Este ano, a Memecoin tem sido o foco do mercado cripto e dos ecossistemas blockchain. Desde o início de 2024, muitas memecoins e plataformas de lançamento de memecoin, como Pump.Fun surgiram no ecossistema Solana com um crescimento surpreendente, atraindo um grande número de usuários para participar da emissão e negociação de várias memecoins. A negociação de memecoin em outros ecos blockchain também é extremamente quente, como a SunPump no ecossistema TRON, que teve um lucro líquido de um milhão de dólares em apenas duas semanas e a BNB Chain lançou a "Meme Innovation War Round 3".

O problema com a febre do memecoin é que os usuários precisam evitar vários riscos potenciais de segurança. Anteriormente, a Beosin realizou uma análise detalhada da segurança dos lançadores de memecoin, alertou sobre os riscos de centralização de plataformas de lançamento como Dexx com antecedência e auditou várias plataformas de lançamento de Memecoin como Tokr.fun, Pumpup e Pump404.

Hoje, vamos analisar os riscos comuns e os métodos maliciosos em memecoin do ponto de vista da segurança, ajudando os usuários em geral a dominar algumas habilidades para identificar os riscos relacionados a memecoin e evitar perdas financeiras.

Risco de Centralização

Recentemente, o incidente Dexx lembrou os usuários de prestarem atenção ao risco de centralização das plataformas centralizadas. Nesta seção, analisaremos o maior lançador de memecoin atual - Pump.Fun:

Por meio de transações on-chain, podemos descobrir que o endereço do contrato principal do Pump.Fun é 6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P. O código do contrato não é de código aberto e é controlado por um endereço de múltiplas assinaturas (7gZufwwAo17y5kg8FMyJy2phgpvv9RSdzWtdXiWHjFr8).

No entanto, se você verificar este endereço de multi-assinatura, na verdade é controlado por um único endereço (4zJkeipCFGvfcJvKm4TY57ED9uEdL3sBRvs8TPdZKG5Q), o que representa um risco pontual único.

Em 17 de maio, uma das chaves privadas da Pump.Fun vazou devido a problemas operacionais, resultando em uma perda de $1.9 milhões. A gestão das chaves privadas e a aplicação de múltiplas assinaturas são especialmente importantes na prevenção de falhas em um único ponto.

Quando Pump.Fun emite memecoins, os usuários precisam cunhar tokens através de $SOL na “piscina interna”. O preço do token nesse processo é determinado pela Curva de Vinculação. Para cada memecoin, Pump.Fun criará um programa de Curva de Vinculação correspondente, no qual os campos de dados são os seguintes:

A tokenTotalSupply é definida como 1 bilhão, e as reservas virtuais de Sol, reservas virtuais de token, reservas reais de token e reservas reais de Sol são utilizadas como parâmetros do AMM para calcular o preço do token. Quando outros usuários criam 800 milhões de tokens na “pool interna”, o campo “complete” se torna verdadeiro, e então o memecoin é negociado publicamente na pool de liquidez criada na Raydium.

Verificando os dados de qualquer contrato memecoin emitido pela Pump.Fun, podemos ver que o endereço privilegiado de sua autoridade de atualização é Pump.fun Token Mint Authority (TSLvdd1pWpHVjahSpsvCXUbgwsL3JAcvokwaKt1eokM), que é responsável pela criação de tokens. O campo 'mint' é o endereço do contrato memecoin correspondente e as informações do token.

Esses contratos memecoin não possuem funções de extensão de token e são os tokens SPL mais simples.

Portanto, não há endereço privilegiado que possa usar Delegação Permanente, Taxa de Transferência e outras funções na extensão do token para fazer o mal e causar perdas aos usuários quando participam das negociações de memecoin.

Controvérsia $Cheems

Em 25 de novembro, a Binance anunciou a listagem de contratos $Cheems. O preço do $Cheems subiu 35% e depois despencou mais de 60% em menos de um minuto, causando muita polêmica na comunidade.

Analisando a transação do token $Cheems na cadeia, podemos encontrar que o endereço da venda do grande token é 0xbb8365B1BA2462ffDce9C894Ada84478f474Fefc. O endereço é analisado através do Beosin KYT, e os resultados são mostrados na figura:

Em 25 de novembro, o endereço vendeu 331,2 bilhões de $Cheems em 1 minuto através do Pancakeswap e do agregador DEX OKX e obteve 406,21 $BNB e, em seguida, depositou todos os $BNB no endereço para a Binance.

Embora muitos usuários questionem se este endereço é uma “insider trading”, pode ser um endereço de dinheiro inteligente com múltiplas transações de compra e venda:

Desde 18 de novembro, o endereço começou a construir uma posição de $Cheems e vem vendendo continuamente durante o processo. Em 18 de novembro, o endereço comprou cerca de 131 bilhões de $Cheems e, 4 horas depois, vendeu 41,3 bilhões de $Cheems. Em 21 de novembro, o endereço também retirou 379,5 bilhões de $Cheems da bolsa Gate.io e, 2 horas depois, vendeu 175,8 bilhões de $Cheems na cadeia. Em 22 e 23 de novembro, também houve grandes compras e vendas parciais. O fluxo geral de fundos é mostrado na figura abaixo:

O endereço relevante neste incidente é

0xbb8365b1ba2462ffdce9c894ada84478f474fefc

0x0d0707963952f2fba59dd06f2b425ace40b492fe

0xbff62cee932fe7496a88c9193e9ba3fd5eeff46d

Além dos riscos de plataforma e PVP on-chain, os usuários também podem encontrar golpes de 'Pixiu' ao negociar memecoins. Anteriormente, a Beosin ajudou os usuários a entender esse tipo de golpe e medidas preventivas com casos. A seguir, está um resumo mais abrangente dos golpes relacionados a memecoins:

Tokens falsos

Um grande número de novas memecoins são lançadas todos os dias, e parece que há oportunidades para enriquecer em todos os lugares. Na verdade, existem projetos de imitação intermináveis, e é difícil para os usuários distinguir qual é o token certo para negociar.

Muitos implementadores de memecoin irão copiar os nomes e logotipos de token de projetos populares e criar contratos de token com os mesmos nomes . Os usuários podem entrar acidentalmente em projetos de imitação, ou até mesmo em plataformas de golpes ou armadilhas, porque não verificam cuidadosamente os endereços de contrato dos tokens, resultando na incapacidade de vender os tokens.

Além disso, a disputa entre a comunidade de criptomoedas e o emissor do token sobre a capitalização da memecoin também levou ao aumento e queda dos preços dos tokens relacionados. As recentes disputas e flutuações de preços entre $NEIRO e $neiro, $ELIZA e $eliza mostram o risco extremamente alto da memecoin. Os usuários precisam entender as informações relevantes da memecoin, o feedback da comunidade e ter cuidado com as partes do projeto que manipulam o mercado através de notícias.

Venda Restrita

Quando os usuários compram memecoins, podem ter encontrado golpes como honeypots, onde os tokens adquiridos não podem ser vendidos ou são difíceis de vender. As seguintes são maneiras comuns pelas quais os golpistas restringem os usuários de vender através de códigos de contrato:

(1) Lista negra/Lista branca

O emissor do token pode configurar uma função de lista negra/lista branca no contrato do token para restringir as transações do token. Por exemplo, se um endereço de usuário for adicionado à lista negra, o usuário pode não conseguir chamar transfer() ou transferFrom() no contrato do token para transferir tokens.

(2) Modificar saldo

O emitente do token também pode manipular o saldo de tokens do usuário por meio de contratos inteligentes e alterar o saldo de tokens do usuário para um valor extremamente baixo. Se a atualização do saldo for registrada apenas dentro do contrato, a vítima ainda poderá ver os tokens que possui no navegador blockchain, mas não poderá realmente vender mais tokens do que os registrados no contrato. Se o saldo da vítima for atualizado na cadeia, o usuário perceberá que o memecoin que comprou diminuiu ou até mesmo tem um saldo de 0.

