Por Canuto Un investigador de seguridad ayudó a liberar ETH 1.003,62, equivalentes a unos USD $2 millones, que quedaron atrapados desde 2016 en el contrato de una ICO fallida de Ethereum.
***
- El rescate beneficia a 48 inversores originales de HongCoin, una venta de tokens de 2016 que no logró completar su objetivo de financiación.
- 0xflorent coordinó con el monedero multisig del proyecto y usó un fallo de desbordamiento de enteros en una función administrativa.
- La recuperación llega en medio de una ola de exploits DeFi que ha drenado cientos de millones de dólares de distintos protocolos.
Un investigador de seguridad conocido como 0xflorent ayudó a desbloquear cerca de 1.003,62 Ether (ETH), equivalentes a aproximadamente USD $2 millones, que permanecían atrapados desde hace nueve años en un contrato inteligente de Ethereum.
El caso involucra a HongCoin, una ICO de 2016 que no alcanzó su objetivo de financiación. El contrato debía devolver automáticamente el ether a los participantes, pero un error en la lógica de reembolso dejó una parte importante de los fondos fuera del alcance de los inversores.
Un contrato antiguo con fondos bloqueados desde 2016
Según informó CoinDesk, el contrato de HongCoin acumulaba un problema que se originó durante los primeros años de Ethereum, cuando muchas ventas de tokens usaban código experimental y estándares de seguridad todavía inmaduros. En ese contexto, una falla en la función de reembolso impidió que algunos participantes recuperaran su capital.
La venta fallida debía permitir a los compradores reclamar su Ether una vez que el proyecto no cumpliera su meta. Sin embargo, la función encargada de esos retiros rechazaba a cualquier titular cuyo saldo de tokens superara un contador global que se había reducido con el paso del tiempo.
Ese contador quedó en 356 después de años de reembolsos parciales. Como resultado, los nuevos retiros quedaban limitados a ETH 3,56, incluso cuando algunos usuarios tenían derecho a cantidades mayores.
La situación dejó bloqueados fondos para 48 inversores originales. Tras la intervención de 0xflorent, todos ellos quedaron habilitados para reclamar sus fondos, aunque al momento del reporte solo dos lo habían hecho.
Esos dos primeros reclamos sumaron ETH 96,5, con un valor aproximado de USD $193.000. La cifra confirma que el problema no era menor y que el contrato aún conservaba un saldo relevante casi una década después de la ICO.
La clave fue un desbordamiento de enteros
El investigador encontró un fallo de desbordamiento de enteros en una función administrativa del contrato. Este tipo de error ocurre cuando una operación matemática supera los límites esperados por el sistema y produce un resultado inesperado.
En los primeros años de Solidity, el lenguaje usado para programar contratos inteligentes en Ethereum, muchos contratos no contaban con protecciones que luego se volvieron estándar. HongCoin conservaba una función sin esas salvaguardas modernas.
0xflorent descubrió que, al llamar esa función con un valor de entrada específico, el contrato podía restablecer el saldo de tokens de un titular a uno. Ese cambio permitía superar la comprobación de reembolso que antes bloqueaba los retiros mayores.
El proceso no funcionó como un ataque unilateral. La función administrativa solo podía ejecutarla el monedero multisig de HongCoin, por lo que el investigador tuvo que contactar al equipo original y coordinar cada paso.
Antes de mover fondos reales, 0xflorent validó la secuencia de desbloqueo en una bifurcación de prueba de la red principal de Ethereum. Esa prueba redujo el riesgo operativo y permitió verificar que el método liberaría los fondos sin comprometer el contrato.
Luego, el equipo de HongCoin firmó 41 transacciones, una por cada titular bloqueado que necesitaba la solución alternativa. Otros siete titulares tenían saldos lo suficientemente pequeños para recibir reembolsos directos sin usar el procedimiento especial.
Un rescate hacker ético en tiempos de exploits DeFi
El caso destaca por su carácter whitehat o hackeo ético, es decir, una intervención de seguridad orientada a recuperar fondos y no a apropiarse de ellos. En lugar de drenar el contrato, el investigador coordinó con los responsables para habilitar a los inversores originales.
0xflorent describió el episodio como su primer exploit whitehat en Ethereum. En su comunicación pública, afirmó que desbloqueó ETH 1.003,62, equivalentes a USD $2 millones, atrapados durante nueve años en un contrato inteligente de una ICO de 2016.
Esta no fue su única recuperación reciente. El 24 de mayo, el investigador dijo que había devuelto ETH 19,329, valorados en unos USD $40.590, a sus propietarios originales.
Esa recuperación previa incluyó ETH 5,141 de una ICO fallida de enero de 2018 y ETH 14,190 procedentes de siete swaps atómicos vencidos. Esos fondos estaban en una cuenta de usuario de Liquality Wallet que quedó inaccesible después del cierre del monedero en 2024.
El nuevo rescate también llega en un momento sensible para la seguridad cripto. Durante abril, varios protocolos DeFi sufrieron ataques que drenaron cientos de millones de dólares, con un golpe de alrededor de USD $293 millones contra Kelp DAO como el caso más destacado citado en el reporte.
La diferencia central está en la intención y el manejo del hallazgo. Los mismos errores que pueden causar pérdidas masivas también pueden servir para reparar daños históricos cuando los investigadores actúan con coordinación, trazabilidad y consentimiento de los equipos involucrados.
Lecciones para usuarios y desarrolladores
El episodio de HongCoin muestra cómo los contratos inteligentes pueden conservar riesgos durante años. Un contrato desplegado en blockchain no desaparece por quedar obsoleto, y sus errores pueden seguir afectando a usuarios mucho después de que un proyecto pierda relevancia.
También expone la importancia de los controles administrativos. En este caso, la existencia de un multisig permitió que el equipo original participara en el desbloqueo, pero también exigió coordinación y confianza entre las partes.
Para los inversores, el caso deja una lección incómoda. Participar en ventas tempranas de tokens puede implicar riesgos técnicos difíciles de evaluar, especialmente cuando el código no recibe mantenimiento o auditorías posteriores.
Para los desarrolladores, el rescate confirma que las prácticas de seguridad evolucionan con rapidez. Protecciones que hoy parecen básicas, como los controles frente a desbordamientos matemáticos, no siempre existieron en contratos antiguos.
HongCoin no se convirtió en el proyecto que sus compradores esperaban en 2016. Aun así, una revisión técnica nueve años después permitió que 48 participantes recuperaran una vía para reclamar sus ETH.
El resultado ofrece una nota positiva en un sector acostumbrado a titulares sobre pérdidas, hackeos y exploits. Esta vez, un fallo de código no terminó en saqueo, sino en una segunda oportunidad para inversores que llevaban años esperando.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Blockchain
Cardano cancela su Summit 2026 tras rechazo comunitario a usar ADA de tesorería
Blockchain
Citi ve una ola de USD $5,5 billones en valores tokenizados para 2030
Blockchain
Gravity Bridge detiene operaciones tras hackeo de USD $5,4 millones
AltCoins