今年,Memecoin已成为加密市场和区块链生态系统的焦点。自2024年初以来,许多memecoin和memecoin发行平台(如Pump.Fun)在Solana生态系统中迅速崛起,吸引了大量用户参与各种memecoin的发行与交易。其他区块链生态中的memecoin交易也异常火热,例如TRON生态系统中的SunPump,仅用两周便实现了100万美元的净利润;而BNB Chain也推出了“Meme创新战第3轮”。
随着memecoin热潮的兴起,用户需要警惕各种潜在的安全风险。此前,Beosin已经对memecoin发行平台的安全性进行了详细分析,提前警告了如Dexx等发行平台的中心化风险,并审计了多个memecoin发行平台,例如Tokr.fun、Pumpup和Pump404。
今天,我们将从安全角度分析memecoin中的常见风险和恶意方法,帮助普通用户掌握识别与memecoin相关风险的技巧,避免财务损失。
中心化风险最近,Dexx事件提醒用户注意中心化平台的中心化风险。在本节中,我们将分析当前最大的memecoin发行平台——Pump.Fun:
通过链上交易,我们可以发现Pump.Fun的核心合约地址为6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P。该合约代码并未开源,并由一个多签地址(7gZufwwAo17y5kg8FMyJy2phgpvv9RSdzWtdXiWHjFr8)控制。
然而,如果进一步检查这个多签地址,实际上它由单一地址(4zJkeipCFGvfcJvKm4TY57ED9uEdL3sBRvs8TPdZKG5Q)控制,这带来了单点风险。
5月17日,由于操作问题,Pump.Fun的一把私钥被泄露,导致损失190万美元。这表明,在防止单点故障方面,私钥管理和多签机制的应用尤为重要。
在Pump.Fun发行memecoin时,用户需要通过$SOL在“内池”中铸造代币。在此过程中,代币价格由Bonding Curve决定。对于每种memecoin,Pump.Fun将创建一个相应的Bonding Curve程序,其数据字段如下:
代币总供应量(tokenTotalSupply)设置为10亿,virtualSolReserves、virtualTokenReserves、realTokenReserves 和 realSolReserves 被用作 AMM 参数以计算代币价格。当其他用户在“内池”中铸造了8亿代币时,“complete”字段会变为true,此时 memecoin 会在 Raydium 上创建的流动性池中进行公开交易。
查看由 Pump.Fun 发布的任何 memecoin 合约数据,可以发现其更新权限的特权地址是 Pump.fun Token Mint Authority(TSLvdd1pWpHVjahSpsvCXUbgwsL3JAcvokwaKt1eokM),该地址负责代币的铸造。“mint”字段是对应的 memecoin 合约地址和代币信息。
这些 memecoin 合约没有代币扩展功能,是最简单的 SPL 代币。
因此,在用户参与 memecoin 交易时,不存在能够利用代币扩展功能(例如 Permanent Delegate、TransferFee 等)作恶的特权地址,从而避免对用户造成损失。
$Cheems争议11月25日,Binance宣布上线$Cheems合约。$Cheems价格在短短不到一分钟内上涨35%,随后暴跌超60%,在社区引发了大量争议。
通过链上分析$Cheems代币交易,可以发现一个关键的抛售地址是:0xbb8365B1BA2462ffDce9C894Ada84478f474Fefc。通过Beosin KYT对该地址进行分析,结果如下图所示:
11月25日,该地址通过Pancakeswap和OKX DEX聚合器在1分钟内抛售了331.2亿枚$Cheems,获得了406.21枚$BNB,随后将所有$BNB存入了Binance。
尽管许多用户质疑该地址是否涉及“内幕交易”,但也可能是一个进行多次买卖操作的“聪明资金”地址:
自11月18日起,该地址开始建仓$Cheems,并在过程中持续出售。11月18日,该地址首次购买了约131亿枚$Cheems,并在4小时后卖出41.3亿枚$Cheems。11月21日,该地址还从Gate.io交易所提取了379.5亿枚$Cheems,并在2小时后在链上卖出175.8亿枚$Cheems。11月22日和23日,该地址也进行了大量买入和部分卖出操作。
