Цього року Мемкоїн став центром уваги криптовалютного ринку та екосистем блокчейну. З початку 2024 року в екосистемі Solana з'явилося багато мемкоїнів та платформ для їх запуску, таких як Pump.Fun, з дивовижним зростанням, що привернуло велику кількість користувачів для участі в емісії та торгівлі різними мемкоїнами. Торгівля Мемкоїном в інших екосистемах блокчейну також дуже популярна, наприклад, SunPump в екосистемі TRON, який за два тижні заробив чистий прибуток у розмірі одного мільйона доларів США, та BNB Chain запустила "Війну інновацій мемів Раунд 3".

Проблема з хвилиною мемкоїнів полягає в тому, що користувачам потрібно уникати різних потенційних загроз безпеці. Раніше Beosin проводив детальний аналіз безпеки майданчиків для запуску мемкоїнів, попереджав про ризики централізації платформ запуску, таких як Dexx, і перевіряв кілька платформ для запуску мемкоїнів, таких як Tokr.fun, Pumpup та Pump404.

Сьогодні ми проаналізуємо загальні ризики та зловмисні методи в мемкоїні з точки зору безпеки, що допоможе звичайним користувачам оволодіти деякими навичками для ідентифікації ризиків, пов'язаних з мемкоїном, та уникнення фінансових збитків.

Ризик централізації

Нещодавно інцидент Dexx нагадав користувачам про потребу уваги до ризику централізації централізованих платформ. У цьому розділі ми проаналізуємо найбільшу на даний момент платформу для запуску мемкоїнів - Pump.Fun:

Через ланцюжкові транзакції ми можемо знайти, що основна адреса контракту Pump.Fun - 6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P. Код контракту не є відкритим джерелом і контролюється адресою з багатоцифровим підписом (7gZufwwAo17y5kg8FMyJy2phgpvv9RSdzWtdXiWHjFr8).

Однак, якщо ви перевірите цю адресу багатоадресного підпису, насправді вона контролюється однією адресою (4zJkeipCFGvfcJvKm4TY57ED9uEdL3sBRvs8TPdZKG5Q), що створює ризик однієї точки.

17 травня через проблеми з експлуатацією витік одного з приватних ключів Pump.Fun, що призвело до втрати 1,9 мільйона доларів. Управління приватними ключами та застосування багатофакторної аутентифікації особливо важливі для запобігання одній точці відмови.

Коли Pump.Fun випускає мемкоїни, користувачам потрібно створити токени через $SOL в «внутрішньому пулі». Ціна токена в цьому процесі визначається кривою зв'язування. Для кожного мемкоїна Pump.Fun створить відповідну програму кривої зв'язування, в якій поля даних є наступними:

tokenTotalSupply встановлено на 1 мільярд, а virtualSolReserves, virtualTokenReserves, realTokenReserves та realSolReserves використовуються як параметри AMM для розрахунку ціни на токен. Коли інші користувачі створюють 800 мільйонів токенів у «внутрішньому пулі», поле «complete» стає істинним, після чого мемкоїн торгується на громадській біржі ліквідності, створеній на Raydium.

Перевіряючи дані будь-якого контракту мемкоїна, випущеного Pump.Fun, ми бачимо, що привілейована адреса його оновлення є Pump.fun Token Mint Authority (TSLvdd1pWpHVjahSpsvCXUbgwsL3JAcvokwaKt1eokM), яка відповідає за виготовлення токенів. Поле «мінт» - це відповідна адреса контракту мемкоїна та інформація про токен.

Ці контракти memecoin не мають функцій розширення токенів та є найпростішими токенами SPL.

Таким чином, не існує привілейованої адреси, яка може використовувати постійного делегата, комісію за переказ та інші функції в розширенні токенів для злочинних дій та завдавати збитків користувачам, коли вони беруть участь у торгівлі мемкоїном.

$Cheems Контроверзія

25 листопада Binance оголосив про списання контрактів на $Cheems. Ціна $Cheems зросла на 35%, а потім впала більше ніж на 60% менше, ніж за хвилину, що викликало багато суперечок у спільноті.

