Un développeur utilisant le pseudo Florent a exécuté lundi un exploit whitehat afin de secourir 1 003 ETH (environ 2 M$) qui étaient bloqués dans un smart contract d’ICO de 2016 depuis près de neuf ans, rendant les fonds accessibles aux investisseurs initiaux pour la première fois depuis le déploiement du contrat.
L’exploit cible une faille dans la logique d’autorisations du contrat, qui avait gelé les soldes sans voie de retrait. Florent a rendu publique la méthode afin que les investisseurs concernés puissent récupérer leur part de manière autonome, sans avoir à faire confiance à un intermédiaire dépositaire — un choix structurel qui reflète la transparence post-mortem désormais standard après les incidents majeurs de la DeFi.
Pourquoi c’est important
Le sauvetage intervient sur un marché qui a vu des milliards drainés par des exploits hostiles au cours de la même fenêtre de neuf ans, si bien qu’un retour whitehat de capital investisseur — plutôt qu’un drainage opportuniste — constitue un contre-signal notable. Les contrats de l’ère ICO sont un cimetière connu de fonds stranded, et les récupérations réussies ont tendance à attirer à nouveau l’attention de la longue traîne de détenteurs qui avaient passé ces soldes par pertes et profits. Le fait que Florent ait choisi la divulgation plutôt que l’extraction ravive aussi la question récurrente de savoir si les exploits whitehat bénéficient d’une couverture juridique et réputationnelle significative lorsqu’aucun programme de bug bounty n’est en place pour rémunérer le secouriste.
Questions fréquemment posées
-
Combien d’ETH ont été secourus du contrat d’ICO de 2016 ?
Florent a débloqué 1 003 ETH, soit environ 2 millions de dollars au moment du sauvetage — des fonds qui étaient bloqués dans le contrat depuis son déploiement en 2016.
-
Pourquoi les fonds sont-ils restés bloqués pendant neuf ans ?
La faille se trouvait dans la logique d’autorisations du contrat : les soldes des investisseurs restaient enregistrés on-chain, mais aucune voie de retrait n’existait, si bien que les ETH ne pouvaient pas être déplacés par leurs détenteurs initiaux.
-
Qui est Florent et qu’a fait le développeur ?
Florent est un développeur whitehat qui a exploité la faille d’autorisation du contrat pour rouvrir une voie de retrait, puis a rendu publique la méthode afin que les investisseurs initiaux puissent récupérer leur part directement.
-
Les investisseurs doivent-ils faire confiance à Florent pour récupérer leurs ETH ?
Non. La méthode ayant été rendue publique, les détenteurs peuvent exécuter la récupération eux-mêmes plutôt que de faire transiter les fonds par un intermédiaire ou le secouriste.
-
Ce type de récupération arrive-t-il souvent en crypto ?
Les récupérations de fonds stranded de l’ère ICO sont rares, et les interventions whitehat réussies qui rendent du capital aux investisseurs initiaux en constituent une sous-catégorie encore plus réduite — la plupart des contrats d’ICO aux soldes gelés le restent indéfiniment.