あるイーサリアム開発者が、ハンコイン(HongCoin)の2016年のICO(初期コインオファリング)コントラクトから、日曜に1,003.62 ETH(およそ200万ドル相当)を回収した。この資金はスマートコントラクトのバグにより9年間も動けなくなっていた。開発者は0xFlorent_として知られ、回避策を見つけたことで、プロジェクトが資金調達目標を逃してから返金機能が壊れ、ETHが凍結されていた48人の元投資家に返金のアンロックが可能になったことを明らかにした。この回収は、初期のイーサリアムのスマートコントラクトにおける脆弱性が継続していることを示しており、分散型金融(DeFi)の攻撃によって2026年最初の5か月で840億ドル超の損失が生じている。
開発者がスマートコントラクトの回避策で凍結されたETHをアンロック
0xFlorent_は日曜のツイートで回収を発表し、HongCoinの2016年ICOコントラクトは、プロジェクトが資金調達目標を満たせなかった場合に投資家へ返金するよう設計されていたが、バグによって返金メカニズムが無効化されたと説明した。開発者は、そのコントラクトが返金の資格を判定するために誤った数値に依存していたため、投資家が9年間自分のETHにアクセスできなかったことを突き止めた。
ホワイトハットの開発者は、ブロックされた投資家をコントラクトが認識し資金を解放できるようにする回避策を作成した。その後HongCoinのチームは、回収したETHを分配するために41件のアンロック取引を実行した。0xFlorent_は、回収のオンチェーン検証として、コントラクトとアンロックされたウォレットのEtherscan記録を提示した。
イニシャル・コイン・オファリングは、イーサリアム初期の頃によく使われた資金調達手段であり、投資家がETHをスマートコントラクトに送って、その見返りとしてプロジェクトのトークンを受け取る形だった。スマートコントラクトは、イーサリアムのブロックチェーン上で動作するプログラムで、プロジェクトが活動を停止した後も無期限に動き続けることができる。
DeFi分野で2026年に8億4,000万ドルの損失
この回収は、分散型金融(DeFi)分野への攻撃が続くなかで起きた。2026年最初の5か月で、840億ドル超の資金が失われている。出所によれば、4月だけで盗まれた資金のうち6億ドル超を占めた。
0xFlorent_のようなホワイトハットのセキュリティ研究者は、ネットワークを守ったり資金を回収したりするためにブロックチェーンのシステム上の脆弱性を特定する。資産を盗むためにバグを悪用する悪意ある行為者とは、こうした点で仕事が異なる。
専門家がスマートコントラクトの資金回収の希少性を評価
香港中文大学の助教授でオンチェーン・セキュリティ企業BlockSecの共同創業者であるAndy Yajin Zhouは、Decryptに対し、HongCoinのような回収は「独特」であり、失われた資金が「単に定期的に回収できる」ことを示すものではないと語った。
「回収が可能だったのは、そのコントラクトが、ホワイトハット開発者が安全に資金を取り出して返せるようにする脆弱性をたまたま含んでいたからです」とZhouは述べた。「残念ながら、古いイーサリアムのコントラクトが一般に同様の欠陥を持っていると考えることはできません。」
Zhouは、ロックされた資金はしばしば「失われた鍵や不可逆のコントラクトロジック」によりアクセス不能なままになり、旧来のコントラクトに永久に閉じ込められたETHの総量について信頼できる推定は存在しないと指摘した。
Zeus ResearchのアナリストであるDominick Johnは、Decryptに対し、この事例は以前「失われた」と見なされていた一部の資金がまだ回収可能であることを示し、スマートコントラクトが必ずしも「行き止まり」ではないことを示していると述べた。Johnは、セキュリティ研究の改善やブロックチェーンのツールが、旧来のオンチェーン・システムからさらに多くの取り残された資産を回収するのに役立ち、同時に「限界」も明らかにしつつ「休眠している価値」を解き放てる可能性があると付け加えた。
よくある質問(FAQ)
0xFlorent_はHongCoinのICOコントラクトから何を回収したのですか?
0xFlorent_は日曜に、HongCoinの2016年ICOコントラクトから1,003.62 ETH(およそ200万ドル相当)を回収した。プロジェクトが資金調達目標を逃した後、スマートコントラクトのバグによって返金機能が壊れ、その資金は9年間も動けなくなっていた。
なぜHongCoinのコントラクトは投資家へ返金できなかったのですか?
HongCoinのコントラクトは、どの投資家が返金の対象かを判断するために誤った数値に依存していたため、48人の元投資家が自分のETHにアクセスできなかった。0xFlorent_はこの欠陥を特定し、ブロックされた投資家をコントラクトが認識できるようにする回避策を作成した。その後HongCoinのチームは41件のアンロック取引を実行した。
古いスマートコントラクトからの資金回収はどれくらい一般的ですか?
BlockSecのAndy Yajin ZhouはDecryptに対し、このような回収は「独特」であり、定期的に再現できないと語った。HongCoinの回収は、コントラクトに、ホワイトハット開発者が安全に悪用できる特定の脆弱性が含まれていたため可能だった。しかし、ほとんどの古いイーサリアムのコントラクトにはそのような欠陥はなく、また鍵の喪失や不可逆のコントラクトロジックによって多くのロック資金がアクセス不能なままになっている。
