Разработчик помог разблокировать около $2 млн в Ethereum из замороженного ICO-контракта 2016 года

• Разработчик Florent заявил о разблокировке 1003 $ETH из контракта HongCoin, средства в котором были заморожены девять лет.
• Причиной блокировки стала ошибка в функции возврата средств в смартконтракте.
• Для обхода ограничения использовали уязвимость integer overflow в старой версии Solidity.
• По словам Florent, 48 ранних инвесторов теперь могут вернуть свои активы.

Разработчик под псевдонимом Florent сообщил о разблокировке 1003,62 $ETH на сумму около $2 млн из смартконтракта ICO-проекта HongCoin 2016 года.

First white-hat exploit on Ethereum: I unlocked 1,003.62
Ξ ($2,000,000) trapped in a 2016 ICO smart contract
for 9 years.

The 48 original investors can now claim their funds. pic.twitter.com/lyh5iyaDu7

— 0xflorent.eth (@0xFlorent_) May 31, 2026

По словам Florent, HongCoin не смог достичь целевого объема финансирования во время ICO. При этом смартконтракт должен был автоматически вернуть средства инвесторам. Однако ошибка в функции возврата привела к блокировке активов на годы.

В комментарии The Block разработчик объяснил, что проблема возникла из-за некорректной проверки баланса пользователей. После частичных возвратов глобальный счетчик контракта снизился до 356, из-за чего большинство инвесторов больше не могли пройти проверку для вывода средств.

Для разблокировки средств Florent использовал административную функцию смартконтракта с уязвимостью переполнения целого числа (integer overflow). Из-за отсутствия механизмов защиты в старых версиях Solidity специальный параметр позволял сбросить баланс пользователя и пройти проверку на возврат средств.

«Обход заключался в использовании административной функции команды — той, которая была предназначена для выпуска бонусных токенов в рамках определенных событий», — заявил Florent.

Он подчеркнул, что не имел прямого доступа к контракту. Административная функция работала только через мультиподпись HongCoin, поэтому команда проекта самостоятельно подписала 41 транзакцию после тестирования решения в локальном форке Ethereum через Foundry.

По оценкам Florent, средства могут вернуть 48 ранних инвесторов. При этом только 41 адрес нуждался в отдельном сбросе баланса. Двое пользователей уже вернули 96,5 $ETH и добровольно отправили исследователю вознаграждение за работу.

Также Florent сообщил, что ранее помог вернуть 19,329 $ETH из двух других старых контрактов, в частности неудачного ICO 2018 года и просроченных атомарных свопов кошелька Liquality.

По его словам, он анализирует старые смарт-контракты через собственный сканер Ethereum, который отслеживает адреса с балансом более 100 $ETH. Для кластеризации контрактов Florent использует Claude Code, однако отмечает, что ИИ-модели часто ошибочно считают старые контракты «невозможными для взлома».

Напомним, ранее банк Standard Chartered сравнил Ethereum с Amazon 2001 года и спрогнозировал рост цены до $40 000.

Источник