В этом году Memecoin оказался в центре внимания крипторынка и блокчейн-экосистем. С начала 2024 года в экосистеме Solana с поразительным ростом появилось множество мемкоинов и лаунчпадов мемкоинов, таких как Pump.Fun, что привлекло большое количество пользователей к участию в выпуске и торговле различными мемкоинами. Торговля мемкоинами в других блокчейн-экосистемах также чрезвычайно популярна, таких как SunPump в экосистеме TRON, которая всего за две недели получила чистую прибыль в размере одного миллиона долларов США, а BNB Chain запустила «Раунд войны инноваций мемов 3».

Проблема с увлечением мемкоинами заключается в том, что пользователям нужно избегать различных потенциальных рисков безопасности. Ранее Beosin провел подробный анализ безопасности площадок для запуска мемкоинов, предупредил заранее о рисках централизации платформ запуска, таких как Dexx, и провел аудит нескольких платформ для запуска мемкоинов, таких как Tokr.fun, Pumpup и Pump404.

Сегодня мы проанализируем общие риски и злонамеренные методы в мемкоине с точки зрения безопасности, помогая обычным пользователям овладеть некоторыми навыками идентификации рисков, связанных с мемкоинами, и избежать финансовых потерь.

Риск централизации

Недавно инцидент с Dexx напомнил пользователям об опасности централизации централизованных платформ. В этом разделе мы проанализируем самую большую на сегодняшний день лавку для запуска мемкоинов - Pump.Fun:

Через on-chain транзакции мы можем увидеть, что основной адрес контракта Pump.Fun - 6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P. Код контракта не открыт и контролируется адресом мультиподписи (7gZufwwAo17y5kg8FMyJy2phgpvv9RSdzWtdXiWHjFr8).

Однако, если вы проверите этот мультиподписной адрес, вы увидите, что на самом деле он контролируется одним адресом (4zJkeipCFGvfcJvKm4TY57ED9uEdL3sBRvs8TPdZKG5Q), что создает риск единой точки.

17 мая из-за проблем с операционной деятельностью один из приватных ключей Pump.Fun был утечен, что привело к потере в размере 1,9 миллиона долларов. Управление приватными ключами и использование мультиподписей особенно важны для предотвращения единой точки отказа.

Когда Pump.Fun выпускает мемкоины, пользователям необходимо чеканить токены через $SOL в «внутреннем пуле». Цена токена в этом процессе определяется Кривой Связывания. Для каждого мемкоина Pump.Fun создаст соответствующую программу Кривой Связывания, в которой данные поля выглядят следующим образом:

tokenTotalSupply установлен на 1 миллиард, а virtualSolReserves, virtualTokenReserves, realTokenReserves и realSolReserves используются в качестве параметров AMM для расчета цены токена. Когда другие пользователи создают 800 миллионов токенов в «внутреннем пуле», поле «complete» становится true, а затем мемкоин торгуется на ликвидности, созданной на Raydium.

Проверив данные любого контракта memecoin, выпущенного Pump.Fun, мы можем увидеть, что привилегированным адресом его органа обновления является Pump.fun Token Mint Authority (TSLvdd1pWpHVjahSpsvCXUbgwsL3JAcvokwaKt1eokM), который отвечает за выпуск токенов. Поле «минт» является соответствующим адресом контракта memecoin и информацией о токенах.

У этих контрактов memecoin нет функций расширения токенов и они являются самыми простыми токенами SPL.

Поэтому нет привилегированного адреса, который может использовать Permanent Delegate, TransferFee и другие функции в расширении токена, чтобы совершать злодейство и причинять убытки пользователям при участии в торговле мемкоинами.

$Cheems Контроверзия

25 ноября Binance объявила о листинге контрактов $Cheems. Цена $Cheems выросла на 35%, а затем резко упала на более чем 60% менее чем за минуту, вызвав много споров в сообществе.

