Neun Jahre sind eine lange Zeit, um auf eine Rückerstattung zu warten. Doch für 48 Investoren, die ETH an das HongCoin-ICO 2016 geschickt hatten, endete dieses Warten schließlich dank einer Ethereum-Whitehat-Rettung 2016 ICO, bei der mehr als 1.000 ETH im Wert von rund 2 Millionen US-Dollar aus einem Smart Contract geholt wurden, der seit den frühen Tagen von Krypto stillschweigend fehlerhaft funktionierte.
Der Entwickler hinter der Lösung tritt in sozialen Medien unter dem Namen 0xFlorent_ auf. In einem am Sonntag geteilten Beitrag erklärte er, dass HongCoins ICO-Contract so gebaut war, dass er die Gelder der Investoren zurückzahlen sollte, falls das Projekt sein Finanzierungsziel verfehlte. Dieses Ziel wurde tatsächlich verfehlt. Ein Fehler in der Refund-Funktion sorgte jedoch dafür, dass nie Geld zurückfloss. Das ETH blieb einfach dort liegen, eingefroren, während das Projekt in Vergessenheit geriet.
Bemerkenswert an der Geschichte ist nicht nur der Dollarbetrag. Sie erinnert auch daran, dass Fehler, die vor neun Jahren in Code geschrieben wurden, noch heute Ergebnisse beeinflussen können. In der Praxis zeigt der HongCoin-Fall, wie ein alter Smart-Contract-Bug-Refund jahrelang bestehen kann, bevor jemand eine praktikable Lösung findet.
Summary
Wie ein Bug ETH-Rückerstattungen neun Jahre lang blockierte
Als ICOs in den frühen Jahren von Ethereum an Fahrt aufnahmen, waren die Mechanismen relativ einfach. Investoren schickten ETH an einen Smart Contract im Austausch für Token, die an ein Projekt gebunden waren, das oft noch gar nicht gestartet war. Wenn das Projekt nicht genug Mittel einsammelte, sollte der Contract das ETH zurückschicken.
Der Contract von HongCoin hatte diesen Mechanismus eingebaut. Das Problem war, dass die Refund-Funktion sich auf eine falsche Zahl stützte, um zu bestimmen, welche Investoren für ihr Geld zurückzahlungsberechtigt waren. Da Smart Contracts exakt so ausgeführt werden, wie sie geschrieben sind – nicht mehr und nicht weniger – führte diese falsche Zahl dazu, dass die Funktion nie korrekt identifizierte, wer eine Rückerstattung beanspruchen konnte. Niemand bekam sein ETH, und niemand konnte es bekommen.
Diese Art von Bug ist von außen nicht offensichtlich. Der Contract lief weiter auf der Ethereum-Blockchain, lange nachdem HongCoin selbst keine Rolle mehr spielte. Es erschien keine Fehlermeldung. Es wurde kein Alarm ausgelöst. Stattdessen verschwanden mehr als 1.000 ETH stillschweigend im Nirgendwo.
Workaround schaltet Gelder in 48 Investor-Wallets frei
0xFlorent_ stellte fest, dass die fehlerhafte Logik des Contracts durch einen spezifischen Workaround behoben werden konnte, der es dem alten Contract ermöglichte, jeden blockierten Investor korrekt zu erkennen und seine Rückerstattung freizugeben. Nachdem er diese Lösung entwickelt und getestet hatte, griff das HongCoin-Team ein und führte 41 separate Unlock-Transaktionen aus, wodurch letztlich Gelder für alle 48 betroffenen Investoren freigegeben wurden. On-Chain-Daten auf Etherscan wurden als überprüfbarer Nachweis der Wiederherstellung bereitgestellt.
Der Umfang ist in Dollar gemessen nach den Maßstäben von 2026 eher bescheiden. Dennoch ist der Prozess selbst bedeutsam. Er erforderte das Identifizieren eines ruhenden Contracts, das Reverse-Engineering der Gründe für das Versagen der Refund-Logik, das Konstruieren eines korrigierten Pfads, der innerhalb der ursprünglichen Contract-Beschränkungen funktionierte, und die Koordination mit dem verbliebenen Projektteam zur Ausführung der Transaktionen.
Genau diese Kombination aus technischer Präzision und kooperativer Umsetzung macht Whitehat-Rettungen wie diese so selten.
Warum die HongCoin-ETH-Rettung so ungewöhnlich ist
Andy Yajin Zhou, Associate Professor an der Chinese University of Hong Kong und Mitgründer der On-Chain-Sicherheitsfirma BlockSec, äußerte sich klar zu den Grenzen dessen, was diese Rettung zeigt. Der HongCoin-Fall funktionierte, weil der Contract zufällig eine Schwachstelle enthielt, die ein erfahrener Entwickler sicher ausnutzen und in Richtung Rückgabe von Geldern – statt Diebstahl – umlenken konnte.
„Leider können wir nicht davon ausgehen, dass alte Ethereum-Contracts im Allgemeinen solche Schwachstellen haben“, sagte Zhou. In vielen alten Contracts bleiben gesperrte Gelder aus völlig anderen Gründen unzugänglich: verlorene Private Keys, Contract-Logik, die keinen ausnutzbaren Pfad bietet, oder Code, der so unumkehrbar ist, dass auf keiner technischen Ebene ein Workaround existiert.
