Negen jaar is een lange tijd om op een terugbetaling te wachten. Maar voor 48 investeerders die ETH naar HongCoin’s ICO in 2016 stuurden, kwam er eindelijk een einde aan dat wachten dankzij een inspanning voor een Ethereum whitehat recovery 2016 ICO die meer dan 1.000 ETH, ter waarde van ongeveer 2 miljoen dollar, uit een smart contract haalde dat stilletjes defect was sinds de begindagen van crypto.
De ontwikkelaar achter de oplossing gaat op sociale media door het leven als 0xFlorent_. In een bericht dat zondag werd gedeeld, legde hij uit dat het ICO-contract van HongCoin zo was gebouwd dat het de fondsen van investeerders zou terugstorten als het project zijn financieringsdoel niet haalde. Dat doel werd inderdaad gemist. Maar door een bug in de terugbetalingsfunctie ging er nooit geld terug. De ETH bleef daar gewoon liggen, bevroren, terwijl het project uit het collectieve geheugen verdween.
Wat dit verhaal bijzonder maakt, is niet alleen het dollarbedrag. Het is ook een herinnering dat fouten die negen jaar geleden in code zijn geschreven, vandaag nog steeds uitkomsten kunnen bepalen. In de praktijk laat de HongCoin-zaak zien hoe een oude smart contract bug refund jarenlang kan blijven sluimeren voordat iemand een werkbare oplossing vindt.
Summary
Hoe een bug ETH-terugbetalingen negen jaar lang vergrendelde
Toen ICO’s in de vroege jaren van Ethereum populair werden, waren de mechanismen relatief eenvoudig. Investeerders stuurden ETH naar een smart contract in ruil voor tokens die waren gekoppeld aan een project dat vaak nog niet was gelanceerd. Als het project er niet in slaagde genoeg geld op te halen, moest het contract de ETH terugsturen.
Het contract van HongCoin had dat mechanisme ingebouwd. Het probleem was dat de terugbetalingsfunctie op een onjuist getal vertrouwde om te bepalen welke investeerders in aanmerking kwamen voor hun geld terug. Omdat smart contracts exact uitvoeren wat er staat — niet meer en niet minder — betekende dat verkeerde getal dat de functie nooit correct identificeerde wie een terugbetaling kon claimen. Niemand kreeg zijn ETH, en niemand kon dat ook.
Dat soort bug is van buitenaf niet duidelijk. Het contract bleef draaien op de blockchain van Ethereum, lang nadat HongCoin zelf niet meer relevant was. Er verscheen geen foutmelding. Er werd geen waarschuwing geactiveerd. In plaats daarvan ging meer dan 1.000 ETH stilletjes nergens heen.
Workaround ontgrendelt fondsen in 48 investeerderswallets
0xFlorent_ ontdekte dat de gebrekkige logica van het contract kon worden aangepakt via een specifieke workaround die het oude contract in staat stelde elke geblokkeerde investeerder correct te herkennen en hun terugbetalingen vrij te geven. Na het bouwen en testen van die oplossing trad het team van HongCoin op en voerde 41 afzonderlijke unlock-transacties uit, waarmee uiteindelijk fondsen werden vrijgemaakt voor alle 48 getroffen investeerders. On-chain gegevens op Etherscan werden aangeleverd als verifieerbaar bewijs van het herstel.
De schaal is in dollartermen bescheiden naar de maatstaven van 2026. Toch is het proces zelf belangrijk. Het vereiste het identificeren van een slapend contract, het reverse-engineeren van de reden waarom de terugbetalingslogica faalde, het construeren van een gecorrigeerd pad dat binnen de beperkingen van het oorspronkelijke contract werkte, en het coördineren met het overgebleven projectteam om de transacties uit te voeren.
Die combinatie van technische precisie en gezamenlijke uitvoering is precies wat whitehat-herstelacties als deze zo zeldzaam maakt.
Waarom het HongCoin ETH-herstel zo uitzonderlijk is
Andy Yajin Zhou, universitair hoofddocent aan de Chinese University of Hong Kong en medeoprichter van on-chain beveiligingsbedrijf BlockSec, was duidelijk over de grenzen van wat dit herstel laat zien. De HongCoin-zaak werkte omdat het contract toevallig een kwetsbaarheid bevatte die een bekwame ontwikkelaar veilig kon uitbuiten en kon ombuigen naar het teruggeven van fondsen, in plaats van ze te stelen.
“Helaas kunnen we er niet van uitgaan dat oude Ethereum-contracten in het algemeen zulke fouten hebben,” zei Zhou. Vergrendelde fondsen in veel oude contracts blijven om heel andere redenen ontoegankelijk: verloren private keys, contractlogica die geen uitbuitbaar pad biedt, of code die zo onomkeerbaar is dat er op geen enkel technisch niveau een workaround bestaat.
