La recuperación de 1.003,62 ETH por parte de un investigador de cuello blanco desde una ICO fallida de Ethereum de 2016 ha convertido un antiguo error en contrato inteligente en un recordatorio de que las primeras decisiones técnicas de Ethereum pueden permanecer vigentes durante casi una década.
El investigador, conocido como 0xFlorent, dijo que desbloqueó los ETH del contrato HongCoin después de que los fondos hubieran estado atrapados durante nueve años. Utilizando un precio de Ethereum del 1 de junio de aproximadamente 1.983 dólares, la cantidad recuperada valía alrededor de 1,99 millones de dólares.
La recuperación dependió del multisig original de HongCoin. El contrato HongCoin aún requería la acción de ese camino de gestión para las llamadas de administración relevantes.
Eso hizo que el episodio se acercara más a la arqueología de contratos que a un ataque convencional: el mismo código inmutable que preservó el fallo en el reembolso también preservó una ruta olvidada para sortearlo.
[
Leección relacionada
Alguien acaba de vaciar billeteras dormidas de Ethereum olvidadas hace años, y la causa podría remontarse a años atrás
Cientos de billeteras de Ethereum que llevaban mucho tiempo inactivas fueron transferidas a una dirección etiquetada mientras investigadores y usuarios siguen debatiendo si fueron las claves antiguas, herramientas débiles para billeteras u otra exposición las que abrieron la puerta.
1 de mayo de 2026 · Liam 'Akiba' Wright
El contraste con HongCoin es marcado. La capa base de Ethereum permaneció sin cambios. Un camino de permisos todavía válido y una firma coordinada del multisig original hicieron que 48 inversores originales fueran elegibles para reclamar fondos mediante un mecanismo de reembolso que había estado roto durante años.
Cómo se rompió el camino de reembolso
HongCoin fue un proyecto de Ethereum de 2016 cuyo repositorio público lo describía como un fondo de riesgo descentralizado. La venta de tokens no logró alcanzar su meta de financiación, y se suponía que los contribuyentes podrían recuperar sus ETH mediante la función de reembolso del contrato.
El problema estaba en la contabilidad del contrato. En el código fuente de HongCoin, la función refundMyIcoInvestment() verifica si el saldo de tokens del llamante es mayor que tokensCreated. Si esa condición es verdadera, la llamada de reembolso falla.
Si pasa la verificación, la función pone a cero el saldo de tokens del llamante, limpia la contabilidad relacionada, reduce tokensCreated en ese saldo de tokens y luego envía el reembolso.
Con el tiempo, los reembolsos anteriores redujeron el contador global tokensCreated. Eso dejó a los tenedores más grandes en una posición extraña: aún tenían saldos vinculados a sus reclamos originales, pero esos saldos podían ser demasiado grandes para el contador restante del contrato.
Entonces, la función de reembolso los consideró inválidos, bloqueando precisamente a los usuarios a quienes debía pagar.
La vía de escape era otro fragmento de código antiguo. La función de administración mgmtIssueBountyToken(), restringida por multisig, podía añadir una cantidad suministrada al saldo de un destinatario y a bountyTokensCreated.
Esa vía pertenecía al lado de gestión del contrato, razón por la cual el multisig original tenía que participar. La aritmética moderna de Solidity revertirá por defecto en caso de desbordamiento.
Antes de Solidity 0.8.0, la aritmética se desbordaba a menos que los desarrolladores añadieran sus propias comprobaciones. El comportamiento anterior dio forma a la ruta de escape.
0xFlorent identificó una manera de usar el comportamiento aritmético de la función de administración para restablecer el saldo de un tenedor lo suficientemente bajo como para que la verificación de reembolso pasara. El resultado fue paradójico: un error obsoleto ayudó a revertir el daño práctico causado por otro error obsoleto.
| Etapa | Detalles clave |
|---|---|
| Venta de tokens de 2016 | HongCoin recaudó ETH para un proyecto de Ethereum estilo fondo de riesgo que luego no logró alcanzar su meta. |
| Fallo en el reembolso | La función de reembolso rechazó a los tenedores más grandes una vez que el contador global de tokens bajó por debajo de sus saldos. |
| Vieja vía de administración | Aún existía una función restringida por multisig que podía cambiar saldos usando el comportamiento aritmético pre-0.8 de Solidity. |
| Recuperación por whitehat | 0xFlorent se coordinó con el multisig original de HongCoin para hacer que los tenedores bloqueados fueran elegibles para reclamar fondos. |
| Prueba en cadena | Una transacción del 29 de mayo muestra una llamada exitosa de refundMyIcoInvestment() que produjo una transferencia interna de 96 ETH. |
El multisig hizo posible una recuperación coordinada
El requisito del multisig estableció un límite para la recuperación de HongCoin. La vía sensible requería que la dirección de gestión original de HongCoin ejecutara las llamadas pertinentes, por lo que la recuperación práctica dependió de la cooperación entre el investigador y la vieja vía de control.
La coordinación tuvo tanto peso como el código. La recuperación involucró 41 transacciones firmadas para tenedores bloqueados, mientras que otros siete tenedores más pequeños pudieron reembolsarse directamente sin la solución alternativa.
La ICO comenzó el 29 de agosto de 2016, terminó el 28 de octubre de 2016 y no logró alcanzar su meta de financiación.
