Un White Hat permet la récupération de 2 M$ d'un projet ICO de 2016

Un hacker white hat pseudonyme connu sous le nom de 0xflorent a récupéré environ 1 003 ETH, soit environ 2 millions de dollars au moment de la récupération, qui étaient bloqués dans un contrat d'offre initiale de pièces défectueux depuis près d'une décennie. Les fonds appartenaient à des investisseurs de l'ICO Hong Coin (HONG), un concept de capital-risque décentralisé qui n'a jamais été lancé après avoir échoué à atteindre son objectif de financement.

Dans une publication sur X dimanche, le white hat a décrit comment il a aidé à déverrouiller les fonds du contrat HONG, qui détenait des ETH pour 48 investisseurs. Hong Coin, lancé en tant que fonds de capital-risque communautaire, n'a jamais atteint son objectif et n'a pas émis les tokens promis.

Le contrat était conçu pour rembourser automatiquement les investisseurs si la collecte de fonds était insuffisante. Un bug dans la fonction de remboursement a silencieusement cassé ce mécanisme, laissant les fonds bloqués dans le contrat jusqu'à ce qu'ils puissent être récupérés.

Les données Ethereum montrent des remboursements partiels à certains participants. Un investisseur a été remboursé de 96 ETH (environ 192 500 dollars à l'époque) et 0,5 ETH supplémentaire a été restitué, selon les données visibles sur Etherscan.

L'ICO Hong Coin s'est déroulée du 29 août 2016 au 28 octobre 2016. Les investisseurs qui avaient envoyé des ETH devaient recevoir 250 millions de tokens HONG répartis en cinq étapes, mais le projet n'a pas atteint son objectif de financement, déclenchant le processus de remboursement prévu.

0xflorent a indiqué avoir coopéré avec les créateurs de HONG, en leur montrant comment extraire les fonds bloqués en exploitant une fonction admin défectueuse qui réinitialise les soldes de tokens et déclenche la vérification du remboursement. « La sortie était une fonction admin présentant une vulnérabilité de dépassement d'entier », ont-ils expliqué, ajoutant que l'appeler avec une entrée spécifique réinitialise le solde d'un détenteur et débloque le remboursement.

Dans une mise à jour séparée le 24 mai 2024, 0xflorent a mentionné une récupération antérieure : ils ont récupéré un total de 19,33 ETH provenant d'un projet ICO échoué en janvier 2018 et d'un utilisateur de Liquality Wallet dont les fonds étaient bloqués dans un protocole de transfert cross-chain.

Une vidéo promotionnelle de 2016 pour Hong Coin présentait le projet comme un fonds de capital-risque géré par la communauté, où les membres de l'Organisation Autonome Décentralisée (DAO) du projet aideraient à décider quels projets recevraient un soutien. La conception de l'ICO et sa promesse de gouvernance sont emblématiques d'une époque plus large où d'innombrables efforts de levée de fonds tokenisés ont été confrontés à des déficits similaires et à des incertitudes juridiques.

L'histoire de Hong Coin souligne comment les vulnérabilités héritées dans les premiers contrats ICO peuvent persister pendant des années, et comment une intervention technique ciblée — même par des acteurs white hat — peut récupérer des actifs qui pourraient autrement rester inaccessibles. Elle met également en évidence la tension persistante entre l'innovation dans la levée de fonds on-chain et la nécessité de contrôles de sécurité et de gouvernance robustes dès le départ.

Points clés

• Récupération d'environ 1 003 ETH auprès de 48 investisseurs dans une ICO de 2016 qui n'avait pas atteint son objectif de financement, désormais partiellement réalisée grâce à une intervention on-chain.
• Le mécanisme de remboursement a été compromis par une fonction admin présentant une vulnérabilité de dépassement d'entier, ce qui a permis une réinitialisation des soldes et le déclenchement des remboursements.
• Des remboursements partiels sont déjà apparus on-chain, avec au moins 96 ETH et 0,5 ETH restitués à des participants individuels, indiquant des récupérations on-chain en cours.
• 0xflorent a un historique de récupérations on-chain au-delà de Hong Coin, notamment une récupération de 19,33 ETH début 2018 et des travaux supplémentaires avec un utilisateur de Liquality Wallet sur un problème de transfert cross-chain.