Анализируя транзакцию токена $Cheems на цепочке, мы можем найти, что адрес продажи великого токена - 0xbb8365B1BA2462ffDce9C894Ada84478f474Fefc. Адрес анализируется через Beosin KYT, и результаты показаны на рисунке:

25 ноября адрес продал 331,2 миллиарда $Cheems за 1 минуту через Pancakeswap и OKX DEX агрегатор и получил 406,21 $BNB, а затем все $BNB со счета были внесены на Binance.

Хотя многие пользователи задают вопрос, является ли этот адрес «внутренней торговлей», это может быть адресом умных денег с несколькими сделками на покупку и продажу:

С 18 ноября адрес начал строить позицию $Cheems и продолжал непрерывно продавать в процессе. 18 ноября адрес впервые приобрел около 131 миллиарда $Cheems, а через 4 часа продал 41,3 миллиарда $Cheems. 21 ноября адрес также вывел 379,5 миллиарда $Cheems с биржи Gate.io, а через 2 часа продал 175,8 миллиарда $Cheems на цепочке. 22 и 23 ноября также были крупные покупки и частичные продажи. Общий поток средств показан на рисунке ниже:

Соответствующий адрес в этом инциденте -

0xbb8365b1ba2462ffdce9c894ada84478f474fefc

0x0d0707963952f2fba59dd06f2b425ace40b492fe

0xbff62cee932fe7496a88c9193e9ba3fd5eeff46d

Помимо рисков платформы и ончейн PVP, пользователи также могут столкнуться со схемами мошенничества "Pixiu" при торговле мемкойнами. Ранее Beosin помогал пользователям понять этот тип мошенничества и принимать профилактические меры с учетом случаев. Ниже приведено более подробное изложение мошенничества, связанного с мемкойнами:

Поддельные токены

Каждый день запускается большое количество новых мемкоинов, и кажется, что возможности разбогатеть везде. На самом деле, существует бесчисленное количество имитационных проектов, и пользователям сложно отличить, какой токен правильно торговать.

Многие разработчики мемкоинов копируют названия и логотипы токенов популярных проектов и создают контракты токенов с теми же названиями. Пользователи могут ошибочно войти в подражательные проекты, а также мошеннические платформы или ловушки из-за того, что не внимательно проверяют адреса контрактов токенов, что приводит к невозможности продажи токенов.

Кроме того, конфликт между криптосообществом и эмитентом токенов по поводу капитализации мемкоина также привел к всплеску и падению цен на связанные токены. Недавние споры и ценовые колебания между $NEIRO и $neiro, $ELIZA и $eliza показывают чрезвычайно высокий риск мемкоина. Пользователям необходимо понимать соответствующую информацию о мемкоине, обратную связь сообщества и быть осторожными с манипуляциями проектных сторон на рынке через новости.

Ограниченная продажа

Когда пользователи покупают мемкоины, они могут столкнуться с мошенничеством, таким как ловушки для пчел, когда приобретенные токены нельзя продать или их сложно продать. Ниже приведены общие способы, которыми мошенники ограничивают пользователей в продаже через коды контрактов:

(1) Черный список/Белый список

Эмитент токенов может настроить функцию черного/белого списка в токен-контракте, чтобы ограничить токен-транзакции. Например, если адрес пользователя добавлен в черный список, пользователь может быть не в состоянии вызвать transfer() или transferFrom() в токен-контракте для передачи токенов.

(2) Изменить баланс

Эмитент токенов также может манипулировать балансом токенов пользователя через смарт-контракты и изменять баланс токенов пользователя до крайне низкого значения. Если обновление баланса записывается только внутри контракта, жертва все еще может видеть токены, которые он держит, в браузере блокчейна, но он фактически не может продать больше токенов, чем записывает контракт. Если баланс жертвы обновляется в цепочке, пользователь обнаружит, что количество мемкоинов, которые он приобрел, уменьшилось или даже стало равным 0.

Ниже приведен пример кода Solidity, который устанавливает баланс адреса в черном списке равным 0:

В дополнение к экосистеме EVM, у Solana также есть аналогичная функция для изменения балансов - постоянное расширение делегата программы токена:

Permanent Delegate - это официальное расширение функциональности токена Solana. Администраторы имеют право передавать или уничтожать токены в любое время. Его целью является применение в некоторых сценариях применения, таких как переработка токенов и надзор за стабильной монетой. При создании токена создатель может использовать инструкцию createInitializePermanentDelegateInstruction для инициализации permanentDelegate.