El registro en cadena ya muestra actividad de reembolso. Una transacción en cadena del 29 de mayo llamó a refundMyIcoInvestment() y produjo una transferencia interna de 96 ETH desde el contrato de HongCoin hacia una dirección de inversor.
El valor de la transacción de nivel superior fue de 0 ETH porque el movimiento real ocurrió dentro de la llamada al contrato.
Cualquiera que siga el dinero debería separar la elegibilidad de la distribución completa. El estado del contrato y la ejecución del multisig reabrieron una vía de reclamo para fondos que habían estado inaccesibles durante años.
Los ejemplos visibles en cadena muestran actividad de reembolso en lugar de una contabilidad completa de cada reclamo de inversor elegible.
El caso de HongCoin debe leerse cuidadosamente antes de que alguien lo generalice a otros fondos antiguos atrapados. Los ingredientes eran inusualmente específicos: lógica de contrato identificable, una función de administración aún usable por la vía de control original, un whitehat dispuesto a coordinarse y suficiente valor en cadena restante para que el esfuerzo valga la pena.
El detalle práctico es la propiedad y los permisos. La vieja función podía cambiar saldos, pero solo la vía de gestión podía llamarla.
Eso le da a la recuperación su límite ético y operativo: investigaciones externas encontraron la vía, los firmantes originales la ejecutaron y la ruta de reclamo se reabrió para los inversores.
[
Leección relacionada
Aave advierte que la recuperación de 71 millones de dólares del exploit podría ser embargada antes de que las víctimas sean reembolsadas
La disputa podría decidir si los fondos de recuperación DeFi vuelven primero a los usuarios o se convierten en objetivos para acreedores externos.
5 de mayo de 2026 · Gino Matos
Los mismos hechos también hacen que el caso sea difícil de generalizar. Muchos contratos dormidos carecen de una clave de control activa, un conjunto limpio de reclamantes o un rastro público que haga plausible una recuperación responsable.
Esa frontera también reduce la tentación de tratar el episodio como una plantilla amplia de explotación. El mecanismo técnico explica por qué se reabrió la puerta de reembolso, pero la consecuencia de la historia proviene de la combinación de código antiguo, permisos vivos y un acuerdo público.
La arqueología similar se vuelve más riesgosa cuando un contrato carece de alguno de esos elementos, porque el descubrimiento puede exponer una debilidad antes de crear una ruta de recuperación utilizable.
Ethereum mantiene el error y el remedio
La historia más amplia de Ethereum hace que la recuperación de HongCoin sea más que una curiosidad. Un análisis de 2025 citando a Conor Grogan de Coinbase cifró en más de 913.111 los ETH perdidos permanentemente, presentándolos como una estimación conservadora entre errores de usuarios y contratos.
Esa categoría incluye fondos enviados a direcciones de quema, errores en contratos e incidentes históricos importantes.
Algunos de los momentos iniciales más significativos de Ethereum también fueron debates sobre recuperación. En 2016, la fusión dura de DAO movió aproximadamente 12 millones de ETH desde contratos relacionados con DAO hacia un contrato de recuperación tras la crisis de gobernanza definitoria de la red.
En 2017, el incidente de autodestrucción de la biblioteca multisig de Parity Technologies bloqueó 513.774,16 ETH en 587 billeteras.
Esos episodios fueron más grandes y políticamente más pesados que HongCoin. Aun así, ayudan a entender por qué esta recuperación más pequeña resuena.
La promesa de Ethereum de que el código y el estado persisten es una propiedad de seguridad y un sistema de memoria. Preserva errores, suposiciones medio olvidadas, permisos antiguos y el remedio ocasional cuya relevancia futura era invisible en el momento de su implementación.
[
Leección relacionada
El dinero sobrante de rescate de TheDAO estuvo diez años sin tocar, ahora se convierte en el presupuesto permanente de seguridad de 220 millones de dólares de Ethereum
Los veteranos quieren apostar 69.420 ETH de los fondos sobrantes de la recuperación de 2016, generando millones anuales para la seguridad de contratos inteligentes.
30 de enero de 2026 · Gino Matos
Esa larga memoria ahora está junto a una cultura de seguridad en pleno desarrollo. En enero, veteranos de Ethereum anunciaron planes para convertir aproximadamente 75.000 ETH de los fondos sobrantes de la recuperación de TheDAO en una dotación apostada para la seguridad de Ethereum.
El caso de HongCoin funciona a una escala mucho menor, pero apunta a la misma vida posterior de las decisiones tempranas de Ethereum.
La próxima prueba es la recuperabilidad: si otros contratos antiguos contienen caminos que puedan usarse de manera responsable. Una recuperación por whitehat necesita más que un error. Necesita una vía de control legítima, evidencia pública en cadena, divulgación cuidadosa y una manera de evitar convertir la arqueología de contratos en una guía para ataques oportunistas.
HongCoin demuestra que algunos fondos atrapados pueden permanecer suspendidos dentro de la lógica antigua, esperando que alguien entienda tanto el error como la estructura de permisos que lo rodea. Ese es un resultado esperanzador para los 48 inversores ahora elegibles para reclamar.
También es una advertencia para el resto del ecosistema: Ethereum recuerda el mal código, y algunas veces recuerda también la salida de emergencia.
La publicación ICO fallida de Ethereum de 2016 acaba de desbloquear 1.003 ETH explotando a sí misma apareció por primera vez en CryptoSlate.