GoPlus：Hello 402合约存在无限增发与中心化操纵隐患

2025-11-12 09:18

BlockBeats 消息，11 月 12 日，GoPlus 在社交媒体上发文表示，Hello 402 合约存在一些比较隐蔽的风险——无限增发与中心化操纵隐患，详细如下：

· 管理员地址权限极高，完全管控着 $H402 的铸造与分配。例如： addTokenCredits 函数，管理员给用户分配 $H402 铸造份额，但并未检查是否会超过 MAX_SUPPLY 总数，类似形成无限增发后门；

· redeemTokenCredits 函数，用户根据份额进行 $H402 实际铸造；

· WithdrawDevToken 函数，允许管理员地址将所有未分配份额进行一次性铸造，中心化操纵风险高。

· 项目方在 X 中声明的 WithdrawDevToken 函数仅用于私募结束后的「代币补齐」、「生态激励」、「利润空间」等承诺，均没有在合约层面进行具体实现，中心化违约风险高。

GoPlus 表示，从技术角度来说，一个负责任的项目方完全可以将这些保障社区和投资者利益的承诺通过合约实现，并公示。例如，在合约中内置」私募结束」的具体时间、在合约中内置「代币铸造与解锁」的具体逻辑等。

AI 解读

从技术角度看，Hello 402合约暴露了当前DeFi项目中常见的两类核心风险：权限控制缺失与合约逻辑缺陷。管理员地址拥有过高的权限，例如addTokenCredits函数未设置供应量上限检查，直接绕过了MAX_SUPPLY的限制，这本质上是一种无限增发漏洞。而WithdrawDevToken函数允许管理员一次性铸造所有未分配份额，进一步加剧了中心化操纵风险。

项目方在社交媒体承诺的“代币补齐”、“生态激励”等用途，并未通过合约代码固化，这意味着这些承诺缺乏可执行约束，存在极高的违约可能性。一个负责任的项目应当将这类关键逻辑写入智能合约，例如通过时间锁、线性释放或多重签名机制来限制管理员权限，确保代币分配透明且可验证。

GoPlus作为安全机构，指出这些问题符合其一贯的技术中立立场。从历史动态可以看出，GoPlus长期关注智能合约安全、权限管理漏洞（如BNB Chain攻击事件）和Rugpull模式分析，并曾提出EIP标准以解决授权风险。此次对Hello 402的预警，是其安全服务能力的自然延伸，也反映了行业对合约代码透明度和去中心化实践的更高要求。

这类问题不仅影响单个项目，更暴露了DeFi生态中普遍存在的“信任假设”漏洞——用户往往被迫信任项目方的口头承诺而非代码本身。未来，随着监管和用户安全意识的提升，智能合约的安全审计和权限最小化设计将成为项目合规的基础条件。

展开

原文链接

纠错/举报

本平台现已全面集成Farcaster协议, 如果您已有Farcaster账户, 可以登录后发表评论