#美国终止政府停摆危机 11 листопада безпекова агенція GoPlus виявила ризики смартконтрактів проєкту Hello 402 — це не просто маленька помилка, а потенційно смертельний дефект, який може призвести до повної втрати інвестицій.

Спочатку про найсерйозніше: **безмежне випускання зловмисної програми підтверджено**. Адміністратор через функцію addTokenCredits надає користувачу квоту на випуск $H402, при цьому зовсім не перевіряє, чи перевищує вона ліміт MAX_SUPPLY. Іншими словами, теоретично можна випускати стільки, скільки хочеться, обмеження на загальну кількість є суто формальним.

Ще більш абсурдні речі попереду. Функція redeemTokenCredits відповідає за карбування монет користувачами згідно з їхніми квотами, що виглядає нормально; але функція WithdrawDevToken просто магічна — вона дозволяє адресі адміністратора одним натисканням кнопки карбувати всі невикористані квоти. Ця влада вражає, що дорівнює тому, що команда проекту може в будь-який момент вивести всі кошти з пулу.

Розробники на Twitter запевняли: «Ця функція використовується лише для завершення приватного розміщення токенів, стимулювання екосистеми та резервування прибутку». Проблема в тому, **жодна з цих обіцянок не прописана в коді контракту**. Скільки коштує усна гарантія? На рівні контракту немає жодних зобов'язань, вартість порушення практично дорівнює нулю.

З технічної точки зору, відповідальна команда цілком може закодувати ці заходи в контракт: наприклад, встановити «часовий штамп закінчення приватного продажу» або вказати «логіку розблокування токенів». На жаль, Hello 402 обрав найменш прозорий підхід.

Цей ризик централізованого маніпулювання, кожен нехай сам вирішує.