整体资金流向如下图所示:
本次事件的相关地址包括:
0xbb8365b1ba2462ffdce9c894ada84478f474fefc0x0d0707963952f2fba59dd06f2b425ace40b492fe0xbff62cee932fe7496a88c9193e9ba3fd5eeff46d
除了平台风险和链上PVP外,用户在交易memecoin时还可能遇到“貔貅”骗局。此前,Beosin通过案例帮助用户了解此类骗局及防范措施。以下是memecoin相关骗局的更全面总结:
假代币每天都有大量新的memecoin推出,看似到处都有致富的机会。实际上,各种模仿项目层出不穷,用户很难辨别哪个是真正可交易的代币。
许多memecoin的部署者会复制热门项目的名称和代币标志,并创建相同名称的代币合约。用户如果不仔细核对代币的合约地址,可能会误入模仿项目,甚至是骗局平台或蜜罐合约,导致无法卖出代币。
此外,加密社区和代币发行方之间关于memecoin资本化的争议,也导致相关代币价格的大涨大跌。最近$NEIRO与$neiro、$ELIZA与$eliza之间的争议和价格波动表明了memecoin的极高风险。用户需要了解相关memecoin的信息、社区反馈,并警惕项目方通过新闻操控市场。
限制出售用户购买memecoin时,可能会遇到蜜罐骗局,即购买的代币无法出售或难以出售。以下是骗子通过合约代码限制用户出售的常见方式:
(1) 黑名单/白名单代币发行方可以在代币合约中设置黑名单/白名单功能以限制代币交易。例如,如果用户地址被加入黑名单,该用户可能无法调用代币合约中的transfer()或transferFrom()来转移代币。
(2) 修改余额代币发行方还可以通过智能合约操控用户的代币余额,将其改为极低的数值。如果余额更新仅记录在合约内部,受害者在区块链浏览器上仍可看到所持有的代币,但实际无法出售超过合约记录的代币数量。如果余额更新在链上,用户会发现其购买的memecoin减少甚至余额变为0。以下是将黑名单地址余额设置为0的Solidity代码示例:
除了EVM生态,Solana也有类似修改余额的功能——Token Program的Permanent Delegate扩展:
Permanent Delegate是Solana官方的代币功能扩展,管理员有权随时转移或销毁代币。其目的是应用于某些场景,例如代币回收和稳定币监管。在创建代币时,创建者可以使用createInitializePermanentDelegateInstruction指令初始化Permanent Delegate。
由于Permanent Delegate权限过大,一些黑客利用此扩展发行代币,吸引用户购买其代币,然后通过销毁或转移获利:
(3) 交易门槛用户购买某些memecoin后,可能无法出售,因为合约中存在严格的出售门槛:用户需持有超过设定数量的代币(这一数量远超用户持有量)才可出售,或需要支付高额的交易税。
以下代码示例显示合约开发者如何通过更改amountToBurn参数设置交易税。当该参数设置为2时,用户交易中将扣除50%的代币。
Solana的代币扩展也有一个TransferFee功能,用于为每笔代币交易收取手续费。配置TransferFee需要设置以下字段:
Fee in basis points:每次转账收取的费用,以基点为单位Maximum fee:转账费用的上限Transfer fee authority:可修改TransferFee的地址Withdraw with held authority:可转移代币账户中被扣押代币的地址
由于转账费用存在上限,通过设置交易税实现“貔貅盘”的方法在Solana上并不常见。更常见的是用户通过代币转移或销毁而遭受损失。
(4) 暂停交易代币发行方可以通过合约中的暂停状态功能控制合约的状态,以限制代币交易。一旦合约进入暂停状态,合约的转账功能将无法使用,用户无法交易。
例如,以下Solidity代码中,只有当合约不处于暂停状态时,transfer函数才会调用_update更新用户余额:
(5) 最小持有时间用户购买memecoin后,必须持有一定的最小时间才能再次交易。但这个时间由代币发行方设定,可以随意修改。发行方可以将最小持有时间改为非常大的值,使用户无法交易。