Es gibt zudem keine verlässliche Schätzung, wie viel ETH dauerhaft in alten Contracts gefangen ist. Die Summe könnte beträchtlich sein, aber ein Großteil davon dürfte schlicht verloren sein, statt auf irgendeinem Weg wiederherstellbar.
- Es muss ein Contract-Bug existieren, der ausnutzbar ist, ohne Gelder böswillig abzuziehen.
- Das ursprüngliche Projektteam muss noch erreichbar und handlungsbereit sein.
- Der Contract muss weiterhin einen technischen Einstiegspunkt für ein Eingreifen bieten.
Fällt eine dieser Bedingungen weg, bleiben die Gelder eingefroren. Deshalb stellte Dominick John, Analyst bei Zeus Research, den HongCoin-Fall als Beleg dafür dar, dass einige als verloren abgeschriebene Vermögenswerte „nicht außer Reichweite“ sein müssen – ohne jedoch im Geringsten zu suggerieren, dass ähnliche Erfolge an jeder Ecke warten.
Was die Rettung für die DeFi-Sicherheit im Jahr 2026 bedeutet
Das Timing dieser Rettung fällt in einen düsteren Kontext für die Sicherheit im dezentralen Finanzwesen. Über 840 Millionen US-Dollar gingen allein in den ersten fünf Monaten des Jahres 2026 durch Angriffe auf DeFi-Protokolle verloren, wobei der April mit über 600 Millionen US-Dollar an gestohlenen Geldern heraussticht. Vor diesem Hintergrund wirkt eine Geschichte über wiederhergestellte – statt gestohlene – Gelder fast deplatziert.
Dennoch gibt es einen wichtigen Unterschied zwischen zwei sehr verschiedenen Problemen. Eingefrorene Gelder durch Contract-Bugs stellen ein Designversagen dar, das im alten Code verankert ist. Gestohlene Gelder aus modernen DeFi-Exploits stehen für aktive, andauernde Schwachstellen in laufenden Protokollen. Beide verweisen auf dieselbe grundlegende Herausforderung: Smart Contracts sind unerbittlich, und Fehler neigen dazu, sich im Laufe der Zeit zu verstärken.
Wie John anmerkte, deutet die HongCoin-Rettung jedoch darauf hin, dass bessere Sicherheitsforschung und fortschrittlichere Blockchain-Tools künftig mehr ruhende Werte aus alten On-Chain-Systemen zutage fördern könnten. Manche Contracts, die wie Sackgassen aussehen, sind es möglicherweise nicht. Manches ETH, das vor Jahren abgeschrieben wurde, könnte unter den richtigen Bedingungen noch zurückgeholt werden.
Das ist ein begrenzter Optimismus, der auf einem sehr spezifischen Set von Umständen beruht, aber er ist real. Und für 48 Investoren, die längst aufgehört hatten, irgendetwas aus einem Krypto-Projekt von 2016 zu erwarten, war er am Ende rund 2 Millionen US-Dollar wert.
FAQ
Wie konnte der Ethereum-Whitehat das feststeckende ETH zurückholen?
0xFlorent_ stellte fest, dass HongCoins Refund-Funktion sich auf eine falsche Zahl stützte, um die Berechtigung von Investoren zu bestimmen. Er entwickelte einen Workaround, der es dem Contract ermöglichte, blockierte Investoren korrekt zu erkennen, woraufhin das HongCoin-Team 41 Unlock-Transaktionen ausführte, um die Gelder freizugeben.
Warum waren ETH-Rückerstattungen so lange blockiert?
Ein Bug im Smart Contract des HongCoin-ICO von 2016 zerstörte den Refund-Mechanismus, der ETH an Investoren zurückzahlen sollte, nachdem das Projekt sein Finanzierungsziel verfehlt hatte. Da Smart Contracts exakt so ausgeführt werden, wie sie programmiert sind, verhinderte die fehlerhafte Logik neun Jahre lang jede Rückerstattung.
Wie viele Investoren profitierten von der Rettung?
Die Rettung umfasste 48 Investoren, wobei 41 Unlock-Transaktionen vom HongCoin-Team ausgeführt wurden, um ihre Gelder zurückzuzahlen.
Sind solche Rettungen in Ethereum-Smart-Contracts üblich?
Nein. Laut BlockSec-Mitgründer Andy Yajin Zhou sind solche Rettungen selten und hängen von einer sehr spezifischen Art von Contract-Schwachstelle ab. Es kann nicht davon ausgegangen werden, dass alte Ethereum-Contracts im Allgemeinen Fehler enthalten, die eine sichere Freisetzung von Geldern ermöglichen.
Was sind die Herausforderungen bei der Wiederherstellung von Geldern aus alten Contracts?
Die wichtigsten Hürden sind verlorene Private Keys, Contract-Logik ohne ausnutzbaren Wiederherstellungspfad und die Notwendigkeit, ein ursprüngliches Projektteam zu erreichen und zu koordinieren, das möglicherweise nicht mehr aktiv ist. Selbst wenn ein Bug existiert, müssen die Bedingungen für eine sichere Rettung präzise zusammenpassen.
