#美国终止政府停摆危机 No dia 12 de novembro, a agência de segurança GoPlus revelou a vulnerabilidade do contrato inteligente do projeto Hello 402 - não se trata de um pequeno bug, mas de um defeito fatal que pode deixar os investidores sem nada.

Começando pelo mais sério: **a porta dos fundos da emissão infinita foi comprovada**. O administrador atribuiu a cota de mintagem de $H402 ao usuário através da função addTokenCredits, sem verificar se excedia o limite MAX_SUPPLY. Em outras palavras, teoricamente, pode-se emitir quanto se quiser, limitando o total a uma ilusão.

Ainda mais absurdo está por vir. A função redeemTokenCredits é responsável por permitir que os usuários mintem moedas de acordo com o limite, o que parece normal; mas a função WithdrawDevToken é realmente mágica - ela permite que o endereço do administrador mintar instantaneamente todo o limite não alocado. Esse poder é assustador, pois significa que a equipe do projeto pode esvaziar o fundo a qualquer momento.

A equipe do projeto está bastante confiante no Twitter: "Esta funcionalidade é utilizada apenas para completar os tokens após o término da oferta privada, para incentivos ecológicos e para reservar espaço de lucro". O problema é que **nenhuma dessas promessas está escrita no código do contrato**. Vale alguma coisa uma garantia verbal? Não há qualquer restrição ao nível do contrato, e o custo de violação é praticamente zero.

Do ponto de vista técnico, uma equipe responsável pode perfeitamente codificar essas medidas de proteção no contrato: por exemplo, definir um "timestamp de encerramento da pré-venda", ou especificar a "lógica de desbloqueio de tokens". Infelizmente, a Hello 402 escolheu a abordagem mais opaca.

Este risco de manipulação centralizada, cada um que pese por si mesmo.