Er is ook geen betrouwbare schatting van hoeveel ETH permanent vastzit in oude contracts. Het bedrag zou aanzienlijk kunnen zijn, maar een groot deel ervan is mogelijk gewoon verdwenen, in plaats van via welke methode dan ook terug te halen.
- Er moet een contractbug bestaan die uit te buiten is zonder fondsen kwaadaardig leeg te trekken.
- Het oorspronkelijke projectteam moet nog bereikbaar zijn en bereid om te handelen.
- Het contract moet nog steeds een technisch aanknopingspunt voor ingrijpen bieden.
Als je een van die voorwaarden weghaalt, blijven de fondsen bevroren. Daarom stelde Dominick John, analist bij Zeus Research, de HongCoin-zaak voor als bewijs dat sommige activa die als verloren zijn afgeschreven “misschien niet buiten bereik zijn” — terwijl hij er ver van bleef om te suggereren dat vergelijkbare successen overal voor het oprapen liggen.
Wat het herstel betekent voor DeFi-beveiliging in 2026
De timing van dit herstel valt tegen een sombere achtergrond voor de beveiliging van decentralized finance. Meer dan 840 miljoen dollar is verloren gegaan door aanvallen op DeFi-protocollen in slechts de eerste vijf maanden van 2026, waarbij april alleen al goed was voor meer dan 600 miljoen dollar aan gestolen fondsen. Tegen die achtergrond voelt een verhaal over fondsen die worden teruggehaald — in plaats van gestolen — bijna misplaatst.
Toch is er een belangrijk verschil tussen twee heel verschillende problemen. Bevroren fondsen door contractbugs vertegenwoordigen een ontwerpfout die in oude code is ingebakken. Gestolen fondsen door moderne DeFi-exploits vertegenwoordigen actieve, voortdurende kwetsbaarheden in live protocollen. Beide wijzen op dezelfde onderliggende uitdaging: smart contracts zijn meedogenloos, en fouten hebben de neiging zich in de loop van de tijd te versterken.
Wat het HongCoin-herstel wel suggereert, zoals John opmerkte, is dat beter beveiligingsonderzoek en geavanceerdere blockchain-tools uiteindelijk meer slapende waarde aan het licht kunnen brengen uit oude on-chain systemen. Sommige contracts die doodlopende wegen lijken, zijn dat misschien niet. Sommige ETH die jaren geleden is afgeschreven, kan onder de juiste omstandigheden nog steeds terug te halen zijn.
Dat is een beperkte vorm van optimisme, gebaseerd op een zeer specifieke set omstandigheden, maar het is reëel. En voor 48 investeerders die allang waren gestopt met iets terug te verwachten van een cryptoproject uit 2016, bleek het ongeveer 2 miljoen dollar waard te zijn.
FAQ
Hoe kon de Ethereum whitehat de vastzittende ETH terughalen?
0xFlorent_ ontdekte dat de terugbetalingsfunctie van HongCoin op een onjuist getal vertrouwde om de geschiktheid van investeerders te bepalen. Hij bouwde een workaround die het contract in staat stelde geblokkeerde investeerders correct te herkennen, waarna het team van HongCoin 41 unlock-transacties uitvoerde om de fondsen vrij te geven.
Waarom waren ETH-terugbetalingen zo lang geblokkeerd?
Een bug in het smart contract van HongCoin’s ICO uit 2016 brak het terugbetalingsmechanisme dat ETH aan investeerders had moeten terugstorten nadat het project zijn financieringsdoel miste. Omdat smart contracts exact uitvoeren wat er gecodeerd is, verhinderde de gebrekkige logica dat er negen jaar lang ook maar één terugbetaling werd verwerkt.
Hoeveel investeerders profiteerden van het herstel?
Het herstel had betrekking op 48 investeerders, met 41 unlock-transacties die door het team van HongCoin werden uitgevoerd om hun fondsen terug te geven.
Zijn zulke herstelacties gebruikelijk in Ethereum smart contracts?
Nee. Volgens BlockSec-medeoprichter Andy Yajin Zhou zijn dit soort herstelacties zeldzaam en afhankelijk van een zeer specifiek type contractkwetsbaarheid. Men kan er niet van uitgaan dat oude Ethereum-contracten in het algemeen fouten bevatten die veilige fondsterugwinning mogelijk maken.
Wat zijn de uitdagingen bij het terughalen van fondsen uit oude contracts?
De belangrijkste obstakels zijn verloren private keys, contractlogica die geen uitbuitbaar herstelpad biedt, en de noodzaak om een oorspronkelijk projectteam te bereiken en te coördineren dat mogelijk niet meer actief is. Zelfs wanneer er een bug bestaat, moeten de voorwaarden voor een veilig herstel precies op elkaar aansluiten.
