Este ano, o Memecoin tem sido o foco do mercado cripto e dos ecossistemas de blockchain. Desde o início de 2024, muitas memecoins e plataformas de lançamento de memecoin, como Pump.Fun surgiram no ecossistema Solana com um crescimento surpreendente, atraindo um grande número de usuários para participar da emissão e negociação de vários memecoins. Memecoin negociação em outros ecos blockchain também são extremamente quentes, como SunPump no ecossistema TRON, que fez um lucro líquido de um milhão de dólares em apenas duas semanas e BNB Chain lançou o "Meme Innovation War Round 3".

O problema com a loucura das memecoins é que os utilizadores precisam de evitar vários riscos de segurança potenciais. Anteriormente, a Beosin realizou uma análise detalhada da segurança das plataformas de lançamento de memecoins, alertou antecipadamente para os riscos de centralização de plataformas de lançamento como a Dexx, e auditou várias plataformas de lançamento de Memecoin, como Tokr.fun, Pumpup e Pump404.

Hoje, iremos analisar os riscos comuns e métodos maliciosos em memecoin de uma perspectiva de segurança, ajudando os usuários em geral a adquirir algumas habilidades para identificar riscos relacionados a memecoin e evitar perdas financeiras.

Risco de Centralização

Recentemente, o incidente Dexx lembrou os utilizadores para prestarem atenção ao risco de centralização das plataformas centralizadas. Nesta seção, iremos analisar o maior lançador de memecoins atual - Pump.Fun:

Através de transações on-chain, podemos encontrar que o endereço do contrato principal do Pump.Fun é 6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P. O código do contrato não é de código aberto e é controlado por um endereço de múltiplas assinaturas (7gZufwwAo17y5kg8FMyJy2phgpvv9RSdzWtdXiWHjFr8).

No entanto, se você verificar este endereço de múltiplas assinaturas, ele é na verdade controlado por um único endereço (4zJkeipCFGvfcJvKm4TY57ED9uEdL3sBRvs8TPdZKG5Q), o que representa um único ponto de risco.

Em 17 de maio, uma das chaves privadas da Pump.Fun foi vazada devido a problemas operacionais, resultando em uma perda de $1.9 milhões. A gestão de chaves privadas e a aplicação de multi-assinaturas são particularmente importantes na prevenção de falhas pontuais.

Quando a Pump.Fun emite memecoins, os usuários precisam criar tokens através de $SOL na “piscina interna”. O preço do token neste processo é determinado pela Curva de Ligação. Para cada memecoin, a Pump.Fun criará um programa de Curva de Ligação correspondente, no qual os campos de dados são os seguintes:

O tokenTotalSupply é definido para 1 bilhão, e as reservas virtuais de Sol, reservas virtuais de tokens, reservas reais de tokens e reservas reais de Sol são usadas como parâmetros AMM para calcular o preço do token. Quando outros usuários cunham 800 milhões de tokens no "pool interno", o campo "completo" torna-se verdadeiro, e então o memecoin é negociado publicamente no pool de liquidez criado na Raydium.

Ao verificar os dados de qualquer contrato memecoin emitido por Pump.Fun, podemos ver que o endereço privilegiado de sua autoridade de atualização é Pump.fun Token Mint Authority (TSLvdd1pWpHVjahSpsvCXUbgwsL3JAcvokwaKt1eokM), que é responsável por emitir tokens. O campo "mint" é o endereço do contrato memecoin correspondente e as informações do token.

Estes contratos memecoin não possuem funções de extensão de token e são os tokens SPL mais simples.

Por conseguinte, não há nenhum endereço privilegiado que possa utilizar Delegado Permanente, Taxa de Transferência e outras funções na extensão do token para fazer o mal e causar perdas aos utilizadores quando participam em negociações de memecoin.

$Cheems Controvérsia

Em 25 de novembro, a Binance anunciou a listagem de contratos $Cheems. O preço do $Cheems subiu 35% e depois despencou mais de 60% em menos de um minuto, causando muita controvérsia na comunidade.

