Nove anni sono un tempo molto lungo per aspettare un rimborso. Ma per 48 investitori che inviarono ETH all’ICO di HongCoin del 2016, quell’attesa è finalmente finita grazie a uno sforzo di recupero whitehat Ethereum ICO 2016 che ha estratto più di 1.000 ETH, per un valore di circa 2 milioni di dollari, da uno smart contract che stava funzionando in modo silenziosamente errato fin dai primi giorni delle crypto.
Lo sviluppatore che ha realizzato la correzione si fa chiamare 0xFlorent_ sui social. In un post condiviso domenica, ha spiegato che il contratto dell’ICO di HongCoin era stato costruito per restituire i fondi agli investitori se il progetto non avesse raggiunto il suo obiettivo di raccolta. L’obiettivo non è stato raggiunto. Tuttavia, un bug nella funzione di rimborso ha fatto sì che nessun denaro tornasse indietro. Gli ETH sono semplicemente rimasti lì, congelati, mentre il progetto svaniva dalla memoria.
Ciò che rende la storia degna di nota non è solo l’ammontare in dollari. È anche un promemoria del fatto che errori scritti nel codice nove anni fa possono ancora influenzare gli esiti di oggi. In pratica, il caso HongCoin mostra come un vecchio bug di smart contract con rimborso bloccato possa persistere per anni prima che qualcuno trovi una soluzione praticabile.
Come un bug ha bloccato i rimborsi in ETH per nove anni
Quando le ICO hanno preso piede nei primi anni di Ethereum, la meccanica era relativamente semplice. Gli investitori inviavano ETH a uno smart contract in cambio di token legati a un progetto che spesso non era ancora stato lanciato. Se il progetto non riusciva a raccogliere fondi a sufficienza, il contratto avrebbe dovuto restituire gli ETH.
Il contratto di HongCoin aveva questo meccanismo integrato. Il problema era che la funzione di rimborso si basava su un numero errato per determinare quali investitori fossero idonei a riavere i propri soldi. Poiché gli smart contract eseguono esattamente ciò che è scritto — né più né meno — quel numero sbagliato ha fatto sì che la funzione non identificasse mai correttamente chi potesse richiedere un rimborso. Nessuno ha ricevuto i propri ETH, e nessuno poteva riceverli.
Questo tipo di bug non è evidente dall’esterno. Il contratto ha continuato a girare sulla blockchain di Ethereum molto tempo dopo che HongCoin aveva smesso di avere importanza. Non è apparso alcun messaggio di errore. Non è stato attivato alcun avviso. Invece, più di 1.000 ETH sono rimasti silenziosamente fermi, senza andare da nessuna parte.
Un workaround sblocca i fondi in 48 wallet di investitori
0xFlorent_ ha individuato che la logica difettosa del contratto poteva essere risolta tramite uno specifico workaround che permetteva al vecchio contratto di riconoscere correttamente ciascun investitore bloccato e rilasciare i relativi rimborsi. Dopo aver costruito e testato questa correzione, il team di HongCoin è intervenuto ed ha eseguito 41 diverse transazioni di sblocco, liberando infine i fondi per tutti i 48 investitori coinvolti. I record on-chain su Etherscan sono stati forniti come prova verificabile del recupero.
La portata è modesta in termini di dollari secondo gli standard del 2026. Tuttavia, il processo in sé è importante. Ha richiesto di identificare un contratto dormiente, effettuare il reverse engineering per capire perché la sua logica di rimborso non funzionasse, costruire un percorso corretto che operasse entro i vincoli del contratto originale e coordinarsi con il team superstite del progetto per eseguire le transazioni.
Quella combinazione di precisione tecnica ed esecuzione cooperativa è esattamente ciò che rende così rari i recuperi whitehat come questo.
Perché il recupero di ETH di HongCoin è così insolito
Andy Yajin Zhou, professore associato alla Chinese University of Hong Kong e co-fondatore della società di sicurezza on-chain BlockSec, è stato diretto sui limiti di ciò che mostra questo recupero. Il caso HongCoin ha funzionato perché il contratto conteneva per caso una vulnerabilità che uno sviluppatore esperto poteva sfruttare in modo sicuro e reindirizzare verso la restituzione dei fondi, anziché il loro furto.
“Purtroppo, non possiamo presumere che i vecchi contratti Ethereum abbiano generalmente tali difetti”, ha detto Zhou. I fondi bloccati in molti vecchi contratti restano inaccessibili per ragioni del tutto diverse: chiavi private perse, logica del contratto che non offre alcun percorso sfruttabile, o codice così irreversibile che non esiste alcun workaround a nessun livello tecnico.
