Um pesquisador de segurança conhecido como 0xflorent ajudou a recuperar cerca de 1.003 Ethereum, avaliados em aproximadamente US$ 2 milhões (R$ 10 milhões), que estavam presos havia nove anos em um contrato de oferta inicial de moedas (ICO) lançada em 2016 na rede Ethereum.Os recursos pertenciam ao contrato da HongCoin, também chamada de “The HONG”, uma venda de tokens apresentada na época como um fundo de investimento comunitário. Segundo 0xflorent, a captação não atingiu a meta prevista e deveria ter devolvido automaticamente os ethers aos investidores, mas uma falha no contrato impediu parte dos reembolsos.Em uma publicação no X, o pesquisador afirmou que a função de reembolso rejeitava qualquer investidor cujo saldo de tokens fosse maior do que um contador global do contrato. Ao longo dos anos, reembolsos parciais reduziram esse contador para 356, o que limitava novos saques a apenas 3,56 ETH, cerca de US$ 7 mil, mesmo quando muitos investidores ainda tinham valores muito maiores a receber.A solução encontrada envolveu uma falha comum em contratos antigos escritos em versões anteriores da linguagem Solidity: a ausência de proteção contra integer overflow, um tipo de erro em que um número excede seu limite e acaba “reiniciando” para zero ou outro valor baixo. Esse problema passou a ser mitigado posteriormente com bibliotecas como a SafeMath, mas ainda aparece em contratos antigos da rede Ethereum.Segundo 0xflorent, a saída estava em uma função administrativa criada originalmente para emitir tokens de recompensa em eventos específicos. Como essa função não tinha proteção contra overflow, era possível chamá-la com um valor específico para redefinir o saldo de um investidor para 1. A partir disso, a checagem de reembolso passava a ser aceita e os ETH podiam ser liberados.A recuperação, porém, não foi um ataque unilateral. A função administrativa só podia ser executada pela carteira multisig da equipe da HongCoin. Por isso, o pesquisador disse ter entrado em contato com os responsáveis pelo projeto, testado a sequência em uma cópia da mainnet do Ethereum usando Foundry e coordenado a assinatura das transações com a própria equipe.Ao todo, 48 investidores originais agora podem reivindicar os valores destravados. Desses, 41 precisaram da redefinição de saldo para conseguir passar pela função de reembolso, enquanto outros sete tinham valores pequenos o suficiente para sacar diretamente. A equipe assinou 41 transações, uma para cada investidor bloqueado, liberando os cerca de 1.000 ETH que estavam efetivamente presos.Até agora, dois investidores já recuperaram um total combinado de 96,5 ETH, cerca de US$ 193 mil. Segundo 0xflorent, eles enviaram voluntariamente uma recompensa de white hat pelo trabalho, embora não houvesse taxa, comissão ou obrigação de pagamento. O pesquisador afirmou que a motivação principal foi curiosidade e interesse em entender o funcionamento de contratos antigos.“Fora a própria equipe, ninguém realmente tinha incentivo para investigar o contrato tão de perto”, disse 0xflorent ao The Block. Segundo ele, a falha não permitia que um hacker roubasse os fundos para si mesmo; o único resultado possível era fazer os ethers voltarem aos investidores originais.Não foi a primeira recuperação desse tipo anunciada pelo pesquisador. Em 24 de maio, ele afirmou ter liberado outros 19,329 ETH, avaliados em cerca de US$ 40,6 mil, de dois contratos antigos. Um deles era de um ICO fracassada de janeiro de 2018, com 5,141 ETH presos em uma função pública de reembolso nunca chamada. O outro envolvia sete atomic swaps expirados de um usuário da Liquality Wallet, somando 14,190 ETH, que haviam ficado inacessíveis depois que o aplicativo foi encerrado em 2024.Segundo 0xflorent, o trabalho começou depois que ele configurou um nó próprio do Ethereum e criou um scanner para identificar contratos com mais de 100 ETH parados. A partir daí, passou a analisar candidatos em busca de falhas ou funções esquecidas que pudessem permitir a recuperação dos valores. Ele também afirmou ter usado ferramentas de inteligência artificial para acelerar a organização e agrupamento dos contratos, embora tenha ressaltado que os modelos ainda têm limitações na análise de smart contracts.O caso ocorre em um momento de aumento dos ataques contra protocolos DeFi. Em abril, explorações somaram centenas de milhões de dólares, incluindo um ataque de cerca de US$ 293 milhões contra a Kelp DAO. Para 0xflorent, esse cenário torna ainda mais importante estimular uma atuação de pesquisadores voltada à proteção e recuperação de fundos, e não apenas à exploração de falhas.“Há uma clara retomada de hackers contra protocolos ultimamente, e DeFi está se tornando um espaço complicado para investir”, afirmou. “Eu adoraria ver um contramovimento de pessoas tentando proteger as coisas em vez de explorá-las. É mais recompensador moralmente e também pode pagar bem.”Invista em Ethereum, a criptomoeda gigante que impulsiona a tecnologia do futuro. Comece no MB com a segurança de uma plataforma líder no Brasil. O seu futuro começa agora!O post Pesquisador recupera R$ 10 milhões em Ethereum presos desde ICO de 2016 apareceu primeiro em Portal do Bitcoin.