Le 12 novembre, l'agence de sécurité GoPlus a révélé un risque de smart contracts pour le projet Hello 402 - ce n'est pas un petit bug, mais un défaut mortel qui pourrait faire perdre tous les investissements des investisseurs.

Commençons par le plus grave : **la porte dérobée de l'émission illimitée est confirmée**. L'administrateur attribue des crédits de frappe $H402 aux utilisateurs via la fonction addTokenCredits sans jamais vérifier si cela dépasse la limite MAX_SUPPLY. En d'autres termes, théoriquement, on peut émettre autant qu'on le souhaite, la limite totale est pratiquement inexistante.

Il y a encore plus incroyable à venir. La fonction redeemTokenCredits est responsable de l'émission de jetons par les utilisateurs selon le quota, ce qui semble normal ; mais la fonction WithdrawDevToken est vraiment magique - elle permet à l'adresse de l'administrateur de frapper d'un coup tous les quotas non attribués. Ce pouvoir est terrifiant, car cela signifie que l'équipe du projet peut vider le pool à tout moment.

L'équipe du projet a en effet juré sur Twitter : « Cette fonctionnalité n'est utilisée que pour compléter les jetons après la fin de la collecte de fonds, pour des incitations écologiques et pour réserver un espace de profit ». Le problème est que **aucune de ces promesses n'est écrite dans le code du contrat**. Quelle valeur ont des garanties verbales ? Il n'y a aucune contrainte au niveau du contrat, le coût de la violation est presque nul.

D'un point de vue technique, une équipe responsable peut tout à fait coder ces mesures de protection dans le contrat : par exemple, en définissant un « timestamp de clôture de la levée de fonds privée », ou en précisant la « logique de déblocage des tokens ». Malheureusement, Hello 402 a choisi la méthode la moins transparente.

Ce risque de manipulation centralisée, chacun doit le peser par soi-même.