Un bug sous-estimé depuis 2016
En août 2016, l’ICO HongCoin lançait sa levée de fonds sur Ethereum, promettant un remboursement automatique aux investisseurs si l’objectif n’était pas atteint. Pourtant, un défaut dans le smart contract a empêché ce mécanisme de fonctionner correctement, laissant près de 1 003 ETH – soit environ 2 millions de dollars au cours actuel – bloqués pendant près de neuf ans. La fonction censée rembourser les participants s’est révélée défaillante : elle rejetait les détenteurs dont le solde dépassait un certain seuil, limitant ainsi les remboursements à seulement 3,56 ETH par investisseur.
Ce bug technique a condamné la majorité des fonds à l’immobilisme, malgré la promesse initiale d’un remboursement automatique et équitable.
Le rôle clé de 0xflorent
C’est un chercheur en sécurité connu sous le pseudonyme “0xflorent” qui a permis de débloquer la situation. En collaborant directement avec l’équipe HongCoin, il a identifié une vulnérabilité inattendue : une faille d’overflow d’entier logée dans une fonction administrative du contrat. Cette fonction n’était accessible qu’au travers du portefeuille multisig officiel du projet, ce qui a nécessité la coopération active des développeurs d’origine.
Sans cette intervention coordonnée, les fonds seraient restés inaccessibles indéfiniment.
La récupération n’a pas été instantanée : chaque investisseur bloqué nécessitait une transaction spécifique signée par l’équipe HongCoin. Au total, 41 signatures distinctes ont été requises pour permettre aux investisseurs concernés de réclamer leur dû.
Les remboursements enfin débloqués
Grâce à cette opération technique, deux investisseurs ont déjà récupéré ensemble 96,5 ETH – soit près de 200 000 dollars selon le prix actuel du marché. D’après theblock.co, cela représente une première étape concrète pour les victimes du bug. Au total, quarante-huit investisseurs sont désormais éligibles au remboursement complet ou partiel de leur participation initiale dans HongCoin.
Sept autres investisseurs pouvaient être remboursés directement sans manipulation supplémentaire du contrat, tandis que la majorité dépendait de la séquence complexe orchestrée par 0xflorent et l’équipe HongCoin. Pour certains participants dont le solde était inférieur au seuil problématique, la procédure s’est avérée plus simple ; pour les autres, chaque signature était indispensable.
L’opération intervient où la sécurité des fonds sur Ethereum reste fragile : en avril dernier, Kelp DAO a subi une perte estimée à 293 millions de dollars lors d’un exploit DeFi. Ce genre d’incident rappelle que même les contrats anciens peuvent receler des risques ou des opportunités insoupçonnées.
Le token ETH a vu son prix fluctuer fortement ces derniers mois, renforçant l’enjeu financier autour des fonds récupérés.
Voir Aussi
Le whitehat déjà familier du procédé
L’intervention sur HongCoin n’est pas isolée pour 0xflorent. Le 24 mai dernier, il avait déjà permis la restitution de plus de 19 ETH (environ 40 600 dollars) à leurs propriétaires initiaux. Cette opération précédente portait notamment sur une ICO échouée datant de janvier 2018 et sur des swaps atomiques expirés retrouvés dans un portefeuille Liquality Wallet. Sa méthode repose systématiquement sur l’identification précise des failles techniques exploitables en “whitehat”, c’est-à-dire dans l’intérêt des utilisateurs lésés et avec le consentement des parties prenantes.
La répétition rapide de ces interventions – deux en huit jours – souligne à la fois l’existence persistante de bugs dormants dans les contrats historiques et la capacité d’acteurs spécialisés à y remédier lorsque les conditions techniques et humaines sont réunies.
Pourquoi ça compte
La récupération orchestrée par 0xflorent démontre que même après presque une décennie, il est possible d’obtenir réparation sur Ethereum si expertise technique et collaboration sont au rendez-vous.
Ce qui peut encore évoluer
Sur les 1 003,62 ETH débloqués, seuls deux investisseurs ont récupéré au total 96,5 ETH à ce jour ; la rapidité avec laquelle les 46 autres investisseurs initiaux réclameront leurs fonds reste incertaine et dépendra de leur action individuelle suite à la communication de l’équipe HongCoin.