3.2億円相当のイーサリアムが9年ぶり復活、救ったのは「バグ」

2016年に資金調達に失敗したイーサリアムのICO「HongCoin」から、ホワイトハッカーが約9年間ロックされていた1,003.62ETH（約200万ドル、約3.2億円）を解放したことが明らかになりました。

First white-hat exploit on Ethereum: I unlocked 1,003.62
Ξ ($2,000,000) trapped in a 2016 ICO smart contract
for 9 years.

The 48 original investors can now claim their funds. pic.twitter.com/lyh5iyaDu7

— 0xflorent.eth (@0xFlorent_) May 31, 2026

HongCoinは分散型ベンチャーファンドをうたった2016年のプロジェクトで、トークンセールが目標額に届かず参加者は返金機能を通じてETHを取り戻せるはずでした。しかし契約内部の会計処理に問題があり過去の返金によって全体のトークン数を示すカウンターが減少した結果、大口保有者の残高が条件に合わなくなり返金が拒否される状態に陥っていたとされています。

解放の手がかりとなったのは別の古いコードでした。マルチシグ（複数署名）で制限された管理機能がSolidity 0.8.0以前の「オーバーフロー時に値が一巡する」演算挙動を残しており、これを利用して保有残高を返金条件を満たす低い値に調整できたと説明されています。

一つの古いバグが、もう一つの古いバグによる被害を解消するという逆説的な結果となりました。

ただし、この回収には元のマルチシグの協力が不可欠でした。該当する管理機能を呼び出せるのは元の管理アドレスのみであり、研究者と旧管理者の連携によって初めて実現したとされています。回収では41件の署名取引が行われ、48人の投資家が資金を請求できるようになりました。外部の研究者が経路を発見し、正規の署名者が実行するという倫理的・運用上の境界が保たれた形です。

資金を取り戻すことができたこの事例は、識別可能なコード、有効な管理権限、公開された取引記録、そして十分な残存価値という条件がそろっていたために実現できたことであり、他の休眠コントラクトへ安易に一般化すべきではありません。

しかしながら、イーサリアムは誤ったコードを記憶し続ける一方で、時にはその抜け道も保存しているという教訓を残す事例になりそうです。