Năm nay, Memecoin đã trở thành tâm điểm của thị trường tiền điện tử và hệ sinh thái blockchain. Từ đầu năm 2024, nhiều loại memecoin và nền tảng phát hành memecoin như Pump.Fun đã xuất hiện trong hệ sinh thái Solana với sự phát triển đáng kinh ngạc, thu hút một lượng lớn người dùng tham gia phát hành và giao dịch các loại memecoin khác nhau. Giao dịch Memecoin trong các hệ sinh thái blockchain khác cũng rất sôi động, chẳng hạn như SunPump trong hệ sinh thái TRON, đã đạt lợi nhuận ròng một triệu đô la Mỹ chỉ sau hai tuần và BNB Chain đã phát hành “Meme Innovation War Round 3”.

Vấn đề với cơn sốt memecoin là người dùng cần tránh được nhiều rủi ro bảo mật tiềm ẩn. Trước đó, Beosin đã tiến hành phân tích chi tiết về bảo mật của sàn memecoin, cảnh báo về rủi ro tập trung của các nền tảng ra mắt như Dexx từ trước, và đã kiểm toán nhiều nền tảng ra mắt Memecoin như Tokr.fun, Pumpup và Pump404.

Hôm nay, chúng tôi sẽ phân tích các rủi ro phổ biến và các phương pháp độc hại trong memecoin từ một góc nhìn về an ninh, giúp người dùng thông thường nắm vững một số kỹ năng để nhận diện các rủi ro liên quan đến memecoin và tránh mất tiền.

Rủi ro tập trung

Gần đây, sự cố Dexx nhắc nhở người dùng chú ý đến nguy cơ tập trung của các nền tảng tập trung. Trong phần này, chúng tôi sẽ phân tích nền tảng phát hành memecoin lớn nhất hiện tại - Pump.Fun:

Qua giao dịch trên chuỗi, chúng ta có thể tìm thấy địa chỉ hợp đồng core của Pump.Fun là 6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P. Mã hợp đồng không phải mã nguồn mở và được kiểm soát bởi một địa chỉ chữ ký đa bên (7gZufwwAo17y5kg8FMyJy2phgpvv9RSdzWtdXiWHjFr8).

Tuy nhiên, nếu bạn kiểm tra địa chỉ đa chữ ký này, thì thực tế nó được kiểm soát bởi một địa chỉ duy nhất (4zJkeipCFGvfcJvKm4TY57ED9uEdL3sBRvs8TPdZKG5Q), gây ra rủi ro duy nhất.

Vào ngày 17 tháng 5, một trong số các private key của Pump.Fun đã bị rò rỉ do vấn đề vận hành, dẫn đến mất mát 1,9 triệu đô la. Việc quản lý private key và áp dụng multi-signatures đặc biệt quan trọng trong việc ngăn chặn các lỗi điểm đơn.

Khi Pump.Fun phát hành memecoins, người dùng cần đúc token thông qua $SOL trong “inner pool”. Giá token trong quá trình này được xác định bởi Đường cong kết nối. Đối với mỗi memecoin, Pump.Fun sẽ tạo ra một chương trình Đường cong kết nối tương ứng, trong đó các trường dữ liệu được liệt kê như sau:

tokenTotalSupply được đặt là 1 tỷ, và virtualSolReserves, virtualTokenReserves, realTokenReserves và realSolReserves được sử dụng làm tham số AMM để tính toán giá token. Khi các người dùng khác mint 800 triệu token trong “inner pool”, trường “complete” trở thành true, và sau đó memecoin được giao dịch công khai trong hồ chứa thanh khoản được tạo trên Raydium.

Kiểm tra dữ liệu của bất kỳ hợp đồng memecoin nào được phát hành bởi Pump.Fun, chúng ta có thể thấy địa chỉ đặc quyền của quyền cập nhật của nó là Pump.fun Token Mint Authority (TSLvdd1pWpHVjahSpsvCXUbgwsL3JAcvokwaKt1eokM), đảm nhận việc phát hành token. Trường “mint” là địa chỉ hợp đồng memecoin tương ứng và thông tin token.

Các hợp đồng memecoin này không có chức năng mở rộng mã thông báo và là những mã thông báo SPL đơn giản nhất.

