#美国终止政府停摆危机 11 ноября GoPlus, агентство безопасности, раскрыло уязвимость смарт-контрактов проекта Hello 402 — это не просто маленькая ошибка, а потенциально смертельный недостаток, который может оставить инвесторов без средств.

Начнем с самого серьезного: **бэкдор неограниченной эмиссии подтвержден**. Администратор через функцию addTokenCredits распределяет пользователям лимит на чеканку $H402, при этом вообще не проверяет, превышает ли это верхний предел MAX_SUPPLY. Другими словами, теоретически можно эмитировать столько, сколько захочется, общий лимит оказывается пустым.

Дальше будет еще более абсурдно. Функция redeemTokenCredits отвечает за выпуск токенов пользователями в соответствии с лимитом, что кажется нормальным; но функция WithdrawDevToken просто волшебна — она позволяет администратору в один клик выпустить все нераспределенные лимиты. Эта полномочия пугающе велика, это означает, что проект может в любой момент опустошить пул.

Проектная команда на самом деле уверенно заявляет в Твиттере: «Эта функция используется только для завершения приватного размещения токенов, создания экосистемных стимулов и резервирования пространства для прибыли». Проблема в том, что **ни одно из этих обещаний не прописано в коде смарт-контрактов**. Сколько стоит устная гарантия? На уровне контракта нет никакого ограничения, и стоимость нарушения практически равна нулю.

С технической точки зрения, ответственная команда вполне может жестко закодировать эти меры безопасности в смарт-контракты: например, установить «временную метку окончания частного размещения» или указать «логику разблокировки токенов». К сожалению, Hello 402 выбрала самый непрозрачный подход.

Этот риск централизованного манипулирования — оцените его сами.