Un contrat d'ICO fossilisé depuis 2016
Neuf ans. C'est le temps qu'il aura fallu pour que 1 003 ETH, soit près de 2 millions de dollars au cours actuel, sortent enfin du contrat HongCoin. Lancée en 2016 sur Ethereum, cette ICO prévoyait un remboursement automatique des investisseurs en cas d'échec de la levée. La levée a échoué. Le remboursement, lui, n'a jamais eu lieu : un bug a gelé les fonds dès le départ, condamnant le contrat à rester en suspens le temps que quelqu'un trouve la clé.
La faille en cause est un classique des premiers smart contracts Ethereum : un dépassement de capacité arithmétique, ou integer overflow. Ce type de vulnérabilité permet de faire déborder une variable entière pour la ramener à zéro, déclenchant ainsi une logique normalement inaccessible. Les contrats modernes s'en protègent via des bibliothèques comme SafeMath, standardisées après la vague d'exploits de 2017 et 2018. En 2016, ces garde-fous n'existaient pas encore.
Une récupération coordonnée, pas un hack
Le chercheur en sécurité Florent a identifié la sortie. Mais il ne l'a pas empruntée seul. La fonction de remboursement restait verrouillée derrière le multisig de l'équipe fondatrice, ce qui rendait toute action unilatérale impossible sans leur accord. Florent a donc contacté l'équipe, exposé la faille et obtenu leur coopération. Ce sont les membres de l'équipe eux-mêmes qui ont signé les transactions de déblocage.
Le résultat est net : aucun fonds n'a été détourné. Seuls les 48 investisseurs d'origine peuvent désormais réclamer leur part, proportionnellement à leur mise initiale. C'est exactement ce que le contrat aurait dû faire en 2016.
Cette affaire illustre un angle souvent négligé de la sécurité on-chain : les fonds ne sont pas toujours perdus parce qu'ils ont été volés, mais parce que personne n'a encore cherché sérieusement à les récupérer. Des milliers de contrats de la même époque dorment probablement dans des états similaires, avec des fonds dormants et des bugs jamais audités.
