Puntos clave:
Un investigador de seguridad seudónimo recuperó aproximadamente 1.003 Ether, valorados en cerca de $2 millones, de un contrato inteligente ICO de Hong Coin de 2016, donde un error en la función de reembolso había atrapado los fondos de los inversores durante casi una década.
"El contrato contenía todo el ETH de los inversores y se suponía que debía reembolsarlos automáticamente. Sin embargo, un error en la función de reembolso rompió silenciosamente eso, y los fondos quedaron atrapados", dijo 0xflorent, el hacker ético que ejecutó la recuperación, en una publicación en X el domingo.
La ICO de Hong Coin se realizó del 29 de agosto al 28 de octubre de 2016, ofreciendo 250 millones de tokens HONG en cinco etapas como parte de un fondo de capital de riesgo impulsado por la comunidad y gobernado por una organización autónoma descentralizada. Cuando el proyecto no logró alcanzar su objetivo de recaudación de fondos, el contrato inteligente fue diseñado para devolver automáticamente las contribuciones a 48 inversores. Una falla en el mecanismo de reembolso — una vulnerabilidad de desbordamiento de enteros en una función de administración — impidió que esos reembolsos se procesaran, dejando el Ether congelado en la cadena.
La recuperación requirió colaboración con el equipo original de Hong Coin. 0xflorent identificó que una función de administración con un error de desbordamiento de enteros podía restablecer los saldos de los titulares de tokens cuando se invocaba con un valor de entrada específico, desbloqueando la verificación de reembolso. Debido a que la función requería autorización de la billetera multifirma del equipo, 0xflorent contactó a los desarrolladores, validó la corrección en una red de prueba, y el equipo aprobó 41 transacciones — una por cada inversor afectado cuyo saldo necesitaba ajuste. Siete inversores tenían montos suficientemente pequeños para recibir reembolsos directos sin la solución alternativa.
Los datos en cadena de Etherscan confirman que los reembolsos han comenzado a llegar a los inversores. Un participante recibió 96 ETH, por valor de aproximadamente $192,500 a los precios actuales, mientras que a otro se le reembolsaron 0.5 ETH. Ambos compensaron voluntariamente a 0xflorent con recompensas de hacker ético, aunque no se requería ningún pago. "No hubo tarifas, ni comisiones, ni cortes", dijo 0xflorent.
La recuperación de Hong Coin no es un caso aislado. El 24 de mayo, 0xflorent informó haber recuperado 19.33 ETH de dos contratos heredados separados — una ICO fallida de enero de 2018 y un usuario de Liquality Wallet cuyos fondos quedaron atrapados en un intercambio atómico entre cadenas caducado. El investigador dijo que implementó su propio nodo de Ethereum y construyó una herramienta de escaneo para identificar contratos que contenían más de 100 ETH, luego revisó sistemáticamente los candidatos en busca de debilidades explotables. Utilizó Claude Code para ayudar a ordenar y categorizar contratos, aunque señaló que la plataforma de IA tiene limitaciones al analizar directamente fallos de seguridad en contratos inteligentes.
El episodio resalta el riesgo latente incrustado en los contratos inteligentes de la era ICO, muchos de los cuales fueron construidos con versiones obsoletas de Solidity que carecían de salvaguardas como SafeMath contra vulnerabilidades de desbordamiento de enteros. Si bien los registros de blockchain son permanentes, el acceso a los activos bloqueados puede seguir siendo imposible sin identificar y explotar fallas a nivel de código. El caso también demuestra un modelo de remediación responsable: la intervención de hackers éticos coordinada con los desarrolladores originales, en lugar de la explotación hostil, puede desbloquear valor atrapado sin desestabilizar el ecosistema en general.
Para la industria de las criptomonedas, la recuperación de Hong Coin plantea preguntas prácticas sobre cuántos contratos inactivos similares aún contienen fondos atrapados y qué estándares deberían regir las recuperaciones retroactivas. 0xflorent expresó su esperanza de que más investigadores de seguridad sigan este camino. "Es más gratificante moralmente, y también puede pagar bien", dijo.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.
