#美国终止政府停摆危机 11 Kasım'da, güvenlik ajansı GoPlus, Hello 402 projesinin akıllı sözleşmelerindeki bir açığı ifşa etti - bu küçük bir hata değil, yatırımcıların tüm sermayesini kaybetmesine neden olabilecek ölümcül bir kusur.

Öncelikle en ciddi olanı söyleyelim: **sınırsız arz arka kapısı kesinleşti**. Yönetici, addTokenCredits fonksiyonu aracılığıyla kullanıcılara $H402 basım limitleri dağıtırken, MAX_SUPPLY üst sınırını aşmasını kontrol etmedi. Başka bir deyişle, teorik olarak ne kadar arz etmek isterse o kadar arz edebilir, toplam limit etkisiz hale geliyor.

Daha da çarpıcı olanı daha sonra geliyor. redeemTokenCredits fonksiyonu, kullanıcıların limitlerine göre token basmasını sağlıyor, görünüşte normal; ancak WithdrawDevToken fonksiyonu oldukça tuhaf - bu, yöneticinin adresinin tek bir tıklama ile tüm tahsis edilmemiş limitleri basmasına izin veriyor. Bu yetki oldukça korkutucu, yani proje ekibi havuzu istediği zaman boşaltabilir.

Proje ekibi Twitter'da yemin ederek şunları söyledi: "Bu özellik yalnızca özel satış sona erdikten sonra tokenleri tamamlamak, ekosistem teşvikleri sağlamak ve kar alanı ayırmak için kullanılacak." Sorun şu ki, **bu taahhütlerin hiçbiri sözleşme koduna yazılmamış.** Sözlü taahhütler ne kadar değerli? Sözleşme düzeyinde hiçbir kısıtlama yok, ihlal maliyeti neredeyse sıfır.

Teknik açıdan, sorumlu bir ekip bu güvenlik önlemlerini sözleşmeye tamamen kodlayabilir: örneğin "özel satış son tarih damgası" belirlemek veya "token kilidinin açılma mantığını" belirtmek gibi. Ne yazık ki Hello 402 en şeffaf olmayan yaklaşımı seçti.

Bu merkeziyetsiz manipülasyon riski, herkes kendi başına değerlendirsin.