一位名為弗洛朗（Florent）的開發者表示，他協助找回了約 1,003 枚以太幣 (ETH)，以當前市價計算價值約 200 萬美元，這些以太幣已在 2016 年的首次代幣發行 (ICO) 合約中被困了九年。

該合約屬於 HongCoin，又稱「The HONG」，是 2016 年的一次以太坊代幣銷售，當時被宣傳為一個社群營運的投資基金。

弗洛朗（自稱資安研究員）在週日稍早發布的 X 貼文串中表示，該銷售未達目標，原本應自動退還投資者的以太幣，但一個錯誤導致資金卡住。

弗洛朗在接受 The Block 的書面採訪時表示，退款功能拒絕了任何代幣餘額大於全域計數器的持有者。多年來的部分退款已將該計數器降至 356，將總退款金額限制在 3.56 枚以太幣（約 7,000 美元），而剩下的大多數持有者擁有的金額遠不止於此。

弗洛朗表示，由於該合約是使用舊版 Solidity 編程語言部署的，因此合約沒有防止溢出錯誤（當數字過高時最終會重設為 0 或 1）的保護措施，這個漏洞後來透過 SafeMath 函式庫得到了修復。

弗洛朗說：「解決辦法是利用團隊自己的管理員功能，該功能原本是用於從特定事件中鑄造賞金代幣的。由於缺少溢出保護，使用非常特定的輸入值調用它，會將持有者的餘額重設為 1，從那裡退款檢查就能通過，以太幣也就被釋放了。」

弗洛朗表示，此舉並非單方面駭客行為。該管理員功能僅限於 HongCoin 的多重簽名錢包，因此他聯繫了團隊，在 Foundry 主網分叉上驗證了操作序列，然後團隊自行簽署了這些解鎖交易。他說，從第一封電子郵件開始，整個過程大約花了一週時間。

根據他的計算，48 名原始投資者現在可以領取這些被解凍的資金，但其中只有 41 人需要重設餘額；另外七人持有的金額夠小，可以直接退款。團隊簽署了 41 筆交易，每位被阻擋的持有者一筆，涵蓋了真正被卡住的大約 1,000 枚以太幣。

這位研究員表示，截至目前，已有兩位投資者領回了合計 96.5 枚以太幣（約 193,000 美元），並自願向弗洛朗發送了「白帽獎勵」，儘管沒有任何規定強制任何人支付。「沒有費用、沒有抽成、沒有佣金。」他告訴 The Block，稱其動機是出於好奇心以及學習舊合約如何運作。

弗洛朗說：「除了團隊本身，沒有人有真正誘因深入研究這個合約。沒有所有權漏洞會讓任何人為自己竊取資金，所以對於駭客來說，沒有任何好處；任何漏洞利用的唯一結果就是以太幣歸還給原始投資者。」

這並非他首次進行此類恢復。在 5 月 24 日（週日），弗洛朗描述了他從兩個較舊的合約中釋放了 19.329 枚以太幣，約 40,590 美元：一個是 2018 年 1 月失敗的 ICO，其中 5.141 枚以太幣被困在一個未被調用的公共退款功能之後；另一個是 Liquality Wallet 用戶的七次過期原子交換，總計 14.190 枚以太幣，他表示在 Liquality 於 2024 年關閉其應用程式後，他代表用戶進行了退款。

談到方法論，弗洛朗表示他最近設立了一個自行託管的以太坊節點，並建立了一個掃描器來標記所有持有超過 100 枚以太幣的合約，然後篩選候選合約。弗洛朗說：「很多合約都是其他合約的分叉，所以一個合約的缺陷，在集群內的其他合約中也是相同的缺陷。話雖如此，那些大型且知名的集群已經被徹底梳理過了。」

當被問及他是否使用 AI 協助恢復時，弗洛朗表示他使用 Claude Code 來加速合約分類和集群的工作，但該模型在分析智能合約本身時存在缺陷。「AI 經常會因為合約以前沒有被破解過，以及之前的人無法找到解決方案而產生偏見……所以它通常預設為『這是無法破解的，我已經嘗試了一切』，而這通常是錯誤的。」

此次恢復發生在 DeFi 漏洞利用事件頻繁之際。僅四月，攻擊總金額就達數億美元，其中最主要的是 Kelp DAO 大約 2.93 億美元的資金流失。資安公司 OpenZeppelin 的一位共同創辦人最近表示，他認為「所有 DeFi」都是不安全的。這些事件有時會以白帽駭客找回或自願歸還告終，就像 Euler Finance 在 2023 年漏洞利用事件後幾乎完全恢復一樣。

弗洛朗說：「最近協議上的駭客活動明顯復甦，DeFi 正在成為一個複雜的投資領域。我希望能看到一種反向運動，人們試圖保護而不是利用漏洞。這在道德上更有意義，而且也能獲得不錯的報酬。」