Аналізуючи транзакцію токену $Cheems на ланцюжку, ми можемо знайти, що адреса великого продажу токенів - 0xbb8365B1BA2462ffDce9C894Ada84478f474Fefc. Адреса аналізується за допомогою Beosin KYT, і результати показані на малюнку:

25 листопада адреса продала 331,2 мільярда $Cheems за 1 хвилину через Pancakeswap та OKX DEX агрегатор, отримала 406,21 $BNB, а потім увесь $BNB з адреси внесла на Binance.

Хоча багато користувачів сумніваються, чи є ця адреса «інсайдерською торгівлею», це може бути адреса розумних грошей із кількома транзакціями купівлі та продажу:

З 18 листопада адреса розпочала будувати позицію $Cheems та продовжує продавати під час процесу. 18 листопада адреса спочатку купила близько 131 мільярда $Cheems, а через 4 години продала 41,3 мільярда $Cheems. 21 листопада адреса також зняла 379,5 мільярда $Cheems з біржі Gate.io, а через 2 години продала 175,8 мільярда $Cheems на ланцюжку. 22 та 23 листопада також були великі покупки та часткові продажі. Загальний потік коштів показано на малюнку нижче:

Відповідна адреса в цьому випадку

0xbb8365b1ba2462ffdce9c894ada84478f474fefc

0x0d0707963952f2fba59dd06f2b425ace40b492fe

0xbff62cee932fe7496a88c9193e9ba3fd5eeff46d

Крім ризиків платформи та онлайн-PVP, користувачі також можуть стикатися з шахрайством "Pixiu" під час торгівлі мемкоїнами. Раніше Beosin допомагав користувачам зрозуміти цей тип шахрайства та запобіжні заходи за допомогою випадків. Нижче наведено більш комплексний підсумок шахрайств, пов'язаних з мемкоїнами:

Фейкові токени

Щодня запускається велика кількість нових мемкоїнів, і здається, що можливості збагатіння є скрізь. Насправді, існує безліч проектів-імітацій, і користувачам складно визначити, який токен правильний для торгівлі.

Багато розгортальників memecoin копіюють назви та логотипи токенів популярних проектів і створюють контракти токенів з такими ж назвами. Користувачі можуть помилково потрапити на імітаційні проекти, або навіть на шахрайські платформи або медові пастки, оскільки не ретельно перевіряють адреси контрактів токенів, що призводить до неможливості продажу токенів.

Крім того, конфлікт між криптоспільнотою та емітентом токенів щодо капіталізації мемкоїна також призвів до зростання і падіння цін на пов'язані токени. Останні конфлікти та коливання цін між $NEIRO та $neiro, $ELIZA та $eliza показують надзвичайно високий ризик мемкоїна. Користувачам потрібно розуміти відповідну інформацію про мемкоїн, відгуки спільноти та бути обережними щодо маніпуляцій ринку з боку проектних команд через новини.

Обмежена продаж

Коли користувачі купують мемкоїни, вони можуть стикнутися з шахрайством, таким як медові пастки, де придбані токени не можна продати або важко продати. Ось загальні способи, якими шахраї обмежують користувачів у продажу через коди контракту:

(1) Чорний/білий список

Емітент токена може налаштувати функцію чорного/білого списку в контракті токена для обмеження операцій з токенами. Наприклад, якщо адреса користувача додається до чорного списку, користувач може не мати можливості викликати transfer() або transferFrom() в контракті токена для передачі токенів.

(2) Змінити баланс

Видавець токенів також може маніпулювати балансом токенів користувача за допомогою розумних контрактів і змінювати баланс токенів користувача на дуже низьку вартість. Якщо оновлення балансу записується лише всередині контракту, жертва все ще може бачити токени, які вона утримує в браузері блокчейна, але фактично вона не може продати більше токенів, ніж це записано в контракті. Якщо баланс жертви оновлюється в ланцюжку, користувач помітить, що мемкоїни, які він придбав, зменшилися або навіть мають баланс 0.

Нижче наведено приклад коду Solidity, який встановлює баланс адреси, яка знаходиться у чорному списку, на 0:

Крім екосистеми EVM, Solana також має подібну функцію для зміни балансів - постійне розширення делегата програми токенів:

Постійний делегат - це офіційне розширення функціональності токенів Solana. Адміністратори мають право в будь-який час переказувати або знищувати токени. Його ціль полягає в застосуванні до деяких сценаріїв застосування, таких як переробка токенів та нагляд за стабільними монетами. При створенні токена творець може використовувати інструкцію createInitializePermanentDelegateInstruction для ініціалізації постійного делегата.

