Hope Finance Launch-Day-Rug

Am 21. Februar 2023 vollzog das Arbitrum-basierte DeFi-Projekt Hope Finance, was weithin als Launch-Day-Rug-Pull charakterisiert wurde. Innerhalb von Stunden nach dem Go-Live waren rund 1.095 ETH (rund 1,86 Mio. $) aus den Nutzer-Deposit-Contracts über Celer und Uniswap nach Tornado Cash geroutet. Die offizielle Kommunikation von Hope Finance identifizierte den mutmaßlichen Täter als Ugwoke Pascal Chukwuebuka, einen nigerianischen Staatsbürger, und teilte sein Foto und seinen Wählerausweis öffentlich — eine ungewöhnlich direkte Zuschreibung in einem Rug-Pull-Fall.

Was geschah

Hope Finance war im Januar 2023 mit Marketing rund um einen algorithmischen Stablecoin (HOPE) gestartet, der die Supply dynamisch gegen den ETH-Preis anpassen sollte. Das Projekt beauftragte ein Security-Audit bei Cognitos, das einen Bericht zu den vom Projekt geteilten Contracts produzierte.

Die fatale Abweichung: Der Contract, den Hope Finance in Produktion deployte, war nicht der Contract, den Cognitos auditiert hatte. Cognitos erklärte später, das Hope-Team habe die Contracts vor dem Deployment mehrfach geändert, jede Änderung hätte ein Re-Review erfordert — und die schließlich deployte Version enthielt einen Pfad, der erlaubte, Gelder durch eine vom Team kontrollierte Adresse abzuziehen.

Als Nutzer-Einlagen beim Launch in den Contract flossen:

1. Gelder sammelten sich in den Deposit-Processing-Contracts an, als Nutzer am Launch teilnahmen.
2. Der Drain-Pfad wurde ausgelöst — entweder durch den legitimen Team-Betreiber (Rug-Pull-Interpretation) oder durch jemanden mit den Keys (in der wohlwollenderen Diebstahl-Interpretation).
3. Rund 1.095 ETH flossen über Celer Bridge zu Konsolidierungsadressen.
4. Die Erlöse wurden über Uniswap geswappt und binnen Stunden in Tornado Cash geroutet.

Der offizielle Hope-Finance-Account ging den ungewöhnlichen Schritt, öffentlich eine konkrete namentlich genannte Person zu beschuldigen — Ugwoke Pascal Chukwuebuka, identifiziert als nigerianischer Staatsbürger — und sein Foto und Wählerausweis-Bild zu veröffentlichen. Ob diese Zuschreibung korrekt war oder ein Sündenbock-Manöver zur Schuldverlagerung, wurde nie definitiv öffentlich geklärt.

Folgen

• Die Smart Contracts von Hope Finance wurden pausiert und das Projekt faktisch abgewickelt.
• Keine Rechtsverfahren wurden öffentlich bekannt; keine On-Chain-Wiederherstellung erfolgte.
• Der Vorfall wurde zu einem häufig zitierten Beispiel für Launch-Day-Rug-Pulls 2023 — einem Jahr, das Rekordzahlen kleinkapitalisierter DeFi-Launches mit ähnlichem Schicksal sah.

Warum es wichtig ist

Hope Finance ist eine der saubereren Fallstudien dafür, warum „auditierte" Behauptungen Ende-zu-Ende verifiziert werden müssen. Der Zyklus:

1. Projekt beauftragt Audit für Version A der Contracts.
2. Auditor meldet Probleme; Projekt iteriert zu Version B, C, D etc.
3. Projekt deployt Version E beim Launch, die Änderungen enthält, die der Auditor möglicherweise nicht erneut geprüft hat.
4. Nutzer sehen das Audit-Badge auf der Marketing-Seite des Projekts und nehmen an, „auditiert" bedeute „was du einzahlst, ist sicher".

Die defensive Antwort für Nutzer — verifizieren, dass der deployte Contract-Bytecode der auditierten Version entspricht — erfordert technisches Wissen, das die meisten Retail-Teilnehmer nicht haben. Die defensive Antwort für Auditoren — nur das spezifische Deployed-Address-Audit mit Bytecode-Hash und ohne Ambiguität veröffentlichen — wird zunehmend Standard, bleibt aber ungleichmäßig.

Die Hope-Finance-Zuschreibung ist auch als frühes Beispiel für öffentliche Nennung mutmaßlicher Täter bemerkenswert. Ob die Zuschreibung korrekt war oder nicht, das Präzedenz — Projekte, die reale Identitäten mutmaßlicher Angreifer öffentlich identifizieren — wurde von mehreren nachfolgenden Rug-Pull-Reaktionen aufgegriffen. Die rechtlichen und ethischen Implikationen bleiben umstritten; die Praxis hält an.