Un hacker de sombrero blanco recupera 2 millones de dólares de un contrato inteligente defectuoso de una ICO de 2016

Un experto en seguridad informática bajo el seudónimo «0xflorent» logró desbloquear aproximadamente 2 millones de dólares en Ether (ETH) que estaban atrapados desde 2016 en un contrato inteligente defectuoso del proyecto Hong Coin, una oferta inicial de moneda (ICO) que nunca llegó a materializarse.

El hacker de sombrero blanco recuperó 1.003 Ether pertenecientes a 48 inversores que habían quedado sin posibilidad de reembolso durante casi una década debido a un error en el código del contrato inteligente. El anuncio se realizó el pasado domingo, según informó el propio 0xflorent a través de sus redes sociales.

El rescate y los detalles clave

La operación de rescate se llevó a cabo en colaboración con los creadores originales del proyecto Hong Coin. El contrato inteligente contenía todos los fondos de los inversores y, según lo previsto, debía reembolsarlos automáticamente una vez que la ICO no alcanzara su objetivo de financiación.

«El contrato tenía todo el ETH de los inversores y se suponía que debía reembolsarlos automáticamente. Pero un error en la función de reembolso rompió silenciosamente eso, y los fondos quedaron atascados», explicó 0xflorent en su cuenta de X (antes Twitter).

El experto en seguridad identificó que la vulnerabilidad residía en una función administrativa con un desbordamiento de enteros (integer overflow), un error de programación que impide que el sistema verifique correctamente los saldos y ejecute los reembolsos.

«La salida era una función administrativa con una vulnerabilidad de desbordamiento de enteros. Llamarla con una entrada específica restablece el saldo de un tenedor y desbloquea la verificación de reembolso», detalló 0xflorent.

Hasta el momento, al menos un inversor ya ha recibido 96 Ether, equivalentes a aproximadamente 192.500 dólares, mientras que otro ha recuperado 0,5 Ether.

¿Qué era Hong Coin?

Hong Coin fue un proyecto propuesto en 2016 como un fondo de capital de riesgo descentralizado gestionado por una Organización Autónoma Descentralizada (DAO). La idea era que los miembros de la DAO decidieran colectivamente qué proyectos respaldar con los fondos recaudados.

La ICO se llevó a cabo entre el 29 de agosto de 2016 y el 28 de octubre de 2016, aproximadamente dos meses de duración. Durante ese periodo, los inversores enviaron Ether con la expectativa de recibir 250 millones de tokens HONG, repartidos en cinco etapas.

Sin embargo, el proyecto no logró alcanzar su objetivo de financiación. Ante esta situación, se activó el mecanismo de reembolso previsto en el contrato inteligente, pero el error en el código impidió que este funcionara correctamente, dejando los fondos bloqueados de forma indefinida.

La vulnerabilidad técnica y la solución

El fallo técnico que impidió los reembolsos fue un desbordamiento de enteros en la función de reembolso del contrato inteligente. Este tipo de vulnerabilidad ocurre cuando una operación aritmética produce un resultado que excede la capacidad de almacenamiento de la variable que lo contiene, lo que provoca que el sistema interprete incorrectamente los valores.

0xflorent logró identificar una función administrativa que aprovechaba precisamente este error. Al ejecutarla con un valor específico, restableció el saldo de un tenedor de tokens, desbloqueando así la condición necesaria para que el sistema procesara el reembolso.

El rescate requirió la colaboración directa entre el hacker y los creadores originales de Hong Coin, quienes facilitaron el acceso necesario para implementar la solución técnica.

Antecedentes del hacker

No es la primera vez que 0xflorent logra recuperar fondos bloqueados en contratos inteligentes defectuosos. El pasado 24 de mayo de 2026, el mismo experto en seguridad recuperó 19,33 Ether, valorados en aproximadamente 40.600 dólares, de dos casos distintos.

El primero correspondía a un proyecto de ICO fallido de enero de 2018, mientras que el segundo involucraba a un usuario de Liquality Wallet cuyos fondos quedaron atrapados en un protocolo de transferencia entre cadenas.

Contexto histórico de las ICOs

Las ofertas iniciales de moneda fueron un fenómeno masivo entre 2016 y 2018, periodo en el que cientos de proyectos recaudaron miles de millones de dólares en criptomonedas. Sin embargo, muchos de estos proyectos no cumplieron sus promesas o presentaron fallos técnicos en sus contratos inteligentes.

Este caso demuestra que los fondos perdidos por errores técnicos pueden ser recuperables incluso casi una década después, lo que subraya la importancia de la transparencia y la colaboración entre hackers de sombrero blanco y desarrolladores en el ecosistema cripto.

Se espera que los 46 inversores restantes puedan recibir sus reembolsos progresivamente, ahora que el mecanismo ha sido desbloqueado, aunque no se ha especificado un plazo concreto para completar el proceso.