Non esiste nemmeno una stima affidabile di quanti ETH siano permanentemente intrappolati nei vecchi contratti. Il numero potrebbe essere consistente, ma gran parte di essi potrebbe essere semplicemente persa, piuttosto che recuperabile con qualsiasi mezzo.
- Deve esistere un bug nel contratto che sia sfruttabile senza drenare i fondi in modo malevolo.
- Il team originale del progetto deve essere ancora rintracciabile e disposto ad agire.
- Il contratto deve ancora offrire un punto di ingresso tecnico per l’intervento.
Se viene meno anche solo una di queste condizioni, i fondi restano congelati. Ecco perché Dominick John, analista di Zeus Research, ha inquadrato il caso HongCoin come prova che alcuni asset dati per persi “potrebbero non essere irraggiungibili” — pur fermandosi ben prima dal suggerire che successi simili siano dietro ogni angolo.
Cosa significa il recupero per la sicurezza DeFi nel 2026
Il tempismo di questo recupero si inserisce in uno sfondo cupo per la sicurezza della finanza decentralizzata. Oltre 840 milioni di dollari sono stati persi in attacchi ai protocolli DeFi solo nei primi cinque mesi del 2026, con il solo aprile che rappresenta oltre 600 milioni di dollari in fondi rubati. In questo contesto, una storia di fondi recuperati — invece che rubati — sembra quasi fuori posto.
Ciononostante, esiste una differenza importante tra due problemi molto diversi. I fondi congelati a causa di bug nei contratti rappresentano un errore di progettazione incorporato nel vecchio codice. I fondi rubati tramite exploit DeFi moderni rappresentano vulnerabilità attive e in corso in protocolli vivi. Entrambi puntano alla stessa sfida di fondo: gli smart contract sono inflessibili, e gli errori tendono a moltiplicarsi nel tempo.
Ciò che il recupero di HongCoin suggerisce, come ha osservato John, è che una migliore ricerca sulla sicurezza e strumenti blockchain più sofisticati potrebbero alla fine far emergere più valore dormiente da vecchi sistemi on-chain. Alcuni contratti che sembrano vicoli ciechi potrebbero non esserlo. Alcuni ETH dati per persi anni fa potrebbero essere ancora recuperabili alle giuste condizioni.
Si tratta di un ottimismo limitato, fondato su un insieme molto specifico di circostanze, ma è reale. E per 48 investitori che da tempo avevano smesso di aspettarsi qualcosa da un progetto crypto del 2016, si è rivelato valere circa 2 milioni di dollari.
FAQ
Come ha fatto il whitehat Ethereum a recuperare gli ETH bloccati?
0xFlorent_ ha individuato che la funzione di rimborso di HongCoin si basava su un numero errato per determinare l’idoneità degli investitori. Ha costruito un workaround che ha permesso al contratto di riconoscere correttamente gli investitori bloccati, dopo di che il team di HongCoin ha eseguito 41 transazioni di sblocco per rilasciare i fondi.
Perché i rimborsi in ETH sono stati bloccati per così tanto tempo?
Un bug nello smart contract dell’ICO di HongCoin del 2016 ha rotto il meccanismo di rimborso che avrebbe dovuto restituire gli ETH agli investitori dopo che il progetto non aveva raggiunto il suo obiettivo di raccolta fondi. Poiché gli smart contract eseguono esattamente ciò che è codificato, la logica difettosa ha impedito l’elaborazione di qualsiasi rimborso per nove anni.
Quanti investitori hanno beneficiato del recupero?
Il recupero ha riguardato 48 investitori, con 41 transazioni di sblocco eseguite dal team di HongCoin per restituire i loro fondi.
Recuperi di questo tipo sono comuni negli smart contract Ethereum?
No. Secondo il co-fondatore di BlockSec, Andy Yajin Zhou, questi recuperi sono rari e dipendono da un tipo molto specifico di vulnerabilità del contratto. Non si può presumere che i vecchi contratti Ethereum contengano generalmente difetti che consentano un’estrazione sicura dei fondi.
Quali sono le sfide nel recuperare fondi da vecchi contratti?
Le principali barriere includono chiavi private perse, logica del contratto che non offre alcun percorso di recupero sfruttabile e la necessità di raggiungere e coordinarsi con un team di progetto originale che potrebbe non essere più attivo. Anche quando esiste un bug, le condizioni per un recupero sicuro devono allinearsi in modo preciso.