Поскольку постоянному делегату присуще слишком много власти, некоторые хакеры используют это расширение для выпуска токенов, привлекают пользователей к покупке их токенов, а затем извлекают из этого прибыль, уничтожая или передавая их:

(3) Порог транзакции

После того, как пользователи покупают определенные мемкоины, они не могут их продавать, потому что в контракте есть строгий порог продажи: требуется, чтобы пользователи превысили установленное количество токенов (и это количество токенов значительно превышает количество токенов пользователя), прежде чем они смогут продать, или должен быть удержан высокий налог на транзакцию.

Как показано в приведенном ниже примере кода, разработчик контракта может изменить параметр amountToBurn, чтобы задать налог на транзакции. Когда параметр установлен на 2, 50% от количества токенов будет вычтено из транзакции пользователя.

Расширение токена Solana также имеет функцию TransferFee, которая используется для сбора налогов с каждой транзакции токена. Для настройки TransferFee необходимо установить следующие поля:

● Комиссия в базисных пунктах: Комиссия, взимаемая за каждый перевод, в базисных пунктах

● Максимальная комиссия: Верхний предел комиссии за перевод

● Полномочия по комиссии за перевод: возможность изменения адреса комиссии за перевод

● Вывод с удержанным правом: Адрес, на который могут быть переведены токены, удержанные на счете токенов

Из-за существования предела комиссии за перевод, метод установки налогов на транзакции для реализации диска Pi Xiu в Solana не является общепринятым. Более распространено, чтобы пользователи понесли убытки при переводах токенов или уничтожении токенов.

(4) Приостановка торговли

Эмитент токена может контролировать состояние паузы контракта в контракте, чтобы ограничить транзакцию токена. Как только контракт входит в состояние паузы, функция передачи контракта становится недоступной, и пользователи не смогут торговать.

Например, в приведенном ниже примере кода Solidity, вызов transfer будет вызывать _update только для обновления баланса пользователя, когда контракт не находится в приостановленном состоянии.

(5) Минимальное время удержания

После того, как пользователь приобретает мемкоин, он должен удерживать его в течение минимального периода времени, прежде чем сможет снова торговать им. Однако этот период устанавливается эмитентом токена и может быть изменен по его усмотрению. Они могут изменить минимальное время удержания на очень большое значение, чтобы пользователи не могли торговать им.

Например, в следующем примере кода на Solidity перевод должен удовлетворять текущее время передачи, большее или равное времени последнего обновления пользователя + времени задержки, установленного в контракте.

Уникальные комиссии

После того, как пользователи купят мемкоин, при торговле с другими пользователями не будет взиматься комиссия. Однако при продаже через DEX (например, Uniswap) будет взиматься обработочный сбор. Кроме того, доход пользователей, добавляющих ликвидность или участвующих в стейкинге, также будет затронут.

Например, в приведенном ниже примере кода Solidity, транзакции токенов будут облагаться налогом только в случае, когда адресатом является адрес контракта.

Или комиссия за обработку не вычитается из суммы перевода, а дополнительно уменьшается с баланса отправителя. Если этот метод не обрабатывается правильно, это серьезно повлияет на цену в DEX и приведет к возврату значения токена к нулю.

Выпуск дополнительных токенов

Выпуск дополнительных токенов - это обычный способ реализации Rug Pull. Поскольку владелец контракта токена или привилегированный адрес имеют право на чеканку монет, они могут получить прибыль, выпуская дополнительные токены и продавая их. Это общий потенциальный риск в экосистеме EVM, Solana и TON. Ниже приведена функция чеканки токена Jetton TON, у которого есть дополнительный механизм выпуска:

Централизованное распределение токенов

Проблема централизации распределения токенов является общим риском в блокчейн-проектах. Большая часть предложения токенов контролируется командой проекта, которая может манипулировать ключевыми решениями в управлении on-chain через токен-голосование или манипулировать рыночными ценами через крупные транзакции для воздействия на активы пользователей.