Do đó, không có địa chỉ đặc quyền nào có thể sử dụng Đại biểu cố định, Phí chuyển khoản và các chức năng khác trong tiện ích token để làm điều ác và gây thiệt hại cho người dùng khi họ tham gia giao dịch memecoin.

$Cheems Controversy

Vào ngày 25 tháng 11, Binance thông báo niêm yết hợp đồng $Cheems. Giá $Cheems tăng 35% sau đó giảm hơn 60% trong thời gian dưới một phút, gây ra nhiều tranh cãi trong cộng đồng.

Phân tích giao dịch mã token $Cheems trên chuỗi, chúng ta có thể tìm thấy địa chỉ bán mã token tuyệt vời là 0xbb8365B1BA2462ffDce9C894Ada84478f474Fefc. Địa chỉ được phân tích thông qua Beosin KYT và kết quả được hiển thị trong hình ảnh:

Vào ngày 25 tháng 11, địa chỉ đã bán 331,2 tỷ $Cheems trong 1 phút thông qua Pancakeswap và trình tự DEX OKX và nhận được 406,21 $BNB, sau đó gửi toàn bộ $BNB vào địa chỉ vào Binance.

Mặc dù nhiều người dùng đang đặt câu hỏi liệu địa chỉ này có phải là “giao dịch nội bộ” hay không, nó có thể là một địa chỉ tiền thông minh với nhiều giao dịch mua và bán:

Từ ngày 18 tháng 11, địa chỉ đã bắt đầu xây dựng vị thế của $Cheems và đã liên tục bán trong quá trình đó. Vào ngày 18 tháng 11, địa chỉ đầu tiên mua khoảng 131 tỷ $Cheems và sau 4 giờ, bán 41,3 tỷ $Cheems. Vào ngày 21 tháng 11, địa chỉ cũng đã rút 379,5 tỷ $Cheems từ sàn Gate.io và sau 2 giờ, bán 175,8 tỷ $Cheems trên chuỗi. Vào ngày 22 và 23 tháng 11, cũng có những giao dịch mua và bán lớn. Luồng tổng thể của quỹ được hiển thị trong hình dưới đây:

Địa chỉ liên quan trong sự cố này là

0xbb8365b1ba2462ffdce9c894ada84478f474fefc

0x0d0707963952f2fba59dd06f2b425ace40b492fe

0xbff62cee932fe7496a88c9193e9ba3fd5eeff46d

Ngoài các rủi ro từ nền tảng và giao dịch trên chuỗi khối, người dùng cũng có thể gặp phải các vụ lừa đảo “Pixiu” khi giao dịch memecoin. Trước đó, Beosin đã giúp người dùng hiểu rõ loại lừa đảo này và các biện pháp phòng ngừa bằng các trường hợp. Dưới đây là một tổng kết chi tiết hơn về các vụ lừa đảo liên quan đến memecoin:

Token giả mạo

Mỗi ngày có rất nhiều memecoin mới được ra mắt, và có vẻ như khắp nơi đều có cơ hội để giàu có. Trên thực tế, có vô số dự án sao chép, và người dùng khó phân biệt được đâu mới là token đúng để giao dịch.

Nhiều nhà triển khai memecoin sẽ sao chép tên và biểu trưng token của các dự án phổ biến và tạo hợp đồng token với các tên tương tự. Người dùng có thể vô tình nhập các dự án giả mạo, thậm chí là các nền tảng lừa đảo hoặc honeypot vì không kiểm tra kỹ địa chỉ hợp đồng của token, dẫn đến không thể bán các token.

Thêm vào đó, cuộc tranh cãi giữa cộng đồng crypto và nhà phát hành token về việc vốn hóa của memecoin cũng đã dẫn đến sự tăng và giảm giá của các token liên quan. Các cuộc tranh cãi gần đây và biến động giá giữa $NEIRO và $neiro, $ELIZA và $eliza cho thấy rủi ro cực kỳ cao của memecoin. Người dùng cần hiểu rõ thông tin memecoin liên quan, phản hồi từ cộng đồng và cẩn trọng với các bên dự án manipulat thị trường thông qua tin tức.

