#美国终止政府停摆危机 11月12日、安全機関GoPlusはHello 402プロジェクトのスマートコントラクトの脆弱性を暴露しました——これは小さなバグではなく、投資家が全てを失う可能性のある致命的な欠陥です。

最も深刻な問題から言いましょう：**無限発行のバックドアが確定しました**。管理者はaddTokenCredits関数を通じてユーザーに$H402の発行枠を割り当てる際、MAX_SUPPLYの上限を全く検証していませんでした。言い換えれば、理論的にはどれだけ発行したいかを発行できるため、総量制限は形だけのものに過ぎません。

さらに驚くべきことが待っています。redeemTokenCredits関数はユーザーが額に応じてコインを鋳造するのを担当しており、一見正常に見えます。しかし、WithdrawDevTokenという関数は非常に魔法のようです——それは管理者アドレスがワンクリックで未割り当てのすべての額を鋳造できることを許可します。この権限は非常に恐ろしいもので、プロジェクト側がいつでもプールを空にできることを意味します。

プロジェクト側はTwitterで断言しています：「この機能は私募終了後のトークン補填、エコシステムのインセンティブ、利益の確保にのみ使用されます」。問題は、**これらの約束が契約コードに一つも書かれていないことです**。口頭の保証はどれほどの価値がありますか？契約のレベルでは何の制約もなく、違約コストはほぼゼロです。

技術的な観点から見ると、責任あるチームはこれらの保証措置を完全にスマートコントラクトにハードコーディングすることができます。例えば、「プライベートセールの締切タイムスタンプ」を設定したり、「トークンのロック解除ロジック」を明記したりすることです。残念ながら、Hello 402は最も不透明な方法を選択しました。

この中央集権的な操作のリスクは、皆さん自身で考慮してください。