Как показано в приведенном ниже коде Solidity, при развертывании токена общее количество всех токенов будет выделено развертывающему контракту.

Обновление прокси

Режим обновления прокси, используемый в контрактах токенов, является распространенным режимом проектирования смарт-контрактов. Он может реализовать обновление логики через прокси-контракты без изменения структуры данных контрактов хранения. Хотя этот режим обеспечивает гибкость, он также имеет некоторые потенциальные риски и угрозы. Эмитент токена может изменять логику контракта по своему усмотрению, что приводит к потере или краже активов держателей токенов.

Как показано в приведенном ниже коде Solidity, администратор контракта может изменить адрес реализации контракта. После его изменения на некорректный контракт или даже вредоносный контракт может произойти потеря или кража активов пользователей.

Как избежать мошенничества?

В безумии Memecoin нескончаемые мошенничества. Если пользователи не будут осторожны, они могут попасть в связанные мошенничества и потерять свои средства. Поэтому безопасностью Beosin рекомендует пользователям:

1. Будьте рациональными в отношении быстрого обогащения от Мемкоина и эффекта пиара КОЛ. После того, как новый токен будет добавлен на DEX, пользователи должны оставаться рациональными, избегать FOMO и не слепо следовать тренду.

2. Не доверяйте "внутренней информации" или "конфиденциальной информации". Это обычно мошеннические схемы, которые устанавливают ловушки, чтобы заманить пользователей на риск и инвестирование без проверки и изучения информации.

3. Перед покупкой токенов пользователи должны проверить следующие ключевые моменты:

● Является ли контракт токена открытым исходным кодом?

● Есть ли аудиторский отчет?

● Есть ли механизм черного списка/белого списка?

● Есть ли налог на сделку? Как собирается налог на сделку?

● Есть ли механизм паузы?

● Существуют ли специальные механизмы, такие как ограничение объема транзакций, минимальный уровень удержания, минимальное время удержания и т. д.

● Слишком высоки функции, которые может вызвать владелец контракта?

● Использует ли контракт режим прокси

● Как управлять правами владельца контракта, переподписывать или отказываться

Beosin ранее проводил подробные аудиты безопасности на нескольких платформах запуска мемкоинов и токенов, включая Tokr.fun, Pumpup и Pump404, чтобы обеспечить безопасность кодов их контрактов, правильность бизнес-логики реализации и безопасность проекта и средств пользователей.

1. Многие торговые платформы и инструменты мониторинга рисков будут перечислять элементы обнаружения контрактов токенов для пользователей. Ссылка на эту информацию поможет пользователям повысить точность идентификации мошенничества. Пользователи могут обращаться к результатам обнаружения нескольких инструментов безопасности перед торговлей. Ниже приведены часто используемые инструменты обнаружения рисков:

● Honeypot: https://honeypot.is/

● Token Sniffer: https://tokensniffer.com/

● OKX: https://www.okx.com/ru/web3/dex-market

● GoPlus: https://gopluslabs.io/token-security

● De.Fi: https://de.fi/scanner

● Beosin Alert: https://chromewebstore.google.com/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji

Описание

В этой статье мы обобщаем распространенные способы мошенничества, связанного с мемкоинами. Из этого мы видим, что хотя мемкоин полон возможностей и возможностей, он также сопровождается различными ловушками. Пользователи должны сохранять высокую степень бдительности и осторожности при совершении транзакций с мемкоинами, чтобы снизить риск потери капитала. В мире Web3 безопасность всегда стоит на первом месте.

Отказ от ответственности:

1. Эта статья взята из [ Beosin]. Все права принадлежат оригинальному автору [Beosin]. Если есть возражения против этой перепечатки, пожалуйста, свяжитесь с Шлюз Учитькоманда и они незамедлительно разберутся с этим.
2. Отказ от ответственности: Взгляды и мнения, выраженные в этой статье, являются исключительно мнением автора и не являются инвестиционной рекомендацией.
3. Переводы статьи на другие языки выполняются командой Gate Learn. Если не указано иное, запрещено копирование, распространение или плагиат переведенных статей.