Analisando a transação do token $Cheems na cadeia, podemos encontrar que o endereço da venda do grande token é 0xbb8365B1BA2462ffDce9C894Ada84478f474Fefc. O endereço é analisado através do Beosin KYT e os resultados são mostrados na figura:

Em 25 de novembro, o endereço vendeu 331,2 bilhões de $Cheems em 1 minuto através do Pancakeswap e do agregador DEX OKX, e obteve 406,21 $BNB, e em seguida depositou todos os $BNB no endereço em Binance.

Embora muitos utilizadores questionem se este endereço é uma “negociação interna”, pode ser um endereço inteligente com várias transações de compra e venda:

Desde 18 de novembro, o endereço começou a construir uma posição de $Cheems e tem estado a vender continuamente durante o processo. Em 18 de novembro, o endereço comprou cerca de 131 bilhões de $Cheems e, 4 horas depois, vendeu 41,3 bilhões de $Cheems. Em 21 de novembro, o endereço também retirou 379,5 bilhões de $Cheems da exchange Gate.io e, 2 horas depois, vendeu 175,8 bilhões de $Cheems na cadeia. Em 22 e 23 de novembro, também houve grandes compras e vendas parciais. O fluxo geral de fundos é mostrado na figura abaixo:

O endereço relevante neste incidente é

0xbb8365b1ba2462ffdce9c894ada84478f474fefc

0x0d0707963952f2fba59dd06f2b425ace40b492fe

0xbff62cee932fe7496a88c9193e9ba3fd5eeff46d

Além dos riscos de plataforma e PVP on-chain, os usuários também podem encontrar golpes de “Pixiu” ao negociar memecoins. Anteriormente, a Beosin ajudou os usuários a entender esse tipo de golpe e medidas preventivas com casos. A seguir, está um resumo mais abrangente de golpes relacionados a memecoins:

Tokens falsos

Um grande número de novas memecoins são lançadas todos os dias, e parece que existem oportunidades para enriquecer em todo lugar. Na verdade, existem projetos de imitação intermináveis, e é difícil para os usuários distinguir qual é o token certo para negociar.

Muitos criadores de memecoin irão copiar os nomes e logótipos de tokens de projetos populares e criar contratos de token com os mesmos nomes. Os utilizadores podem entrar acidentalmente em projetos de imitação, ou até mesmo em plataformas de golpes ou honeypots, porque não verificam cuidadosamente os endereços de contrato dos tokens, o que resulta na incapacidade de vender os tokens.

Além disso, a disputa entre a comunidade de criptomoedas e o emissor do token em relação à capitalização de memecoin também levou ao aumento e queda dos preços dos tokens relacionados. As recentes disputas e flutuações de preço entre $NEIRO e $neiro, $ELIZA e $eliza mostram o risco extremamente alto de memecoin. Os usuários precisam entender as informações relevantes sobre memecoin, o feedback da comunidade e ter cuidado com as partes do projeto que manipulam o mercado através de notícias.

Venda Restrita

Quando os usuários compram memecoins, eles podem ter encontrado golpes como honeypots, onde os tokens comprados não podem ser vendidos ou são difíceis de vender. As seguintes são maneiras comuns pelas quais os golpistas restringem os usuários de venderem através de códigos de contrato:

(1) Lista Negra/Lista Branca

O emissor do token pode configurar uma função de lista negra/lista branca no contrato do token para restringir transações de token. Por exemplo, se um endereço de usuário for adicionado à lista negra, o usuário pode não ser capaz de chamar transfer() ou transferFrom() no contrato do token para transferir tokens.

(2) Modificar saldo

O emissor do token também pode manipular o saldo do token do usuário por meio de contratos inteligentes e alterar o saldo do token do usuário para um valor extremamente baixo. Se a atualização do saldo for registrada apenas dentro do contrato, a vítima ainda pode ver os tokens que possui no navegador blockchain, mas ele não pode vender mais tokens do que os registros do contrato. Se o saldo da vítima for atualizado na cadeia, o usuário perceberá que o memecoin que comprou diminuiu ou até mesmo tem um saldo de 0.

