Desbloquean USD 2 millones de un contrato de Ethereum atrapados nueve años

Unos 1.000 ether (ETH), valuados actualmente en USD 2 millones que estaban atrapadas desde 2016 en el contrato inteligente del ICO fallido del proyecto HongCoin, fueron desbloqueados por el investigador y desarrollador on chain conocido como 0xflorent, según publicó él mismo en X este 31 de mayo. Los 48 inversores originales del proyecto pueden ahora reclamar sus fondos por primera vez en nueve años.

HongCoin fue un proyecto de financiamiento lanzado en 2016 mediante una ICO (una oferta inicial de monedas, el mecanismo por el que un proyecto vende tokens propios a inversores a cambio de criptomonedas antes de lanzar su producto). El proyecto no alcanzó su objetivo de recaudación, por lo que el contrato debía devolver automáticamente el ETH depositado.

Un bug en la función de reembolso impidió que eso ocurriera: el contrato rechazaba cualquier retiro cuyo monto superara un contador interno que años de reembolsos parciales habían reducido a 356, lo que limitaba cada devolución a un máximo de 3,56 ETH. Los fondos restantes quedaron inmovilizados.

¿Cómo salieron los fondos después de nueve años?

0xflorent encontró la salida en una función administrativa del contrato que tenía un defecto de programación conocido como desbordamiento de enteros (una falla en la que una operación matemática supera el valor máximo que una variable puede almacenar, produciendo un resultado inesperado que puede usarse para alterar la lógica del contrato). Llamar a esa función con un valor específico reiniciaba el balance de tokens de un titular a uno, lo que le permitía pasar el control de reembolso y retirar sus fondos.

La recuperación no fue unilateral. La función administrativa solo podía ejecutarse con la firma de la wallet multifirma de HongCoin, una wallet que requiere la aprobación simultánea de múltiples partes para mover fondos, usada por el equipo del proyecto para administrar el contrato.

0xflorent contactó al equipo por correo electrónico, validó el proceso en una bifurcación de prueba de Ethereum (una copia del estado de la red usada para simular transacciones sin consecuencias reales, que permite verificar que todo funciona antes de ejecutarlo) y fue el propio equipo quien firmó las 41 transacciones de desbloqueo, una por cada titular bloqueado. Otros siete inversores, con balances suficientemente pequeños, pudieron retirar directamente sin necesitar el proceso.

El contrato sigue activo y con fondos

Los datos del explorador de bloques Etherscan compartidos por oxflorent, muestran que el contrato de HongCoin, creado hace 9 años y 276 días, retiene todavía unos 882 ETH (equivalentes a USD 1,75 millones).

Al momento de este artículo, y según detalló oxflorent en X, dos titulares retiraron un total de 96,5 ETH, cerca de USD 193.000. Los 46 restantes aún no lo han hecho. En ese sentido, los 882 ETH que permanecen en el contrato indican que la mayoría de los inversores todavía no reclamó: el desbloqueo abrió la posibilidad de recuperar los fondos, pero no garantiza que todos lo hagan.

0xflorent describió la operación como el «primer exploit de sombrero en Ethereum». Es además la segunda recuperación de este tipo que publicita en ocho días: el 24 de mayo informó haber devuelto 19.329 ETH a sus dueños originales desde un ICO fallido de 2018 y desde cuentas de Liquality Wallet, una wallet que dejó de operar en 2024 dejando fondos inaccesibles.

El caso ilustra una tensión inherente a los contratos inteligentes, ya que su inmutabilidad, la propiedad que impide modificarlos una vez desplegados, es también la razón por la que un bug puede bloquear fondos indefinidamente. Que esos fondos puedan recuperarse depende, en la mayoría de los casos, de que alguien con la idoneidad necesaria decida buscar la salida y de que el equipo original todavía exista para firmarla.