після чого перевірка проходить успішно.
Оскільки доступ до адмінфункції був обмежений мультипідписом команди HongCoin, дослідник звернувся до розробників. Спільними зусиллями вони здійснили 41 транзакцію для розблокування рахунків 48 інвесторів.
Двоє вже вивели 96,5 ETH і добровільно надіслали хакеру винагороду.
HongCoin позиціонувався як «венчурний капітал для всіх». ICO тривало з 29 серпня по 28 жовтня 2016 року. Усі 1003,62 ETH були відправлені саме в цей контракт — і залишалися там до цього часу.
Florent вже надавав допомогу у відновленні доступу до активів в інших застарілих протоколах, зокрема в невдалому ICO 2018 року та атомарних свопах Liquality. За його словами, для пошуку вразливих контрактів з балансом понад 100 ETH він використовує власне програмне забезпечення та ШІ-інструменти для початкового аналізу коду.
Нагадаємо, у квітні було зафіксовано рекордну кількість зломів у криптоіндустрії за місяць. Внаслідок понад 20 інцидентів збитки сягнули $651 млн.