Bán Hạn Chế

Khi người dùng mua memecoins, họ có thể gặp phải các vụ lừa đảo như honeypots, nơi các token đã mua không thể bán hoặc khó bán. Dưới đây là những cách phổ biến mà kẻ lừa đảo hạn chế người dùng bán qua mã hợp đồng:

(1) Danh sách đen/Danh sách trắng

Người phát hành mã thông báo có thể thiết lập chức năng danh sách đen / danh sách trắng trong hợp đồng mã thông báo để hạn chế giao dịch mã thông báo. Ví dụ, nếu địa chỉ người dùng được thêm vào danh sách đen, người dùng có thể không thể gọi transfer() hoặc transferFrom() trong hợp đồng mã thông báo để chuyển mã thông báo.

(2) Sửa cân bằng

Người phát hành token cũng có thể thao tác số dư token của người dùng thông qua hợp đồng thông minh và thay đổi số dư token của người dùng thành giá trị cực thấp. Nếu cập nhật số dư chỉ được ghi lại bên trong hợp đồng, nạn nhân vẫn có thể nhìn thấy số lượng token mà họ nắm giữ trên trình duyệt blockchain, nhưng họ không thể bán nhiều token hơn số lượng mà hợp đồng ghi lại. Nếu số dư của nạn nhân được cập nhật trên chuỗi, người dùng sẽ nhận thấy rằng memecoin mà họ mua đã giảm đi hoặc thậm chí có số dư là 0.

Dưới đây là một ví dụ về mã Solidity thiết lập số dư của một địa chỉ bị đưa vào danh sách đen thành 0:

Ngoài hệ sinh thái EVM, Solana cũng có chức năng tương tự để sửa đổi số dư - tiện ích Đại diện vĩnh viễn của chương trình mã thông báo:

Permanent Delegate là sự mở rộng chính thức của chức năng token của Solana. Người quản trị có quyền chuyển nhượng hoặc hủy bỏ token bất kỳ lúc nào. Mục đích của nó là áp dụng cho một số kịch bản ứng dụng, như tái chế token và giám sát stablecoin. Khi tạo một token, người tạo có thể sử dụng chỉ thị createInitializePermanentDelegateInstruction để khởi tạo sự ủy quyền vĩnh viễn.

Vì Đại biểu Thường trực có quá nhiều quyền hạn, một số hacker sử dụng tiện ích mở rộng này để phát hành mã thông báo, thu hút người dùng mua mã thông báo của họ, sau đó tạo lợi nhuận bằng cách phá hủy hoặc chuyển mã thông báo đó:

(3) Ngưỡng giao dịch

Sau khi người dùng mua một số loại memecoin cụ thể, họ không thể bán chúng vì có ngưỡng bán nghiêm ngặt trong hợp đồng: người dùng được yêu cầu vượt qua số lượng token được thiết lập (và số lượng token này vượt xa số lượng token của người dùng) trước khi họ có thể bán hoặc một lượng thuế giao dịch cao phải được khấu trừ.

Như được hiển thị trong ví dụ mã dưới đây, nhà phát triển hợp đồng có thể thay đổi tham số amountToBurn để đặt thuế giao dịch. Khi tham số được đặt là 2, 50% số lượng token sẽ bị trừ từ giao dịch của người dùng.

Phần mở rộng token của Solana cũng có một chức năng TransferFee, được sử dụng để thu thuế trên mỗi giao dịch của token. Để cấu hình TransferFee, bạn cần thiết lập các trường sau:

● Phí tính bằng điểm cơ sở: Phí được tính cho mỗi lần chuyển tiền, tính bằng điểm cơ sở

● Phí tối đa: Giới hạn trên của phí chuyển khoản

● Quyền phí chuyển khoản: có thể sửa đổi địa chỉ phí chuyển khoản

● Rút với quyền giữ: Địa chỉ mà các token bị giữ trong tài khoản token có thể được chuyển đi

Do vì tồn tại một giới hạn phí chuyển khoản, phương pháp thiết lập thuế giao dịch để thực hiện đĩa Pi Xiu trên Solana không phổ biến. Thông thường, người dùng thường gặp phải tổn thất thông qua việc chuyển đổi token hoặc phá hủy token.

(4) Tạm ngừng giao dịch

Người phát hành token có thể kiểm soát trạng thái tạm dừng của hợp đồng trong hợp đồng để hạn chế giao dịch của token. Khi hợp đồng vào trạng thái tạm dừng, chức năng chuyển giao của hợp đồng sẽ không khả dụng và người dùng sẽ không thể giao dịch.

Ví dụ, trong đoạn mã Solidity dưới đây, việc chuyển giao chỉ sẽ gọi _update để cập nhật số dư người dùng khi hợp đồng không ở trạng thái bị treo.

(5) Thời gian giữ tối thiểu

Sau khi người dùng mua memecoin, họ phải giữ nó trong một khoảng thời gian tối thiểu trước khi họ có thể giao dịch lại. Tuy nhiên, khoảng thời gian này được đặt bởi người phát hành token và có thể được sửa đổi theo ý muốn. Họ có thể sửa đổi thời gian giữ tối thiểu thành một giá trị rất lớn để người dùng không thể giao dịch.

Ví dụ, trong ví dụ mã Solidity dưới đây, việc chuyển tiền phải đáp ứng thời gian chuyển tiếp hiện tại lớn hơn hoặc bằng thời gian cập nhật cuối cùng của người dùng + thời gian trễ được đặt trong hợp đồng.

Phí duy nhất

Sau khi người dùng mua memecoin, không tính phí khi giao dịch với người dùng khác. Tuy nhiên, khi bán thông qua DEX (như Uniswap), sẽ tính phí xử lý. Ngoài việc bán, thu nhập của người dùng thêm thanh khoản hoặc tham gia staking cũng sẽ bị ảnh hưởng.

Ví dụ, trong ví dụ mã Solidity dưới đây, giao dịch token chỉ bị đánh thuế khi địa chỉ đến là địa chỉ hợp đồng.

Hoặc phí xử lý không được trừ từ số tiền chuyển, mà được giảm thêm từ số dư của người gửi. Nếu phương pháp này không được xử lý đúng cách, nó sẽ ảnh hưởng nghiêm trọng đến giá trị trong DEX và làm cho giá trị của token trở về không.

Phát hành thêm token

Phát hành thêm token là một cách phổ biến để thực hiện Rug Pull. Bởi vì chủ sở hữu hợp đồng token hoặc địa chỉ đặc quyền có quyền tạo ra tiền kỹ thuật số, họ có thể kiếm lợi bằng cách phát hành thêm token và bán chúng. Đây là một rủi ro tiềm năng phổ biến trong hệ sinh thái EVM, Solana và TON. Dưới đây là chức năng tạo ra tiền của một token Jetton của TON, có cơ chế phát hành thêm:

Phân phối Token tập trung

Vấn đề tập trung phân phối token là một rủi ro phổ biến trong các dự án blockchain. Hầu hết nguồn cung token được kiểm soát bởi nhóm dự án, có thể thao túng các quyết định quan trọng trong quản trị trên chuỗi thông qua việc bỏ phiếu bằng token hoặc thao túng giá thị trường thông qua các giao dịch quy mô lớn để ảnh hưởng đến tài sản của người dùng.

Như được hiển thị trong mã Solidity dưới đây, khi token được triển khai, tổng số lượng của tất cả token sẽ được phân bổ cho người triển khai hợp đồng.

Nâng cấp Proxy

Chế độ nâng cấp proxy được sử dụng trong hợp đồng token là một chế độ thiết kế hợp đồng thông minh phổ biến. Nó có thể thực hiện việc nâng cấp logic thông qua các hợp đồng proxy mà không thay đổi cấu trúc dữ liệu của các hợp đồng lưu trữ. Mặc dù chế độ này mang lại sự linh hoạt, nhưng cũng có một số rủi ro và nguy hiểm tiềm ẩn. Người phát hành token có thể thay đổi logic hợp đồng theo ý muốn, dẫn đến mất mát hoặc trộm cắp tài sản của người giữ token.

Như được hiển thị trong đoạn mã Solidity dưới đây, Người quản trị của hợp đồng có thể sửa đổi địa chỉ của việc thực hiện hợp đồng. Một khi nó được sửa đổi thành một hợp đồng không chính xác hoặc thậm chí là một hợp đồng độc hại, điều này sẽ dẫn đến mất mát hoặc mất cắp tài sản của người dùng.

Làm thế nào để tránh lừa đảo?

