El 11 de noviembre de 2023, la agencia de seguridad GoPlus expuso la vulnerabilidad del contrato inteligente del proyecto Hello 402: no es un pequeño bug, sino un defecto mortal que podría hacer que los inversores pierdan todo su capital.

Empezando por lo más grave: **la puerta trasera de la emisión ilimitada ha sido confirmada**. El administrador asigna a los usuarios una cuota de acuñación de $H402 a través de la función addTokenCredits, sin verificar en absoluto si excede el límite de MAX_SUPPLY. En otras palabras, en teoría, se puede emitir tanto como se desee, ya que el límite total es solo una ilusión.

Lo más increíble está por venir. La función redeemTokenCredits es responsable de acuñar monedas según la asignación del usuario, parece normal; pero la función WithdrawDevToken es realmente mágica: permite a la dirección del administrador acuñar de una vez todos los créditos no asignados. Este privilegio es aterrador, ya que significa que el equipo del proyecto puede vaciar el fondo en cualquier momento.

El equipo del proyecto afirma de manera enfática en Twitter: "Esta función solo se utiliza para completar los tokens después de que termine la oferta privada, para impulsar los incentivos ecológicos y para reservar espacio de beneficios". El problema es que **ninguna de estas promesas está escrita en el código del contrato**. ¿Cuánto valen las garantías verbales? No hay ninguna restricción a nivel de contrato, el costo de incumplimiento es casi cero.

Desde un punto de vista técnico, un equipo responsable podría codificar completamente estas medidas de seguridad en el contrato: por ejemplo, establecer un "timestamp de finalización de la venta privada" o especificar la "lógica de desbloqueo de tokens". Desafortunadamente, Hello 402 eligió el enfoque menos transparente.

Este riesgo de manipulación centralizada, cada uno evalúe por sí mismo.