Оскільки Постійний делегат має занадто велику владу, деякі хакери використовують це розширення для випуску токенів, приваблюють користувачів купити їх токени, а потім заробляють на них, знищуючи або передаючи їх:

(3) Поріг транзакції

Після того, як користувачі купують певну кількість мемкоїнів, вони не можуть їх продати, оскільки в контракті передбачений суворий поріг продажу: користувачі повинні перевищити встановлену кількість токенів (і ця кількість токенів значно перевищує токени користувача), перш ніж вони зможуть продати або буде здійснено висока податок на транзакцію.

Як показано у наведеному нижче прикладі коду, розробник контракту може змінювати параметр amountToBurn для встановлення податку на транзакції. Коли параметр встановлено на 2, 50% кількості токенів буде відраховано від транзакції користувача.

Розширення токена Solana також має функцію TransferFee, яка використовується для збору податків з кожної транзакції з токеном. Щоб налаштувати TransferFee, вам потрібно встановити наступні поля:

● Плата в базисних пунктах: Плата, яка стягується за кожен переказ, в базисних пунктах

● Максимальна комісія: Верхня межа комісії за переказ

● Повноваження щодо комісії за переказ: можна змінити адресу комісії за переказ

● Виведення з утриманою владою: Адреса, на яку можна перекласти токени, що утримуються на рахунку токенів

Через існування максимального обмеження комісії за переказ, метод встановлення податків на операції для використання диска Pi Xiu в Solana не є загальновживаним. Розповсюдженіше користувачі зазнають збитків через переказ токенів або їх знищення.

(4) Призупинення торгівлі

Емітент токена може контролювати стан паузи контракту в контракті, щоб обмежити транзакції токена. Як тільки контракт увійде в стан паузи, функція перекладу контракту буде недоступна, і користувачі не зможуть торгувати.

Наприклад, у наведеному нижче прикладі коду Solidity переказ буде викликати лише _update для оновлення балансу користувача, коли контракт не перебуває в призупиненому стані.

(5) Мінімальний час утримання

Після того, як користувач купить мемкоїн, він повинен утримувати його протягом мінімального періоду часу перед тим, як зможе знову торгувати ним. Однак цей період встановлюється емітентом токена і може бути змінений за бажанням. Вони можуть змінити мінімальний строк утримання на дуже велике значення, щоб користувачі не могли торгувати.

Наприклад, у наступному прикладі коду Solidity переказ повинен задовольняти поточний час переказу, більший або рівний часу останнього оновлення користувача + часу затримки, встановленого в контракті.

Унікальні комісії

Після придбання мемкоїну користувачам не буде стягуватися комісія при торгівлі з іншими користувачами. Однак при продажу через DEX (наприклад, Uniswap) буде стягуватися комісія за обробку. Крім продажу, дохід користувачів, які надають ліквідність або беруть участь у стейкінгу, також буде впливати.

Наприклад, у прикладі коду на Solidity нижче, операції з токенами будуть оподатковуватися лише тоді, коли адреса отримувача є адресою контракту.

Або комісію за обробку не віднімають від суми переказу, але вона додатково зменшується з балансу відправника. Якщо цей метод не обробляється належним чином, це серйозно вплине на ціну в DEX і призведе до повернення значення токена до нуля.

Випуск додаткових токенів

Випуск додаткових токенів - це звичайний спосіб реалізації Rug Pull. Оскільки власник контракту токена або привілейована адреса має право на чеканку монет, вони можуть заробляти, випускаючи додаткові токени та продавати їх. Це загальний потенційний ризик в екосистемі EVM, Solana та TON. Нижче подано функцію чеканки токена Jetton TON, яка має механізм додаткового випуску:

Централізована розподіл токенів

Проблема централізації розподілу токенів - це загальний ризик у блокчейн-проектах. Більшість запасів токенів контролюється командою проекту, яка може маніпулювати ключовими рішеннями управління на ланцюжку через токенове голосування або маніпулювати ринковими цінами через великомасштабні транзакції, щоб впливати на активи користувачів.

