Un développeur surnommé Florent a réussi à libérer environ 1 003 ETH, soit près de 2 millions de dollars, bloqués depuis 2016 dans le contrat intelligent de l’ICO HongCoin, selon The Block. Ces fonds auraient dû être automatiquement remboursés aux investisseurs après l’échec de la levée de fonds. Une erreur de code en a décidé autrement, pendant neuf ans.
En bref
Le problème remonte à une ICO lancée en 2016. HongCoin n’ayant pas atteint son objectif de financement, le contrat prévoyait un remboursement automatique des participants. Mais une faille dans le code Solidity de l’époque a gelé les ETH. Les investisseurs n’ont jamais pu récupérer leur mise. Le contrat a dormi, immuable, sur la blockchain Ethereum pendant neuf ans, accumulant passivement de la valeur au fil de la hausse du cours.
Quelle faille a permis de bloquer les fonds aussi longtemps ?
Le contrat HongCoin avait été rédigé en Solidity dans une version ancienne du langage, antérieure aux protections contre les dépassements arithmétiques (integer overflow). Cette absence de garde-fou est précisément ce que Florent a exploité de façon éthique. En appelant une fonction administrative réservée à l’équipe et en y injectant une valeur numérique spécifique, il a pu réinitialiser à 1 le solde de chaque détenteur. Ce solde minimal passait ensuite les vérifications du mécanisme de remboursement, autorisant la libération des ETH. C’est exactement le type de faille critique dans des contrats anciens que la communauté Ethereum redoute depuis ses premières années.
La fonction ciblée était protégée par l’adresse multisig de l’équipe HongCoin. Florent n’a donc pas agi seul. Il a contacté l’équipe originale, expliqué la procédure, testé l’ensemble sur un réseau de test, puis l’équipe a elle-même signé la transaction de déblocage. Aucune action non autorisée n’a eu lieu.
Comment les investisseurs récupèrent-ils leurs ETH ?
Le déblocage ne signifie pas que les fonds sont automatiquement reversés. Les 48 investisseurs éligibles doivent réclamer leurs ETH manuellement. Selon The Block, 2 d’entre eux ont déjà effectué cette démarche, récupérant ensemble 96,5 ETH, soit près de 200 000 dollars aux prix actuels. Les 46 autres doivent encore agir.
Ce mécanisme de réclamation volontaire pose une question pratique : neuf ans après une ICO ratée, combien de participants ont conservé accès à leurs wallets d’époque ? Certains ont peut-être perdu leurs clés privées, d’autres ont simplement oublié avoir participé. Une partie des 1 003 ETH pourrait donc rester indéfiniment non réclamée, dans un contrat désormais déverrouillé mais toujours présent sur la chaîne. Ce scénario n’est pas sans rappeler le fiasco des 34 M$ bloqués à tout jamais dans un smart contract révélé il y a quelques années.
Pourquoi cet exploit white-hat est-il significatif pour l’écosystème DeFi ?
L’affaire HongCoin illustre deux réalités simultanées de l’écosystème. D’un côté, l’immuabilité d’Ethereum garantit que des fonds peuvent rester techniquement récupérables des années après un incident, si quelqu’un prend la peine de chercher. De l’autre, cette même immuabilité transforme chaque bug en contrainte permanente, à moins qu’une porte de sortie n’ait été prévue par les développeurs.
La DeFi traverse régulièrement ce type de tension entre innovation rapide et robustesse du code. Les ICO de 2016-2018 ont été rédigées à une époque où les bonnes pratiques Solidity n’existaient pas encore. L’absence de librairies comme OpenZeppelin SafeMath, aujourd’hui standard, a laissé des milliers de contrats vulnérables aux manipulations arithmétiques. L’exploit de Florent en est une démonstration pédagogique : une erreur de 2016 restait exploitable en 2025.
Pour les équipes qui gèrent encore des contrats anciens, le message est clair. Des vulnérabilités similaires ont déjà été identifiées dans d’autres infrastructures bien après leur déploiement. Un audit régulier du code legacy et la migration vers des standards modernes restent la seule protection durable. Le hack BitMart de 200 M$ ou l’affaire Levyathan rappellent ce qu’il en coûte de ne pas auditer.
À retenir
Un contrat ICO de 2016 abritait 2 M$ en ETH inaccessibles depuis neuf ans. Un développeur white-hat a trouvé la sortie, avec l’accord de l’équipe originale. Deux investisseurs sur 48 ont déjà récupéré leur mise. L’histoire n’est pas terminée : surveiller si les 46 restants agissent avant que la fenêtre ne se referme dans l’indifférence.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash