今年，Memecoin已成為加密市場和區塊鏈生態系統的焦點。自2024年初以來，許多memecoin和memecoin發行平臺（如Pump.Fun）在Solana生態系統中迅速崛起，吸引了大量用戶參與各種memecoin的發行與交易。其他區塊鏈生態中的memecoin交易也異常火熱，例如TRON生態系統中的SunPump，僅用兩週便實現了100萬美元的淨利潤；而BNB Chain也推出了“Meme創新戰第3輪”。

隨著memecoin熱潮的興起，用戶需要警惕各種潛在的安全風險。此前，Beosin已經對memecoin發行平臺的安全性進行了詳細分析，提前警告瞭如Dexx等發行平臺的中心化風險，並審計了多個memecoin發行平臺，例如Tokr.fun、Pumpup和Pump404。

今天，我們將從安全角度分析memecoin中的常見風險和惡意方法，幫助普通用戶掌握識別與memecoin相關風險的技巧，避免財務損失。

中心化風險

最近，Dexx事件提醒用戶注意中心化平臺的中心化風險。在本節中，我們將分析當前最大的memecoin發行平臺——Pump.Fun：

通過鏈上交易，我們可以發現Pump.Fun的核心合約地址為6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P。該合約代碼並未開源，並由一個多籤地址（7gZufwwAo17y5kg8FMyJy2phgpvv9RSdzWtdXiWHjFr8）控制。

然而，如果進一步檢查這個多籤地址，實際上它由單一地址（4zJkeipCFGvfcJvKm4TY57ED9uEdL3sBRvs8TPdZKG5Q）控制，這帶來了單點風險。

5月17日，由於操作問題，Pump.Fun的一把私鑰被洩露，導致損失190萬美元。這表明，在防止單點故障方面，私鑰管理和多籤機制的應用尤為重要。

在Pump.Fun發行memecoin時，用戶需要通過$SOL在“內池”中鑄造代幣。在此過程中，代幣價格由Bonding Curve決定。對於每種memecoin，Pump.Fun將創建一個相應的Bonding Curve程序，其數據字段如下：

代幣總供應量（tokenTotalSupply）設置為10億，virtualSolReserves、virtualTokenReserves、realTokenReserves 和 realSolReserves 被用作 AMM 參數以計算代幣價格。當其他用戶在“內池”中鑄造了8億代幣時，“complete”字段會變為true，此時 memecoin 會在 Raydium 上創建的流動性池中進行公開交易。

查看由 Pump.Fun 發佈的任何 memecoin 合約數據，可以發現其更新權限的特權地址是 Pump.fun Token Mint Authority（TSLvdd1pWpHVjahSpsvCXUbgwsL3JAcvokwaKt1eokM），該地址負責代幣的鑄造。“mint”字段是對應的 memecoin 合約地址和代幣信息。

這些 memecoin 合約沒有代幣擴展功能，是最簡單的 SPL 代幣。

因此，在用戶參與 memecoin 交易時，不存在能夠利用代幣擴展功能（例如 Permanent Delegate、TransferFee 等）作惡的特權地址，從而避免對用戶造成損失。

$Cheems爭議

11月25日，Binance宣佈上線$Cheems合約。$Cheems價格在短短不到一分鐘內上漲35%，隨後暴跌超60%，在社區引發了大量爭議。

通過鏈上分析$Cheems代幣交易，可以發現一個關鍵的拋售地址是：0xbb8365B1BA2462ffDce9C894Ada84478f474Fefc。通過Beosin KYT對該地址進行分析，結果如下圖所示：

11月25日，該地址通過Pancakeswap和OKX DEX聚合器在1分鐘內拋售了331.2億枚$Cheems，獲得了406.21枚$BNB，隨後將所有$BNB存入了Binance。

儘管許多用戶質疑該地址是否涉及“內幕交易”，但也可能是一個進行多次買賣操作的“聰明資金”地址：

• 自11月18日起，該地址開始建倉$Cheems，並在過程中持續出售。11月18日，該地址首次購買了約131億枚$Cheems，並在4小時後賣出41.3億枚$Cheems。
• 11月21日，該地址還從Gate.io交易所提取了379.5億枚$Cheems，並在2小時後在鏈上賣出175.8億枚$Cheems。
• 11月22日和23日，該地址也進行了大量買入和部分賣出操作。

整體資金流向如下圖所示：

本次事件的相關地址包括：

• 0xbb8365b1ba2462ffdce9c894ada84478f474fefc
• 0x0d0707963952f2fba59dd06f2b425ace40b492fe
• 0xbff62cee932fe7496a88c9193e9ba3fd5eeff46d

除了平臺風險和鏈上PVP外，用戶在交易memecoin時還可能遇到“貔貅”騙局。此前，Beosin通過案例幫助用戶瞭解此類騙局及防範措施。以下是memecoin相關騙局的更全面總結：

假代幣

每天都有大量新的memecoin推出，看似到處都有致富的機會。實際上，各種模仿項目層出不窮，用戶很難辨別哪個是真正可交易的代幣。

許多memecoin的部署者會複製熱門項目的名稱和代幣標誌，並創建相同名稱的代幣合約。用戶如果不仔細核對代幣的合約地址，可能會誤入模仿項目，甚至是騙局平臺或蜜罐合約，導致無法賣出代幣。

此外，加密社區和代幣發行方之間關於memecoin資本化的爭議，也導致相關代幣價格的大漲大跌。最近$NEIRO與$neiro、$ELIZA與$eliza之間的爭議和價格波動表明了memecoin的極高風險。用戶需要了解相關memecoin的信息、社區反饋，並警惕項目方通過新聞操控市場。

限制出售

用戶購買memecoin時，可能會遇到蜜罐騙局，即購買的代幣無法出售或難以出售。以下是騙子通過合約代碼限制用戶出售的常見方式：

(1) 黑名單/白名單

代幣發行方可以在代幣合約中設置黑名單/白名單功能以限制代幣交易。例如，如果用戶地址被加入黑名單，該用戶可能無法調用代幣合約中的transfer()或transferFrom()來轉移代幣。

(2) 修改餘額

代幣發行方還可以通過智能合約操控用戶的代幣餘額，將其改為極低的數值。如果餘額更新僅記錄在合約內部，受害者在區塊鏈瀏覽器上仍可看到所持有的代幣，但實際無法出售超過合約記錄的代幣數量。如果餘額更新在鏈上，用戶會發現其購買的memecoin減少甚至餘額變為0。以下是將黑名單地址餘額設置為0的Solidity代碼示例：

除了EVM生態，Solana也有類似修改餘額的功能——Token Program的Permanent Delegate擴展：

Permanent Delegate是Solana官方的代幣功能擴展，管理員有權隨時轉移或銷燬代幣。其目的是應用於某些場景，例如代幣回收和穩定幣監管。在創建代幣時，創建者可以使用createInitializePermanentDelegateInstruction指令初始化Permanent Delegate。

由於Permanent Delegate權限過大，一些黑客利用此擴展發行代幣，吸引用戶購買其代幣，然後通過銷燬或轉移獲利：

(3) 交易門檻

用戶購買某些memecoin後，可能無法出售，因為合約中存在嚴格的出售門檻：用戶需持有超過設定數量的代幣（這一數量遠超用戶持有量）才可出售，或需要支付高額的交易稅。

以下代碼示例顯示合約開發者如何通過更改amountToBurn參數設置交易稅。當該參數設置為2時，用戶交易中將扣除50%的代幣。

Solana的代幣擴展也有一個TransferFee功能，用於為每筆代幣交易收取手續費。配置TransferFee需要設置以下字段：

• Fee in basis points：每次轉賬收取的費用，以基點為單位
• Maximum fee：轉賬費用的上限
• Transfer fee authority：可修改TransferFee的地址
• Withdraw with held authority：可轉移代幣賬戶中被扣押代幣的地址

由於轉賬費用存在上限，通過設置交易稅實現“貔貅盤”的方法在Solana上並不常見。更常見的是用戶通過代幣轉移或銷燬而遭受損失。

(4) 暫停交易

代幣發行方可以通過合約中的暫停狀態功能控制合約的狀態，以限制代幣交易。一旦合約進入暫停狀態，合約的轉賬功能將無法使用，用戶無法交易。

例如，以下Solidity代碼中，只有當合約不處於暫停狀態時，transfer函數才會調用_update更新用戶餘額：

(5) 最小持有時間

用戶購買memecoin後，必須持有一定的最小時間才能再次交易。但這個時間由代幣發行方設定，可以隨意修改。發行方可以將最小持有時間改為非常大的值，使用戶無法交易。

以下Solidity代碼示例中，只有噹噹前交易時間大於等於用戶上次更新時間與合約設置的延遲時間之和時，才能完成轉賬：

獨特手續費

用戶購買memecoin後，與其他用戶交易時通常不收取手續費。但通過DEX（如Uniswap）出售時，會被收取手續費。此外，用戶添加流動性或參與質押的收益也會受到影響。

例如，在以下Solidity代碼示例中，只有當接收地址（to）是合約地址時，代幣交易才會被收取手續費：

或者手續費不是從轉賬金額中扣除，而是從發送方的餘額中額外減少。如果處理不當，這種方法會嚴重影響DEX中的價格，並導致代幣價值歸零。

增發代幣

增發代幣是一種常見的Rug Pull實現方式。由於代幣合約的所有者或擁有特權的地址有鑄幣的權限，他們可以通過增發代幣並出售獲利。這是EVM生態、Solana和TON中常見的潛在風險。以下是TON的一個Jetton代幣的鑄幣函數示例，該函數具有增發機制：

代幣分配中心化

代幣分配中心化問題是區塊鏈項目中的常見風險。大部分代幣供應由項目團隊控制，他們可以通過代幣投票操控鏈上治理中的關鍵決策，或通過大規模交易操縱市場價格，影響用戶資產。

如下Solidity代碼所示，當代幣部署時，所有代幣總量都分配給合約的部署者：

代理升級

在代幣合約中使用的代理升級模式是一種常見的智能合約設計模式。該模式通過代理合約實現邏輯升級，而無需更改存儲合約的數據結構。儘管此模式帶來了靈活性，但也存在一些潛在風險和危害。代幣發行方可以隨意更改合約邏輯，導致代幣持有者的資產丟失或被盜。

如下Solidity代碼所示，合約的Admin可以修改合約實現的地址。一旦修改為錯誤的合約甚至是惡意合約，就會導致用戶資產的損失或被盜：

如何避免騙局？

在Memecoin熱潮中，各類騙局層出不窮。用戶如果不加小心，極有可能陷入相關騙局並損失資金。因此，Beosin安全團隊建議用戶注意以下幾點：

1. **理性看待Memecoin的快速致富效應及KOL宣傳效應

**在新代幣上線DEX後，用戶需保持理性，避免FOMO心態，不要盲目跟風。

1. **不要輕信“內幕消息”或“機密信息”

**這些通常是騙局，設計陷阱誘導用戶冒險投資，而用戶沒有對信息進行篩選和研究。

1. 在購買代幣前，用戶需檢查以下關鍵點：
   • 代幣合約是否開源？
   • 是否有審計報告？
   • 是否存在黑名單/白名單機制？
   • 是否存在交易稅？交易稅如何收取？
   • 是否存在暫停機制？
   • 是否存在限制交易量、最小持有量、最短持有時間等特殊機制？
   • 合約擁有者可調用的權限是否過高？
   • 合約是否採用代理模式？
   • 合約的擁有者權限如何管理，是否進行多重簽名或已放棄？

Beosin曾對多個memecoin發行平臺和代幣合約（包括Tokr.fun、Pumpup和Pump404）進行詳細安全審計，以確保其合約代碼的安全性、業務實現邏輯的正確性，以及項目與用戶資金的安全性。

1. 參考交易平臺和風險監測工具的代幣合約檢測項

使用這些信息可以幫助用戶更精準地識別騙局。在交易前參考多個安全工具的檢測結果。以下是常用的風險檢測工具：

Honeypot: https://honeypot.is/

Token Sniffer: https://tokensniffer.com/

OKX: https://www.okx.com/zh-hans/web3/dex-market

GoPlus: https://gopluslabs.io/token-security

De.Fi: https://de.fi/scanner

Beosin Alert: https://chromewebstore.google.com/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji

總結

本文總結了memecoin相關騙局的常見方式。由此可見，儘管memecoin充滿機會和可能性，但也伴隨著各種陷阱。用戶在進行memecoin交易時，必須保持高度警惕和謹慎，以降低資金損失風險。在Web3世界中，安全永遠是第一位的。

免責聲明

1. 本文轉載自【Beosin】，版權歸原作者【Beosin】所有。如對本轉載內容有異議，請聯繫 Gate Learn 團隊，他們將及時處理。
2. 責任聲明：本文所表達的觀點和意見僅代表作者個人觀點，不構成任何投資建議。
3. 本文的翻譯由 Gate Learn 團隊完成，除特別說明外，禁止複製、傳播或剽竊已翻譯的文章內容。