Rescue Mission débloque un cache Ethereum vieux de sept ans d'une valeur de 2 millions de dollars

Table des matières Un expert en cybersécurité a réussi à libérer environ 1 003 Ether d'une valeur d'environ 2 millions de dollars qui sont restés piégés dans un contrat intelligent ICO 2016 pendant près de dix ans. La crypto-monnaie appartenait aux participants de HongCoin, une offre de jetons basée sur Ethereum commercialisée comme un véhicule d'investissement communautaire. L'ICO a fonctionné du 29 août au 28 octobre 2016, mais n'a finalement pas atteint son objectif de collecte de fonds. Suite à l’échec de la vente, le contrat intelligent aurait dû automatiquement restituer les fonds aux investisseurs. Cependant, une erreur de codage dans le mécanisme de remboursement a empêché que cela se produise. Premier exploit de chapeau blanc sur Ethereum : j'ai débloqué 1 003,62 Ξ (2 000 000 $) piégés dans un contrat intelligent ICO 2016 pendant 9 ans. Les 48 investisseurs initiaux peuvent désormais réclamer leurs fonds. pic.twitter.com/lyh5iyaDu7 — 0xflorent.eth (@0xFlorent_) 31 mai 2026 Le professionnel de la cybersécurité, identifié en ligne sous le nom de « 0xflorent » ou Florent, a détaillé le problème technique dans une publication sur les réseaux sociaux sur X. Le mécanisme de remboursement refuserait tout détenteur de jeton dont le solde dépassait une variable de suivi globale. Au fil des années de retraits partiels, ce compteur est tombé à 356, limitant ainsi le total des remboursements à seulement 3,56 ETH, soit nettement moins que ce à quoi la plupart des participants avaient droit. Le contrat a été développé à l’aide d’une version obsolète de Solidity, le langage de codage des contrats intelligents Ethereum. Il manquait des garanties contre les vulnérabilités de dépassement d’entier – un défaut dans lequel les valeurs numériques augmentent au-delà de leur limite maximale et sont réinitialisées à zéro ou un. L’industrie de la blockchain a ensuite corrigé cette faiblesse grâce à SafeMath, une bibliothèque de protection. Florent a découvert une solution en utilisant la fonction administrative de l'équipe HongCoin. L'exécuter avec une valeur d'entrée particulière réinitialise le solde de jetons d'un participant à un, permettant ainsi à la vérification du remboursement de réussir et de libérer l'ETH. Ce n’était pas un exploit indépendant. La fonction administrative nécessitait l’autorisation du portefeuille multisignature de l’équipe HongCoin, ce qui nécessitait l’approbation de l’équipe pour chaque transaction. Florent a contacté l'équipe par email, validé la solution sur un réseau test, et l'équipe a ensuite approuvé 41 transactions, une pour chaque investisseur concerné. L’ensemble de l’opération a nécessité environ une semaine. Parmi les 48 investisseurs qualifiés, 41 ont nécessité l'ajustement du solde. Les sept autres détenaient des sommes suffisamment faibles pour recevoir des remboursements directs. Deux participants ont déjà retiré un total de 96,5 ETH, d'une valeur d'environ 193 000 $. Tous deux ont volontairement indemnisé Florent avec des récompenses en forme de chapeau blanc, même si aucun paiement n'était obligatoire. "Il n'y a eu aucun frais, aucune réduction, aucune commission", a déclaré Florent à The Block. Ce n’est pas la première opération de récupération de Florent. Le 24 mai, il a documenté la libération de 19,33 Ethereum de deux anciens contrats différents : une ICO 2018 défunte et un compte Liquality Wallet dont les actifs étaient bloqués dans des swaps atomiques expirés. Florent a expliqué qu'il a récemment déployé son propre nœud Ethereum et développé un outil d'analyse pour identifier les contrats détenant plus de 100 ETH. Il a ensuite systématiquement examiné les candidats à la recherche de faiblesses exploitables. Il a également utilisé Claude Code pour faciliter le tri et la catégorisation des contrats, bien qu'il ait reconnu que la plate-forme d'IA présente des limites lors de l'analyse directe des failles de sécurité des contrats intelligents. Florent a exprimé son espoir de voir davantage de personnes travailler à sauvegarder les fonds plutôt qu'à les exploiter. « C’est plus gratifiant moralement, et cela peut aussi être très payant », a-t-il fait remarquer.