Aller au contenu principal
1 003 ETH gelés depuis 2016 : comment un chercheur a débloqué une ICO fantôme

1 003 ETH gelés depuis 2016 : comment un chercheur a débloqué une ICO fantôme

Publié par le 2 min de lecture1 894 vues11 likes
Partager
Ajoutez-nous à vos favoris

Un contrat d'ICO fossilisé depuis 2016

Neuf ans. C'est le temps qu'il aura fallu pour que 1 003 ETH, soit près de 2 millions de dollars au cours actuel, sortent enfin du contrat HongCoin. Lancée en 2016 sur Ethereum, cette ICO prévoyait un remboursement automatique des investisseurs en cas d'échec de la levée. La levée a échoué. Le remboursement, lui, n'a jamais eu lieu : un bug a gelé les fonds dès le départ, condamnant le contrat à rester en suspens le temps que quelqu'un trouve la clé.

La faille en cause est un classique des premiers smart contracts Ethereum : un dépassement de capacité arithmétique, ou integer overflow. Ce type de vulnérabilité permet de faire déborder une variable entière pour la ramener à zéro, déclenchant ainsi une logique normalement inaccessible. Les contrats modernes s'en protègent via des bibliothèques comme SafeMath, standardisées après la vague d'exploits de 2017 et 2018. En 2016, ces garde-fous n'existaient pas encore.

Une récupération coordonnée, pas un hack

Le chercheur en sécurité Florent a identifié la sortie. Mais il ne l'a pas empruntée seul. La fonction de remboursement restait verrouillée derrière le multisig de l'équipe fondatrice, ce qui rendait toute action unilatérale impossible sans leur accord. Florent a donc contacté l'équipe, exposé la faille et obtenu leur coopération. Ce sont les membres de l'équipe eux-mêmes qui ont signé les transactions de déblocage.

Le résultat est net : aucun fonds n'a été détourné. Seuls les 48 investisseurs d'origine peuvent désormais réclamer leur part, proportionnellement à leur mise initiale. C'est exactement ce que le contrat aurait dû faire en 2016.

Cette affaire illustre un angle souvent négligé de la sécurité on-chain : les fonds ne sont pas toujours perdus parce qu'ils ont été volés, mais parce que personne n'a encore cherché sérieusement à les récupérer. Des milliers de contrats de la même époque dorment probablement dans des états similaires, avec des fonds dormants et des bugs jamais audités.

Actifs corrélés

Suivez le cours et nos analyses pour chaque actif lié.

Actifs impactés

Marchés de prédiction

Données via Hyperview

À lire ensuite