セキュリティ研究者の0xflorentは、2016年のEthereum(ETH)ICO契約に関連し、9年間凍結されていた約200万ドル相当のイーサを解放した。この資金は、元開発者による整数オーバーフローの脆弱性修正が行われなかったために回収不能となっていたものだが、0xflorentによる協調的なホワイトハット回収によって解放された。
該当の契約はHongCoinトークン販売に関するもので、2016年のトークンセールで資金調達目標に達せず、本来なら投資家に自動返金されるはずが、返金機能のバグによって失敗していた。
0xflorentの対応により、1,003.62ETHが解凍され、48人の初期投資家が返金請求の資格を得た。うち2人はすでに請求を行い、合計で96.5ETH、約19万3,000ドルを回収したと、彼は日曜日にX(旧Twitter)で報告した。
返金ロジックは、トークン残高が長年の部分返金により減少したグローバルカウンターの356を超えるホルダーを拒否し、返金上限を3.56ETHに制限していた。
0xflorentは契約の管理者機能がHongCoinのマルチシグウォレットに制限されているものの、後にSolidity言語に組み込まれた整数オーバーフロー保護が欠如した脆弱性を特定。特定の入力値で呼び出すとホルダー残高が1にリセットされ、返金チェックが通過し資金が解放された。
ただしこの回収は一方的なものではなく、管理者機能はHongCoinのマルチシグ実行を必須とするため、0xflorentはチームと連絡を取りEthereumメインネットのテストフォーク上で解除手順を検証し、チーム自身が解除トランザクションへ署名した。
チームは計41件のトランザクションへ個別に署名し、凍結していた約1,000ETHを解放。その他7人のホルダーについては残高が少額なため、ワークアラウンド不要で直接返金が可能だった。
これは0xflorentが8日間に公表した2件目の回収事例である。
5月24日には、2018年1月に失敗したICOから5.141ETH、さらに2024年にウォレット終了によりアクセス不能となったLiquality Walletのユーザーアカウント内7件の期限切れアトミックスワップで14.190ETHを回収し、計19.329ETH(約4万590ドル)を元の所有者に返還したと報告している。
この回収はDeFi分野で続く被害の中での動きで、4月のみで複数プロトコルから数億ドルの流出が発生し、特にKelp DAOでは約2億9,300万ドル相当の被害が報告されている。