Як показано в коді Solidity нижче, коли токен розгортається, загальна кількість всіх токенів буде розподілена між розгортувачем контракту.

Оновлення проксі

Режим оновлення проксі, який використовується в контрактах токенів, є загальним режимом проектування смарт-контрактів. За його допомогою можна реалізувати оновлення логіки через проксі-контракти, не змінюючи структуру даних контрактів зберігання. Хоча цей режим забезпечує гнучкість, він також має певні потенційні ризики та небезпеки. Емітент токенів може змінювати логіку контракту на власний розсуд, що може призвести до втрати або крадіжки активів власників токенів.

Як показано в коді Solidity нижче, Адміністратор контракту може змінити адресу реалізації контракту. Якщо вона буде змінена на неправильний контракт або навіть зловмисний контракт, це призведе до втрати або крадіжки активів користувача.

Як уникнути шахрайств?

У мемкоїн-гарячці безліч шахрайств. Якщо користувачі не будуть уважні, вони ймовірно потраплять у пов'язані шахрайства та втратять свої кошти. Тому команда з безпеки Beosin рекомендує користувачам:

1. Будьте раціональними щодо ефекту швидкого збагачення Memecoin та ефекту реклами KOL. Після лістингу нового токена на DEX користувачі повинні залишатися раціональними, уникати FOMO та уникати сліпого слідування тренду.

2. Не довіряйте «внутрішній інформації» або «конфіденційній інформації». Зазвичай це шахрайські схеми, які ставлять пастки, щоб залучити користувачів до ризиків та інвестування без перевірки та дослідження інформації.

3. Перед придбанням токенів користувачі повинні перевірити наступні ключові моменти:

● Чи є контракт токена відкритим джерелом?

● Чи є звіт про аудит?

● Чи є механізм чорного списку / білого списку?

● Є податок на транзакції? Як збирається податок на транзакції?

● Чи існує механізм паузи?

● Чи є спеціальні механізми, такі як обмеження обсягу транзакцій, мінімальний обсяг утримання, найкоротший строк утримання тощо.

● Чи велика кількість функцій, які власник контракту може викликати?

● Чи використовує контракт режим проксі

● Як керувати правами власника контракту, чи перепідписувати чи відмовлятися

Beosin раніше проводив детальні аудити безпеки на кількох платформах запуску мемкоїнів та договорів токенів, зокрема Tokr.fun, Pumpup та Pump404, щоб забезпечити безпеку їх кодів контрактів, правильність логіки реалізації бізнесу та безпеку проекту та коштів користувачів.

1. Багато торгових платформ і інструментів моніторингу ризиків наводять список елементів виявлення контракту токена для користувачів. Використання цієї інформації допоможе користувачам поліпшити точність виявлення шахрайств. Користувачі можуть звертатися до результатів виявлення кількох інструментів безпеки перед торгівлею. Ось декілька поширених інструментів виявлення ризиків:

● Honeypot:https://honeypot.is/

● Токен Сніфер: https://tokensniffer.com/

● OKX: https://www.okx.com/zh-hans/web3/dex-market

● GoPlus: https://gopluslabs.io/token-security

● De.Fi: https://de.fi/scanner

● Попередження від Beosin: https://chromewebstore.google.com/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji

Опис

У цій статті ми підсумовуємо загальні способи шахрайства, пов'язані з мемкоїнами. З цього можна бачити, що хоча мемкоїн повний можливостей і можливостей, він супроводжується різними пастками. Користувачам необхідно підтримувати високий рівень бджолиності та обережності при торгівлі мемкоїнами, щоб зменшити ризик втрати капіталу. У світі Web3 безпека завжди на першому місці.

Попередження:

1. Цю статтю перепубліковано з [ Beosin]. Усі авторські права належать оригінальному автору [Beosin]. Якщо є заперечення щодо цього перепублікування, будь ласка, зв'яжітьВорота Навчаннякоманда, і вони швидко з цим впораються.
2. Відповідальність за відмову: погляди та думки, висловлені в цій статті, є виключно тими, хто їх висловив, і не становлять жодних інвестиційних порад.
3. Переклади статей на інші мови виконуються командою Gate Learn. Якщо не зазначено інше, копіювання, поширення або плагіатування перекладених статей заборонене.