Craze Memecoin đang diễn ra vô tận. Nếu người dùng không cẩn thận, họ có thể rơi vào những vụ lừa đảo liên quan và mất quỹ của họ. Do đó, nhóm an ninh Beosin khuyến nghị người dùng:

1. Hãy hợp lý về hiệu ứng trở nên giàu có nhanh chóng của Memecoin và hiệu ứng quảng bá từ KOL. Sau khi một token mới được niêm yết trên DEX, người dùng cần duy trì sự hợp lý, tránh FOMO, và tránh theo đuổi mù quáng xu hướng.
2. Không tin vào “thông tin nội bộ” hoặc “thông tin bí mật.” Thường thì đó là những chiêu lừa mà tạo ra bẫy để mời gọi người dùng tham gia rủi ro và đầu tư mà không cần sàng lọc và nghiên cứu thông tin.
3. Trước khi mua mã thông báo, người dùng nên kiểm tra các điểm quan trọng sau đây:

● Hợp đồng token có mã nguồn mở không?

● Có báo cáo kiểm toán không?

● Có cơ chế danh sách đen/danh sách trắng không?

● Có thuế giao dịch không? Thuế giao dịch được thu thập như thế nào?

● Có cơ chế tạm dừng không?

● Liệu có cơ chế đặc biệt như giới hạn khối lượng giao dịch, số lượng tối thiểu nắm giữ, thời gian nắm giữ ngắn nhất, vv. không.

● Các chức năng mà chủ sở hữu hợp đồng có thể gọi có quá cao không?

● Dù hợp đồng sử dụng chế độ ủy quyền hay không

● Cách quản lý quyền sở hữu của hợp đồng, liệu có nên ký quá hoặc từ bỏ

Beosin đã tiến hành kiểm định bảo mật chi tiết trên nhiều nền tảng ra mắt memecoin và hợp đồng token, bao gồm Tokr.fun, Pumpup và Pump404, để đảm bảo an toàn cho các mã hợp đồng, tính chính xác của logic thực thi kinh doanh và an toàn cho dự án và quỹ người dùng.

1. Nhiều nền tảng giao dịch và công cụ theo dõi rủi ro sẽ liệt kê các mục phát hiện hợp đồng mã thông báo cho người dùng. Tham khảo thông tin này sẽ giúp người dùng nâng cao độ chính xác trong việc xác định các lừa đảo. Người dùng có thể tham khảo kết quả phát hiện của nhiều công cụ bảo mật trước khi giao dịch. Dưới đây là những công cụ phát hiện rủi ro thông thường:

● Honeypot: https://honeypot.is/

● Token Sniffer: https://tokensniffer.com/

● OKX: https://www.okx.com/zh-hans/web3/dex-market

● GoPlus: https://gopluslabs.io/token-security

● De.Fi: https://de.fi/scanner

● Cảnh báo Beosin: https://chromewebstore.google.com/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji

Tóm lược

Trong bài viết này, chúng tôi tóm tắt những cách thông thường của các trò lừa đảo liên quan đến memecoin. Từ đó, chúng ta có thể thấy rằng mặc dù memecoin đầy cơ hội và tiềm năng, nhưng cũng đi kèm với nhiều bẫy. Người dùng phải duy trì một mức độ cảnh giác và thận trọng cao trong giao dịch memecoin để giảm thiểu rủi ro mất vốn. Trong thế giới của Web3, an ninh luôn đứng đầu.

Tuyên bố từ chối trách nhiệm:

1. Bài viết này được sao chép lại từ [Beosin]. All copyrights belong to the original author [Beosin]. Nếu có bất kỳ ý kiến ​​phản đối nào về việc tái in này, vui lòng liên hệ Gate Learnđội, và họ sẽ xử lý nó ngay lập tức.
2. Miễn trách nhiệm về trách nhiệm: Quan điểm và ý kiến được diễn đạt trong bài viết này chỉ thuộc về tác giả và không đại diện cho bất kỳ lời khuyên đầu tư nào.
3. Các bản dịch của bài viết sang các ngôn ngữ khác được thực hiện bởi nhóm Gate Learn. Trừ khi được nêu ra, việc sao chép, phân phối hoặc đạo văn bản dịch là cấm.