O seguinte é um exemplo de código Solidity que define o saldo de um endereço na lista negra como 0:

Além do ecossistema EVM, Solana também tem uma função semelhante para modificar saldos - a extensão Delegado Permanente do programa de token:

O Delegado Permanente é a extensão oficial da funcionalidade de token da Solana. Os administradores têm o direito de transferir ou destruir tokens a qualquer momento. Seu objetivo é aplicar-se a alguns cenários de aplicação, como reciclagem de tokens e supervisão de stablecoin. Ao criar um token, o criador pode usar a instrução createInitializePermanentDelegateInstruction para inicializar o delegado permanente.

Como o Delegado Permanente tem muita autoridade, alguns hackers usam essa extensão para emitir tokens, atrair usuários para comprar seus tokens e depois lucrar com eles destruindo ou transferindo-os:

(3) Limiar de transação

Depois que os usuários compram certos memecoins, eles não podem vendê-los porque há um limite estrito de venda no contrato: os usuários devem exceder o número definido de tokens (e esse número de tokens excede em muito as participações de tokens do usuário) antes de poderem vender ou um imposto de transação elevado deve ser deduzido.

Como mostrado no exemplo de código abaixo, o desenvolvedor do contrato pode alterar o parâmetro amountToBurn para definir o imposto sobre a transação. Quando o parâmetro é definido como 2, 50% do valor do token será deduzido da transação do usuário.

A extensão de token da Solana também possui uma função TransferFee, que é usada para coletar impostos em cada transação do token. Para configurar o TransferFee, você precisa definir os seguintes campos:

● Taxa em pontos base: A taxa cobrada por cada transferência, em pontos base

● Taxa máxima: O limite superior da taxa de transferência

● Autoridade de taxa de transferência: pode modificar o endereço de taxa de transferência

● Retirada com autoridade retida: O endereço para o qual os tokens retidos na conta de token podem ser transferidos

Devido à existência de um limite para a taxa de transferência, o método de definição de impostos de transação para implementar o disco Pi Xiu no Solana não é comumente utilizado. É mais comum os usuários sofrerem perdas por meio de transferências de tokens ou destruição de tokens.

(4) Suspensão de Negociação

O emitente do token pode controlar o estado de pausa do contrato no contrato para restringir a transação do token. Uma vez que o contrato entra no estado de pausa, a função de transferência do contrato não estará disponível e os usuários não poderão negociar.

Por exemplo, no exemplo de código Solidity abaixo, a transferência só chamará _update para atualizar o saldo do usuário quando o contrato não estiver em estado suspenso.

(5) Tempo mínimo de retenção

Depois que um usuário compra memecoin, ele deve mantê-la por um período mínimo de tempo antes de poder negociá-la novamente. No entanto, esse período é definido pelo emissor do token e pode ser modificado à vontade. Eles podem modificar o tempo mínimo de retenção para um valor muito grande, de forma que os usuários não possam negociar.

Por exemplo, no exemplo de código Solidity a seguir, a transferência deve satisfazer o tempo de transferência atual maior ou igual ao último horário de atualização do usuário + o tempo de atraso definido no contrato.

Taxas exclusivas

Após os usuários comprarem memecoin, nenhuma taxa será cobrada ao negociar com outros usuários. No entanto, ao vender através do DEX (como Uniswap), uma taxa de manuseio será cobrada. Além de vender, a renda dos usuários que adicionam liquidez ou participam do staking também será afetada.

Por exemplo, no exemplo de código Solidity abaixo, as transações de token serão taxadas apenas quando o endereço de destino for um endereço de contrato.

Ou a taxa de manuseio não é deduzida do valor transferido, mas é reduzida adicionalmente do saldo do remetente. Se esse método não for tratado adequadamente, afetará seriamente o preço no DEX e fará com que o valor do token volte a zero.

Emissão de tokens adicionais

Emitir tokens adicionais é uma forma comum de implementar o Rug Pull. Como o proprietário do contrato do token ou o endereço privilegiado tem o direito de cunhar moedas, eles podem obter lucro emitindo tokens adicionais e vendendo-os. Este é um risco potencial comum no ecossistema EVM, Solana e TON. A seguir está a função de cunhagem de um token Jetton da TON, que possui um mecanismo de emissão adicional:

Distribuição Centralizada de Tokens

O problema da centralização da distribuição de tokens é um risco comum em projetos de blockchain. A maioria do fornecimento de tokens é controlada pela equipe do projeto, que pode manipular decisões-chave na governança on-chain por meio de votação de tokens ou manipular os preços de mercado por meio de transações em grande escala para afetar os ativos dos usuários.

