Bug Rp31 Miliar: Hacker White Hat Bebaskan Ethereum dari ‘Penjara Digital’ 2016

Dana tersebut tidak tersentuh selama bertahun-tahun. Investor menganggapnya sebagai kerugian total dari periode kacau dalam sejarah kripto.

Kuncinya: Fungsi Admin Tanpa Perlindungan Overflow

Pada akhir Mei 2026, peneliti keamanan anonim 0xflorent mulai mengutak-atik kontrak yang terbengkalai itu. Apa yang ia temukan adalah kerentanan (vulnerability) yang, dalam kontrak pintar modern mana pun, akan dianggap sebagai lubang keamanan yang mencolok: sebuah fungsi khusus admin yang rentan terhadap integer overflow .

Di masa-masa awal Solidity, operasi aritmatika pada bilangan bulat tak bertanda (uint) tidak secara otomatis gagal (revert) jika kalkulasi melebihi nilai maksimum. Sebaliknya, angka itu akan membungkus kembali ke nol (wrap around to zero) — sebuah perilaku yang bisa menjadi bencana jika tidak diperiksa. Adopsi luas library SafeMath secara langsung mengatasi hal ini, menjadikan perlindungan overflow sebagai bagian standar dari pengembangan Ethereum . Namun, kontrak HongCoin digunakan sebelum praktik itu menjadi umum.

Fungsi admin yang rentan itu awalnya dirancang untuk memungkinkan tim mencetak token hadiah untuk aktivitas tertentu. 0xflorent menyadari bahwa dengan memanggil fungsi ini dengan nilai input yang sengaja dibuat sangat besar, ia bisa memaksa saldo token seorang investor untuk overflow melewati 2^256 - 1, menyebabkannya membungkus ke angka yang sangat kecil — pada dasarnya meresetnya ke nilai di bawah penghitung global yang memblokir pengembalian dana .

Operasi White-Hat yang Terkoordinasi

Karena akses ke fungsi admin masih dilindungi oleh dompet multisignature tim HongCoin, 0xflorent tidak bisa bertindak sendiri. Ia menghubungi tim asli, membagikan bukti konsepnya yang telah diuji di lingkungan privat, dan mengusulkan misi penyelamatan yang terkoordinasi .

Tim tersebut setuju. Dari 26 hingga 30 Mei 2026, mereka mengeksekusi 41 transaksi on-chain . Dengan setiap panggilan, mereka dengan sengaja memicu integer overflow untuk mereset saldo token bagi setiap investor. Ini adalah eksploitasi cacat secara presisi, dilakukan bukan untuk mencuri dana, melainkan untuk membuka blokirnya.

Hasilnya adalah terbukanya semua 1.003,62 ETH. 0xflorent menggambarkan operasi ini sebagai "eksploitasi white-hat pertama di Ethereum," dan yang patut dicatat, ia tidak mengambil biaya sepeser pun dari aset yang dipulihkan — meskipun dua investor yang mengklaim lebih awal secara sukarela membayar bounty (hadiah) .

907 ETH Masih Menunggu Pemiliknya

Hari ini, kontrak asli HongCoin sudah berfungsi penuh. Tidak perlu front-end baru, portal migrasi, atau alat pihak ketiga. Investor cukup memanggil fungsi pengembalian dana lama yang sama secara on-chain, menggunakan dompet yang sama yang mereka gunakan untuk berkontribusi pada tahun 2016 .

Per 1 Juni 2026, situasinya sederhana namun belum selesai:

• Total tidak terkunci: Seluruh 1.003,62 ETH berhasil dibebaskan dari cengkeraman kontrak .
• Sudah diklaim: Hanya 2 dari 48 investor asli yang telah menarik ETH mereka, mengklaim total gabungan 96,5 ETH (sekitar $193.000 atau Rp3 miliar) .
• Masih bisa diklaim: Sekitar 907 ETH tetap berada di kontrak, tersedia untuk 46 investor sisanya .

Kisah ICO HongCoin adalah kapsul waktu dari masa remaja Ethereum, mendemonstrasikan bagaimana ketiadaan standar seperti SafeMath bisa mengunci jutaan dolar dalam kebuntuan digital. Ini juga membuktikan bahwa dalam sistem tanpa izin (permissionless), bahkan bug yang usianya hampir satu dekade pun dapat diubah menjadi kunci solusi — jika Anda memiliki keahlian untuk melihatnya, dan integritas untuk menggunakannya demi kebaikan.