Rug del día de lanzamiento en Hope Finance

El 21 de febrero de 2023, el proyecto DeFi basado en Arbitrum Hope Finance completó lo que fue ampliamente caracterizado como un rug pull el día del lanzamiento. En cuestión de horas tras el arranque, aproximadamente 1.095 ETH (~1,86 M$) habían sido enrutados desde los contratos de depósito de usuarios a través de Celer y Uniswap hasta Tornado Cash. La comunicación oficial de Hope Finance identificó al presunto autor como Ugwoke Pascal Chukwuebuka, ciudadano nigeriano, y compartió públicamente su fotografía y DNI electoral: una atribución inusualmente directa en un caso de rug pull.

Qué ocurrió

Hope Finance había lanzado en enero de 2023 con marketing en torno a una stablecoin algorítmica (HOPE) que ajustaría dinámicamente el suministro contra el precio de ETH. El proyecto encargó una auditoría de seguridad a Cognitos, que produjo un informe sobre los contratos que el proyecto le compartió.

La divergencia fatal: el contrato que Hope Finance desplegó a producción no era el contrato que Cognitos había auditado. Cognitos declaró luego que el equipo de Hope había cambiado los contratos varias veces antes del despliegue, requiriendo cada cambio una nueva revisión, y que la versión final desplegada contenía una ruta que permitía drenar los fondos a una dirección controlada por el equipo.

Cuando los depósitos de los usuarios fluyeron al contrato en el lanzamiento:

1. Los fondos se acumularon en los contratos de procesamiento de depósitos conforme los usuarios participaban en el lanzamiento.
2. Se disparó la ruta de drenaje, ya fuera por el operador legítimo del equipo (en la interpretación de rug pull) o por alguien con las claves (en la interpretación más caritativa de robo).
3. ~1.095 ETH fluyeron a través del puente Celer a direcciones de consolidación.
4. Los ingresos se cambiaron mediante Uniswap y se enrutaron a Tornado Cash en cuestión de horas.

La cuenta oficial de Hope Finance tomó la medida inusual de acusar públicamente a un individuo concreto y nombrado —Ugwoke Pascal Chukwuebuka, identificado como ciudadano nigeriano— y publicar su fotografía e imagen del DNI electoral. Si esta atribución era correcta, o un chivo expiatorio para desviar culpas, nunca se resolvió definitivamente en público.

Consecuencias

• Los contratos inteligentes de Hope Finance fueron pausados y el proyecto cesó efectivamente.
• No se divulgaron procedimientos legales públicos; no hubo recuperación on-chain.
• El incidente se convirtió en un ejemplo frecuentemente citado de rug pulls el día del lanzamiento en 2023, año que vio números récord de lanzamientos DeFi de baja capitalización con destinos similares.

Por qué importa

Hope Finance es uno de los casos de estudio más claros de por qué las afirmaciones de "auditado" deben verificarse de extremo a extremo. El ciclo:

1. El proyecto encarga la auditoría sobre la Versión A de los contratos.
2. El auditor reporta problemas; el proyecto itera a las Versiones B, C, D, etc.
3. El proyecto despliega la Versión E en el lanzamiento, que incorpora cambios que el auditor puede o no haber revisado de nuevo.
4. Los usuarios ven la insignia de auditoría en la página de marketing del proyecto y asumen que "auditado" significa "aquello en lo que depositas es seguro".

La respuesta defensiva para usuarios —verificar que el bytecode del contrato desplegado coincide con la versión auditada— requiere conocimiento técnico que la mayoría de participantes retail no tienen. La respuesta defensiva para auditores —publicar solo la auditoría específica de la dirección desplegada, con hash del bytecode, sin ambigüedad— es cada vez más estándar pero sigue siendo desigual.

La atribución de Hope Finance también es notable como ejemplo temprano de nombramiento público de presuntos autores. Ya fuera la atribución correcta o no, el precedente —proyectos identificando públicamente identidades reales de presuntos atacantes— ha sido adoptado en varias respuestas posteriores a rug pulls. Las implicaciones legales y éticas siguen siendo controvertidas; la práctica continúa.