La saga Hong Coin et la faille de remboursement

La structure ICO de Hong Coin était simple sur le papier : les contributions en ETH seraient converties en 250 millions de tokens HONG distribués en cinq phases, avec des remboursements aux investisseurs si l'objectif de financement n'était pas atteint. Le projet remontait à 2016, une période où une multitude d'ICOs expérimentaient la gouvernance décentralisée et l'allocation de capital de type capital-risque. Alors que de nombreux projets ont disparu, les héritages techniques de quelques-uns — comme une logique de remboursement défectueuse — ont laissé des questions ouvertes sur la manière dont ces systèmes peuvent être dénoués en toute sécurité lorsque les choses tournent mal.

Le récit de 0xflorent décrit une collaboration délicate avec les créateurs du projet pour extraire des fonds piégés dans un chemin de remboursement défectueux. La vulnérabilité critique résidait dans une fonction admin conçue pour administrer les soldes de tokens, qui, lorsqu'elle était invoquée avec une entrée craftée, pouvait réinitialiser le solde d'un détenteur et ainsi déverrouiller le mécanisme de remboursement qui était autrement bloqué dans une impasse.

Cet épisode rappelle que même dans un espace marqué par une itération rapide et des idées ambitieuses, une conception robuste des contrats et une gestion claire des échecs sont essentielles. Le cas Hong Coin illustre également comment une approche soigneusement coordonnée et techniquement éclairée peut récupérer les fonds des utilisateurs longtemps après les faits, bien qu'elle n'absout pas la responsabilité de lancer des contrats sécurisés et bien audités dès le départ.

Preuves on-chain et ce que les données révèlent

Les données on-chain offrent une fenêtre sur ce qui a été récupéré et ce qui reste incertain. Etherscan montre qu'au moins un investisseur a reçu 96 ETH et un autre 0,5 ETH dans le cadre des remboursements liés au contrat Hong Coin. Le montant total récupéré jusqu'à présent — environ 1 003 ETH auprès de 48 participants — représente une récupération significative pour un cas qui a débuté lors du boom des ICOs de 2016.

Au-delà de Hong Coin, 0xflorent a mentionné d'autres récupérations, notamment un mouvement de 19,33 ETH début 2018, décrit comme provenant d'une combinaison d'un projet ICO échoué et des fonds bloqués d'un utilisateur de Liquality Wallet dans un transfert cross-chain. Ces cas illustrent collectivement comment des investigations on-chain persistantes peuvent produire des rendements tangibles des années après que les fonds ont été déployés dans des Smart Contracts (Contrats Intelligents) douteux ou mal écrits.

La présentation originale de Hong Coin sur YouTube le présentait comme un fonds de capital-risque gouverné par la communauté, avec l'Organisation Autonome Décentralisée (DAO) envisagée comme un organe directeur pour la sélection des projets. Bien que l'ICO elle-même n'ait pas été lancée, le récit autour du projet aide à contextualiser pourquoi de tels fonds ont suscité de l'intérêt et comment les concepts de gouvernance de l'ère DAO se sont traduits en expériences de levée de fonds tokenisées.

Le chemin de la promesse à la récupération dans Hong Coin est une étude de cas utile pour les développeurs et les investisseurs : même lorsqu'un projet ne parvient pas à se lancer, l'architecture de gouvernance et de remboursement qu'il laisse derrière lui peut être façonnée pour protéger les participants — si la conception du contrat permet un dénouement sûr et une récupération active des actifs par des mains compétentes.

Les observateurs de l'espace crypto devraient surveiller si d'autres ICOs dormantes avec des mécanismes de remboursement rencontrent des vulnérabilités similaires et comment les auditeurs et les chercheurs white hat répondent à mesure que les récupérations d'actifs continuent de se déployer, remodelant potentiellement les attentes autour des contrats ICO hérités et de leurs héritages durables.

Cet article a été initialement publié sous le titre White Hat Enables Recovery of $2M From 2016 ICO Project sur Crypto Breaking News – votre source de confiance pour les actualités crypto, les actualités Bitcoin et les mises à jour blockchain.