El investigador de seguridad 0xflorent encontró un error de desbordamiento de enteros en el contrato de HongCoin y coordinó con el equipo original para desbloquear más de 1.000 ETH sin actuar de forma unilateral
Un investigador de seguridad conocido como 0xflorent encontró un bug en un contrato inteligente de 2016 que mantenía atrapados 2 millones de dólares en ETH de 48 inversores de una ICO fallida llamada HongCoin.
El contrato debía reembolsar automáticamente el ETH de los inversores, pero un bug lo impidió. Durante nueve años, 1.003,62 ETH, hoy valuados en aproximadamente 2 millones de dólares, quedaron inaccesibles.
El misterio del bug sin resolver
El error es técnicamente conocido como desbordamiento de enteros, una falla que las versiones modernas del lenguaje Solidity corrigen automáticamente pero que los contratos de 2016 no tenían. La función de reembolso rechazaba a cualquier titular cuyo saldo de tokens superara un contador global que años de reembolsos parciales habían reducido a 356, lo que limitaba los retiros adicionales a apenas 3,56 ETH. La mayoría de los inversores tenía saldos mayores y quedaban bloqueados sin solución aparente.
0xflorent descubrió que una función administrativa del contrato podía usarse para resetear ese saldo a uno, permitiendo que el reembolso se procesara. Por lo que el investigador decidió contactar al equipo de HongCoin por correo, validó toda la secuencia de desbloqueo en una bifurcación de prueba de la red principal de Ethereum, y fue el propio equipo quien firmó cada una de las transacciones de desbloqueo. Cuarenta y una transacciones en total, una por cada titular bloqueado. Otros siete pudieron ser reembolsados directamente sin necesidad de la solución alternativa.
El resultado fue la recuperación total de 96,5 ETH valuados en aproximadamente 193.000 dólares. , para dos inversores que ya han reclamado sus fondos. Los 46 inversores restantes tienen total libertad de reclamar sus fondos cuando así lo deseen.
0xflorent
Este hacker ha anunciado mediante una publicación en X, la recuperación de estos fondos que ya habían dado por perdidos hace años. Dejando como prueba las transacciones hechas en Etherscan, y explicando un poco lo que hizo para que esos fondos resurjan de las tinieblas.
Esta es la segunda vez que 0xflorent hace pública una recuperación monetaria. El pasado 24 de mayo ya había devuelto 19,3 ETH atrapados en una ICO de 2018 y en una billetera Liquality inaccesible desde su cierre en 2024.
Conclusión
Si bien, este caso habla de un hackeo, no constituye un exploit. Por varios motivos, ya que en el proceso hubo transparencia, coordinación y acción coordinada con el equipo correspondiente. Constituye un hecho llamativo, ya que genera una sensación vaga de “¿Cuánto más estará olvidado y ni siquiera lo imaginamos?”. E invita a reflexionar sobre cómo quizás fondos que ya se dieron por perdidos, quizás aún tengan una segunda oportunidad.