O seguinte é um exemplo de código Solidity que define o saldo de um endereço na lista negra como 0:

Além do ecossistema EVM, a Solana também possui uma função semelhante para modificar saldos - a extensão de Delegação Permanente do programa de tokens:

O Delegado Permanente é a extensão oficial da funcionalidade de token da Solana. Os administradores têm o direito de transferir ou destruir tokens a qualquer momento. Seu objetivo é ser aplicado em alguns cenários de aplicação, como reciclagem de tokens e supervisão de stablecoins. Ao criar um token, o criador pode usar a instrução createInitializePermanentDelegateInstruction para inicializar o Delegado Permanente.

Como o Delegado Permanente tem muita autoridade, alguns hackers usam esta extensão para emitir tokens, atrair usuários para comprar seus tokens e, em seguida, lucrar com eles destruindo ou transferindo-os:

(3) Limiar de transação

Depois de os utilizadores comprarem certas mememoedas, não podem vendê-las porque existe um limite rigoroso de venda no contrato: é necessário que os utilizadores excedam o número definido de tokens (e este número de tokens excede em muito os tokens detidos pelos utilizadores) antes de poderem vender ou será deduzido um imposto de transação elevado.

Como mostrado no exemplo de código abaixo, o desenvolvedor do contrato pode alterar o parâmetro amountToBurn para definir o imposto sobre a transação. Quando o parâmetro é definido como 2, 50% do valor do token será deduzido da transação do usuário.

A extensão do token da Solana também possui uma função TransferFee, que é usada para coletar impostos sobre cada transação do token. Para configurar o TransferFee, você precisa definir os seguintes campos:

● Taxa em pontos base: A taxa cobrada por cada transferência, em pontos base

● Taxa máxima: O limite superior da taxa de transferência

● Autoridade da taxa de transferência: pode modificar o endereço da taxa de transferência

● Levantar com autoridade retida: O endereço para o qual os tokens retidos na conta de token podem ser transferidos

Devido à existência de um limite de taxa de transferência, o método de definir impostos sobre transações para implementar o disco Pi Xiu na Solana não é comum. É mais comum os utilizadores sofrerem perdas através de transferências de tokens ou destruição de tokens.

(4) Suspensão da Negociação

O emissor do token pode controlar o estado de pausa do contrato no contrato para restringir a transação do token. Assim que o contrato entrar no estado de pausa, a função de transferência do contrato não estará disponível e os usuários não poderão negociar.

Por exemplo, no exemplo de código Solidity abaixo, a transferência só chamará _update para atualizar o saldo do usuário quando o contrato não estiver num estado suspenso.

(5) Tempo mínimo de posse

Após um usuário comprar memecoin, deve mantê-la por um período mínimo de tempo antes de poder negociá-la novamente. No entanto, este período é definido pelo emissor do token e pode ser modificado a seu critério. Eles podem alterar o tempo mínimo de retenção para um valor muito grande para que os usuários não possam negociar.

Por exemplo, no exemplo de código Solidity a seguir, a transferência deve satisfazer o tempo de transferência atual maior ou igual ao último tempo de atualização do usuário + o tempo de atraso definido no contrato.

Taxas exclusivas

Após os utilizadores comprarem memecoin, não será cobrada nenhuma taxa ao negociar com outros utilizadores. No entanto, ao vender através de DEX (como Uniswap), será cobrada uma taxa de processamento. Para além da venda, o rendimento dos utilizadores que adicionam liquidez ou participam no staking também será afetado.

Por exemplo, no exemplo de código Solidity abaixo, as transações de token serão tributadas apenas quando o endereço de destino for um endereço de contrato.

Ou a taxa de processamento não é deduzida do valor da transferência, mas é reduzida adicionalmente do saldo do remetente. Se este método não for tratado de forma adequada, afetará seriamente o preço na DEX e fará com que o valor do token volte a zero.

Emissão de tokens adicionais

Emitir tokens adicionais é uma forma comum de implementar o Rug Pull. Como o proprietário do contrato do token ou o endereço privilegiado tem o direito de criar moedas, eles podem obter lucro emitindo tokens adicionais e vendendo-os. Este é um risco potencial comum no ecossistema EVM, Solana e TON. A seguir está a função de criação de moeda de um token Jetton de TON, que possui um mecanismo de emissão adicional:

Distribuição centralizada de tokens

O problema da centralização da distribuição de tokens é um risco comum em projetos de blockchain. A maior parte do fornecimento de tokens é controlada pela equipe do projeto, que pode manipular decisões-chave na governança on-chain através de votações de tokens ou manipular os preços de mercado através de transações em grande escala para afetar os ativos dos usuários.

