Un chercheur libère 2 millions de dollars en ether bloqués depuis neuf ans dans un contrat ICO

Un ancien contrat ICO refait surface après une récupération technique inhabituelle. Le chercheur en sécurité 0xflorent a contribué au déblocage de près de 2 millions de dollars en ether restés immobilisés pendant neuf ans. Réalisée avec l’équipe de HongCoin, l’opération a permis à plusieurs investisseurs de récupérer leurs fonds sur un ancien contrat Ethereum affecté par un bug jamais corrigé.

0xflorent au cœur du déblocage de l’ether

Dans le cadre de cette opération, le chercheur en sécurité connu sous le pseudonyme 0xflorent a travaillé avec l’équipe de HongCoin pour récupérer des fonds restés bloqués depuis 2016. Le contrat ICO concerné devait automatiquement rembourser les investisseurs si la levée de fonds échouait. Toutefois, un bug a empêché le retour de l’ether à une partie des participants.

Après son analyse, 0xflorent a identifié une faille de dépassement d’entier dans une fonction d’administration du contrat. Cette faiblesse permettait de modifier un paramètre précis et d’autoriser ensuite le remboursement. Grâce à cette méthode, 1 003,62 ether ont pu être débloqués au profit de 48 investisseurs initiaux.

Deux détenteurs ont déjà récupéré 96,5 ether. De plus, quarante et une transactions distinctes ont été signées afin de libérer les fonds réellement bloqués.

Comment une faille a immobilisé les fonds pendant neuf ans

Le contrat de HongCoin reposait sur une logique de remboursement devenue défaillante avec le temps. En effet, les remboursements partiels effectués au fil des années avaient réduit un compteur global à 356. Cette situation empêchait de nouveaux remboursements au-delà de 3,56 ETH.

Par conséquent, même si l’ether était toujours présent dans le contrat, les investisseurs ne pouvaient plus y accéder. En examinant le code, 0xflorent a découvert qu’une fonction réservée à l’administration ne bénéficiait pas des protections intégrées plus tard au langage Solidity.

L’utilisation d’une valeur spécifique dans cette fonction réinitialisait le solde du détenteur à un. Cette modification rendait alors possible le traitement du remboursement et la récupération de l’ether bloqué depuis plusieurs années.

Une opération coordonnée sur Ethereum

Cette récupération n’a pas été réalisée de manière unilatérale. La fonction d’administration nécessitait l’autorisation du portefeuille multisignature de HongCoin. Pour cette raison, 0xflorent a contacté l’équipe du projet avant toute intervention.

Le chercheur a ensuite validé la procédure sur une version de test du réseau Ethereum. Après cette vérification, l’équipe a signé les transactions nécessaires au déverrouillage des fonds. Sept détenteurs supplémentaires disposaient de soldes suffisamment faibles pour être remboursés directement, sans utiliser cette méthode.

Cette opération constitue la deuxième récupération rendue publique par 0xflorent en huit jours. Quelques jours plus tôt, il avait indiqué avoir restitué 19 329 ether à leurs propriétaires d’origine. Cette nouvelle intervention intervient alors que l’écosystème Ethereum traverse une période marquée par une recrudescence des attaques visant les protocoles de finance décentralisée.

Cette récupération spectaculaire de fonds bloqués depuis près d’une décennie illustre à quel point les erreurs présentes dans les premiers contrats intelligents peuvent continuer à produire des effets longtemps après leur déploiement. Grâce au travail de 0xflorent et à la collaboration de l’équipe HongCoin, plusieurs investisseurs ont finalement pu récupérer leurs actifs. Cette opération rappelle également l’importance des audits de sécurité et de la maintenance des contrats sur Ethereum, alors que l’écosystème continue de gérer l’héritage de ses premières années. Dans ce contexte, le déblocage de plus de 1 000 ETH constitue un exemple rare de récupération réussie de fonds que beaucoup considéraient comme irrévocablement perdus.