以下Solidity代码示例中,只有当当前交易时间大于等于用户上次更新时间与合约设置的延迟时间之和时,才能完成转账:
独特手续费用户购买memecoin后,与其他用户交易时通常不收取手续费。但通过DEX(如Uniswap)出售时,会被收取手续费。此外,用户添加流动性或参与质押的收益也会受到影响。
例如,在以下Solidity代码示例中,只有当接收地址(to)是合约地址时,代币交易才会被收取手续费:
或者手续费不是从转账金额中扣除,而是从发送方的余额中额外减少。如果处理不当,这种方法会严重影响DEX中的价格,并导致代币价值归零。
增发代币增发代币是一种常见的Rug Pull实现方式。由于代币合约的所有者或拥有特权的地址有铸币的权限,他们可以通过增发代币并出售获利。这是EVM生态、Solana和TON中常见的潜在风险。以下是TON的一个Jetton代币的铸币函数示例,该函数具有增发机制:
代币分配中心化代币分配中心化问题是区块链项目中的常见风险。大部分代币供应由项目团队控制,他们可以通过代币投票操控链上治理中的关键决策,或通过大规模交易操纵市场价格,影响用户资产。
如下Solidity代码所示,当代币部署时,所有代币总量都分配给合约的部署者:
代理升级在代币合约中使用的代理升级模式是一种常见的智能合约设计模式。该模式通过代理合约实现逻辑升级,而无需更改存储合约的数据结构。尽管此模式带来了灵活性,但也存在一些潜在风险和危害。代币发行方可以随意更改合约逻辑,导致代币持有者的资产丢失或被盗。
如下Solidity代码所示,合约的Admin可以修改合约实现的地址。一旦修改为错误的合约甚至是恶意合约,就会导致用户资产的损失或被盗:
如何避免骗局?在Memecoin热潮中,各类骗局层出不穷。用户如果不加小心,极有可能陷入相关骗局并损失资金。因此,Beosin安全团队建议用户注意以下几点:
**理性看待Memecoin的快速致富效应及KOL宣传效应
**在新代币上线DEX后,用户需保持理性,避免FOMO心态,不要盲目跟风。
**不要轻信“内幕消息”或“机密信息”
**这些通常是骗局,设计陷阱诱导用户冒险投资,而用户没有对信息进行筛选和研究。
在购买代币前,用户需检查以下关键点:
代币合约是否开源?是否有审计报告?是否存在黑名单/白名单机制?是否存在交易税?交易税如何收取?是否存在暂停机制?是否存在限制交易量、最小持有量、最短持有时间等特殊机制?合约拥有者可调用的权限是否过高?合约是否采用代理模式?合约的拥有者权限如何管理,是否进行多重签名或已放弃?
Beosin曾对多个memecoin发行平台和代币合约(包括Tokr.fun、Pumpup和Pump404)进行详细安全审计,以确保其合约代码的安全性、业务实现逻辑的正确性,以及项目与用户资金的安全性。
参考交易平台和风险监测工具的代币合约检测项
使用这些信息可以帮助用户更精准地识别骗局。在交易前参考多个安全工具的检测结果。以下是常用的风险检测工具:
Honeypot: https://honeypot.is/
Token Sniffer: https://tokensniffer.com/
OKX: https://www.okx.com/zh-hans/web3/dex-market
GoPlus: https://gopluslabs.io/token-security
De.Fi: https://de.fi/scanner
Beosin Alert: https://chromewebstore.google.com/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji
总结本文总结了memecoin相关骗局的常见方式。由此可见,尽管memecoin充满机会和可能性,但也伴随着各种陷阱。用户在进行memecoin交易时,必须保持高度警惕和谨慎,以降低资金损失风险。在Web3世界中,安全永远是第一位的。
免责声明
本文转载自【Beosin】,版权归原作者【Beosin】所有。如对本转载内容有异议,请联系 Gate Learn 团队,他们将及时处理。 责任声明:本文所表达的观点和意见仅代表作者个人观点,不构成任何投资建议。 本文的翻译由 Gate Learn 团队完成,除特别说明外,禁止复制、传播或剽窃已翻译的文章内容。