Como mostrado no código Solidity abaixo, quando o token é implantado, a quantidade total de todos os tokens será alocada para o implementador do contrato.

Atualização do proxy

O modo de atualização de proxy usado em contratos de token é um modo comum de design de contrato inteligente. Ele pode realizar a atualização lógica através de contratos de proxy sem alterar a estrutura de dados de contratos de armazenamento. Embora este modo traga flexibilidade, também tem alguns riscos e perigos potenciais. O emissor do token pode alterar a lógica do contrato à vontade, resultando na perda ou roubo dos ativos do detentor do token.

Conforme mostrado no código Solidity abaixo, o Admin do contrato pode modificar o endereço da implementação do contrato. Uma vez que seja modificado para um contrato incorreto ou até mesmo um contrato malicioso, isso levará à perda ou roubo dos ativos do usuário.

Como evitar fraudes?

Existem inúmeras fraudes na loucura do Memecoin. Se os usuários não forem cuidadosos, é provável que caiam em fraudes relacionadas e percam seus fundos. Portanto, a equipe de segurança Beosin recomenda aos usuários:

1. Seja racional sobre o efeito de enriquecimento rápido do Memecoin e o efeito de publicidade de KOL. Após um novo token ser listado na DEX, os usuários precisam permanecer racionais, evitar FOMO e evitar seguir cegamente a tendência.

2. Não confie em “informações internas” ou “informações confidenciais.” Geralmente são fraudes que armam armadilhas para atrair usuários a correr riscos e investir sem analisar e pesquisar as informações.

3. Antes de comprar tokens, os usuários devem verificar os seguintes pontos-chave:

● O contrato do token é de código aberto?

● Existe um relatório de auditoria?

● Existe um mecanismo de lista negra/lista branca?

● Existe um imposto sobre transações? Como é que o imposto sobre transações é cobrado?

● Existe um mecanismo de pausa?

● Se existem mecanismos especiais, como limitação do volume de transações, quantia mínima de posse, tempo mínimo de posse, etc.

● As funções que o proprietário do contrato pode chamar são muito altas?

● Se o contrato usa o modo de proxy

● Como gerir os direitos do proprietário do contrato, se deve sobre-assinar ou desistir

Beosin já realizou auditorias de segurança detalhadas em várias plataformas de lançamento de memecoin e contratos de token, incluindo Tokr.fun, Pumpup e Pump404, para garantir a segurança dos códigos de contrato, a correção da lógica de implementação do negócio e a segurança dos fundos do projeto e do usuário.

1. Muitas plataformas de negociação e ferramentas de monitorização de risco listarão itens de deteção de contratos de tokens para os utilizadores. Consultar esta informação ajudará os utilizadores a melhorar a precisão na identificação de fraudes. Os utilizadores podem consultar os resultados de deteção de várias ferramentas de segurança antes de negociar. Seguem-se algumas das ferramentas de deteção de riscos mais comuns:

● Honeypot: https://honeypot.is/

● Token Sniffer: https://tokensniffer.com/

● OKX: https://www.okx.com/zh-hans/web3/dex-market

● GoPlus: https://gopluslabs.io/token-security

● De.Fi: https://de.fi/scanner

● Alerta Beosin:https://chromewebstore.google.com/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji

Resumo

Neste artigo, resumimos as formas comuns de fraudes relacionadas com memecoin. A partir disto, podemos ver que embora memecoin esteja cheio de oportunidades e possibilidades, também é acompanhado por várias armadilhas. Os utilizadores devem manter um alto grau de vigilância e cautela nas transações com memecoin para reduzir o risco de perda de capital. No mundo do Web3, a segurança sempre vem em primeiro lugar.

Aviso legal:

1. Este artigo é republicado a partir de [Beosin]. Todos os direitos de autor pertencem ao autor original [Beosin]. Se houver objeções a esta reimpressão, entre em contato com o Portão Aprenderequipe, e eles resolverão isso prontamente.
2. Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
3. As traduções do artigo para outros idiomas são feitas pela equipe do Gate Learn. A menos que seja mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.