Conforme mostrado no código Solidity abaixo, quando o token é implantado, a quantidade total de todos os tokens será alocada para o implantador do contrato.

Atualização de proxy

O modo de atualização de proxy usado em contratos de token é um modo comum de design de smart contracts. Ele pode realizar a atualização lógica por meio de contratos de proxy sem alterar a estrutura de dados dos contratos de armazenamento. Embora esse modo traga flexibilidade, também possui alguns riscos e perigos potenciais. O emissor do token pode alterar a lógica do contrato à vontade, resultando na perda ou roubo dos ativos do detentor do token.

Como mostrado no código Solidity abaixo, o Admin do contrato pode modificar o endereço da implementação do contrato. Uma vez que seja modificado para um contrato incorreto ou até mesmo um contrato malicioso, isso levará à perda ou roubo dos ativos do usuário.

Como evitar golpes?

Há infinitos golpes na febre do Memecoin. Se os usuários não tiverem cuidado, é provável que caiam em golpes relacionados e percam seus fundos. Portanto, a equipe de segurança da Beosin recomenda aos usuários:

1. Seja racional sobre o efeito de enriquecimento rápido do Memecoin e o efeito de publicidade do KOL. Após a listagem de um novo token na DEX, os usuários precisam permanecer racionais, evitar FOMO e evitar seguir cegamente a tendência.

2. Não confie em "informações internas" ou "informações confidenciais". Geralmente, essas são fraudes que armam armadilhas para atrair usuários a assumir riscos e investir sem analisar e pesquisar as informações.

3. Antes de comprar tokens, os usuários devem verificar os seguintes pontos-chave:

● O contrato do token é de código aberto?

● Existe um relatório de auditoria?

● Existe um mecanismo de lista negra/lista branca?

● Existe um imposto sobre transações? Como é coletado o imposto sobre transações?

● Existe um mecanismo de pausa?

● Se existem mecanismos especiais, como limitação do volume de transação, quantidade mínima de posse, tempo mínimo de posse, etc.

● As funções que o proprietário do contrato pode chamar são muito altas?

● Se o contrato usa o modo de proxy

● Como gerenciar os direitos do proprietário do contrato, se deve sobrescrever ou desistir

Beosin já realizou auditorias detalhadas de segurança em várias plataformas de lançamento de memecoin e contratos de token, incluindo Tokr.fun, Pumpup e Pump404, para garantir a segurança dos códigos de contrato, a correção da lógica de implementação de negócios e a segurança dos fundos do projeto e do usuário.

1. Muitas plataformas de negociação e ferramentas de monitoramento de risco listarão itens de detecção de contrato de token para os usuários. Consultar essas informações ajudará os usuários a melhorar a precisão na identificação de golpes. Os usuários podem consultar os resultados de detecção de várias ferramentas de segurança antes de negociar. As seguintes são ferramentas comumente usadas para detecção de risco:

● Honeypot: https://honeypot.is/

● Token Sniffer: https://tokensniffer.com/

● OKX: https://www.okx.com/zh-hans/web3/dex-market

● GoPlus: https://gopluslabs.io/token-security

● De.Fi: https://de.fi/scanner

● Beosin Alert: https://chromewebstore.google.com/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji

Resumo

Neste artigo, resumimos as formas comuns de golpes relacionados a memecoin. A partir disso, podemos ver que embora memecoin esteja cheio de oportunidades e possibilidades, também é acompanhado por várias armadilhas. Os usuários devem manter um alto grau de vigilância e cautela nas transações com memecoin para reduzir o risco de perda de capital. No mundo do Web3, a segurança sempre vem em primeiro lugar.

Aviso Legal:

1. Este artigo é reproduzido a partir de [Beosin]. Todos os direitos autorais pertencem ao autor original [ Beosin]. Se houver objeções a essa reimpressão, entre em contato com o Gate Learnequipe, e eles vão lidar com isso prontamente.
2. Isenção de Responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem nenhum conselho de investimento.
3. As traduções do artigo para outros idiomas são feitas pela equipe da Gate Learn. A menos que mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.