Whitehat-hacker haalt 1.003 ETH uit oud Ethereum-ICO-contract uit 2016

Een whitehat-hacker heeft samen met het HongCoin-team ongeveer 1.003,62 ETH vrijgemaakt uit een Ethereum-ICO-contract uit 2016. Volgens CoinDesk zat de ether negen jaar vast door een fout in het refundmechanisme, waardoor 48 oorspronkelijke investeerders hun geld nu alsnog kunnen terugvragen.

Het gaat niet om een nieuwe exploit waarbij een aanvaller geld wegneemt. Het gaat om een gecoördineerde recovery. De onderzoeker, bekend als 0xflorent, werkte volgens CoinDesk samen met de multisig-beheerders van HongCoin om het vastgelopen contract gecontroleerd te gebruiken.

Dat maakt de zaak bijzonder. Een oude programmeerfout blokkeerde jarenlang refunds, maar werd nu juist gebruikt om het terugbetalingsproces alsnog open te krijgen.

HongCoin was een ICO-project uit 2016 dat zichzelf op GitHub omschreef als een “decentralized venture fund”. Volgens CoinDesk haalde de ICO haar doel niet, waarna investeerders automatisch terugbetaald hadden moeten worden. Door een fout in de refundlogica gebeurde dat niet.

De ether bleef daardoor in het contract zitten. Het ging om ongeveer 1.003 ETH, destijds veel minder waard dan nu. Door de stijging van ETH vertegenwoordigde de vastgelopen positie op 1 juni 2026 ongeveer $2 miljoen.

Ook andere marktmedia bevestigden de hoofdlijn. KuCoin News beschreef de zaak als een recovery van ongeveer 1.003 ETH uit het HongCoin-contract, nadat een flaw in het refundmechanisme investeerders jarenlang had geblokkeerd.

De zaak laat zien hoe lang smart-contractfouten kunnen doorwerken. Een mislukte ICO uit 2016 kan in 2026 nog steeds echte claims, echte waarde en echte technische risico’s bevatten.

Volgens berichtgeving vond 0xflorent een integer-overflow-kwetsbaarheid in een adminfunctie van het contract. Door die fout kon een tokenbalans zo worden aangepast dat de vastgelopen refund-check alsnog werd gepasseerd.

Dat klinkt als een exploit, maar de context is anders. De betreffende adminfunctie kon volgens CoinDesk alleen door de HongCoin-multisig worden uitgevoerd. 0xflorent kon het geld dus niet zelfstandig vrijmaken. De methode werkte alleen omdat de oorspronkelijke beheerders meewerkten.

Volgens de publieke X-posts van 0xflorent ging het om het HongCoin ICO-contract op adres 0x9fa8fa61a10ff892e4ebceb7f4e0fc684c2ce0a9. De onderzoeker stelde dat de 1.003 ETH sinds 2016 vastzat door een bug in de refundlogica.

Dat onderscheid is belangrijk voor lezers. Dit was geen vrijbrief om oude contracten aan te vallen. Het was een whitehat-proces met toestemming van de partij die de noodzakelijke multisig-controle had.

CoinDesk schrijft dat 48 oorspronkelijke investeerders nu hun ETH kunnen terugvragen. Voor adressen die door de bug waren geblokkeerd, werden 41 transacties gebruikt. Zeven kleinere houders konden zonder die omweg worden terugbetaald.

Volgens dezelfde reconstructie had 0xflorent het team eerst benaderd, de methode getest op een fork van Ethereum mainnet en daarna het team de transacties zelf laten ondertekenen. Dat maakt de recovery technisch interessant, maar ook governancegevoelig.

CryptoBriefing vatte het incident eveneens samen als een whitehat-recovery uit een 2016-ICO-contract, waarbij 48 investeerders betrokken waren. Ook daar wordt de integer-overflow genoemd als technische sleutel tot het vrijmaken van de vastgelopen ETH.

De eerste terugbetalingen lijken al te zijn begonnen. CoinDesk meldde dat op basis van de X-thread van de onderzoeker al twee investeerders samen 96,5 ETH hadden teruggekregen.

De bredere les gaat verder dan HongCoin. Veel oude ICO-contracten uit 2016 en 2017 zijn nooit ontworpen voor een markt waarin hun vastgelopen ETH jaren later miljoenen waard kan zijn.

Dat maakt legacy-contracten een aparte risicocategorie. Ze zijn vaak geschreven vóór moderne auditstandaarden, vóór brede tooling en vóór bekende beveiligingspatronen zoals SafeMath standaard werden gebruikt.

Integer-overflows waren in vroege Solidity-code een bekend probleem. In nieuwe contracten zijn zulke fouten beter te voorkomen, maar oude code blijft op Ethereum bestaan zolang het contract en de assets bestaan.

Deze recovery laat dus twee kanten van oude bugs zien. Ze kunnen waarde blokkeren, maar in uitzonderlijke gevallen ook een route bieden om vastgelopen waarde met toestemming van betrokken partijen terug te halen.

CoinDesk merkt op dat dit al de tweede recovery van 0xflorent in acht dagen was. Andere berichtgeving wijst erop dat de onderzoeker kort daarvoor ook kleinere vastgelopen ETH-posities uit oude projecten hielp terughalen.

Dat past bij een nieuwe niche binnen crypto-security. Niet elke securitycase draait om nieuwe hacks of actieve exploits. Soms gaat het om het reconstrueren van oude contractlogica, oude adminrechten, vergeten multisigs en claimmechanismen die nooit goed werkten.

Voor projecten is de les duidelijk. Oude contracten verdienen inventarisatie, zeker wanneer er nog waarde in zit. Voor gebruikers geldt hetzelfde: oude wallets, oude ICO-claims en vergeten contractinteracties kunnen nog steeds relevant zijn.

De HongCoin-recovery is daarom geen nostalgisch ICO-verhaal. Het is een reminder dat blockchain geen archief zonder gevolgen is. Code uit 2016 kan in 2026 nog steeds geld blokkeren, risico creëren of, met zorgvuldige whitehat-coördinatie, waarde terugbrengen naar de oorspronkelijke deelnemers.