Hacker etico recupera 2 milioni di dollari persi in un progetto ico del 2016

Un hacker white hat pseudonimo ha contribuito a recuperare circa 1.003 Ether — valore stimato intorno a 2 milioni di dollari — bloccati quasi per un decennio all’interno di uno smart contract difettoso relativo a una ICO.

In un post su un social, il white hat conosciuto come 0xflorent ha reso noto di aver aiutato 48 investitori a recuperare i fondi inviati al contratto dell’operazione denominata Hong Coin (HONG), un fondo di venture capital decentralizzato che non è mai decollato perché non ha raggiunto l’obiettivo di raccolta.

0xflorent ha dichiarato:

“Il contratto conteneva l’ETH di tutti gli investitori e avrebbe dovuto rimborsarli automaticamente.”

0xflorent ha aggiunto:

“Un bug nella funzione di rimborso ha interrotto silenziosamente il processo, e i fondi sono rimasti bloccati.”

Prove di rimborso e prime restituzioni

Dai dati visibili su Etherscan, risulta che almeno un investitore ha già ricevuto 96 ETH (valore attuale approssimativo 192.500 dollari) mentre un altro ha ottenuto indietro 0,5 ETH. Complessivamente la somma recuperata corrisponde a poco più di 1.000 ETH.

Storia dell’operazione HONG

Hong Coin fu presentata per la prima volta nel 2016: il progetto veniva descritto come un fondo di venture capital gestito dalla comunità, in cui i membri della DAO avrebbero contribuito alle decisioni di investimento. L’ICO si è svolta tra il 29 agosto e il 28 ottobre 2016.

Gli investitori che inviavano Ether al contratto HONG avrebbero dovuto ricevere 250 milioni di token HONG distribuiti su cinque fasi, ma poiché l’obiettivo di finanziamento non è stato raggiunto era prevista la restituzione dei fondi tramite una funzione automatica del contratto.

La vulnerabilità tecnica e la soluzione

Secondo quanto riferito da 0xflorent, il blocco dei rimborsi è avvenuto a causa di un difetto nella funzione di rimborso. L’hacker ha collaborato con gli autori del progetto per individuare una via d’uscita sfruttando una funzione amministrativa difettosa che poteva azzerare i saldi dei detentori e riattivare il controllo sui rimborsi.

0xflorent ha spiegato:

“La via d’uscita era una funzione admin con una vulnerabilità di overflow intero. Chiamandola con un input specifico si azzerava il saldo di un detentore e si sbloccava il controllo sul rimborso.”

Si tratta di un esempio classico di bug legato alla gestione degli interi nei contratti intelligenti: errori di questo tipo, se non intercettati da audit approfonditi, possono rendere inoperanti meccanismi critici come i rimborsi automatici.

Altri recuperi e casi simili

Il white hat ha inoltre dichiarato di aver recuperato in data 24 maggio altri 19,33 ETH da un progetto ICO fallito risalente a gennaio 2018 e da un utente del Liquality Wallet che aveva fondi bloccati in un protocollo di trasferimento cross-chain.

Questi interventi mettono in luce il ruolo ambivalente degli operatori “white hat”: da un lato offrono un mezzo pratico per sbloccare fondi altrimenti perduti; dall’altro sollevano questioni legali e di governance, soprattutto in assenza di procedure formali di restituzione o di un’autorità centralizzata che possa autorizzare azioni correttive.

Implicazioni per investitori e mercato

Questo episodio richiama l’attenzione su rischi strutturali ancora presenti nell’ecosistema delle criptovalute: contratti non auditati, funzioni amministrative mal disegnate e meccanismi di rimborso che possono fallire. Per gli investitori retail, in particolare in Europa e in Italia, diventa fondamentale verificare l’esistenza di audit pubblici, modelli di governance chiari e meccanismi di tutela dei depositanti.

Per le autorità di vigilanza e per gli operatori professionali, la vicenda sottolinea la necessità di standard tecnici e pratiche di sicurezza uniformi, oltre a strumenti di intervento che facilitino il recupero dei fondi senza compromettere la legalità o i diritti dei terzi.

Infine, per il mercato più ampio, episodi di recupero come questo possono contribuire a ricostruire fiducia, ma non sostituiscono misure preventive: audit indipendenti, assicurazioni sui contratti e migliori pratiche di custodia restano leve essenziali per ridurre il rischio sistemico nel settore delle criptovalute.

Consigli pratici per gli investitori

Gli esperti raccomandano di preferire progetti con audit open source verificabili, utilizzare wallet con funzionalità di multisig quando possibile, e mantenere una diversificazione prudente per limitare l’esposizione a progetti early‑stage. Inoltre, documentare le transazioni e i termini dell’ICO può facilitare eventuali azioni di recupero o contenziosi.

In sintesi

• Il recupero di oltre 1.000 ETH dimostra che interventi tecnici mirati possono sbloccare valori considerevoli, ma non sostituiscono controlli preventivi come gli audit.
• Per gli investitori italiani, l’evento evidenzia l’importanza di verificare la governance dei progetti e l’esistenza di meccanismi di tutela prima di partecipare a ICO o iniziative DeFi.
• Dal punto di vista del mercato, la capacità di recupero rafforza l’ecosistema operativo ma mette in luce la necessità di standard regolamentari e tecnici più stringenti per limitare il rischio operativo.