Meme“淘金”热潮下,Meme发射平台的安全风险有哪些?

文摘   其他   2024-09-11 12:06   中国香港  

今年Meme赛道一直是加密市场以及各大公链生态的重点板块。年初,Solana生态中涌现了许多涨幅惊人的Meme代币,这些代币的日交易量曾高达百亿美元。借助用户对Solana上Meme代币交易的热情,Meme发射平台Pump.Fun于2月上线,该平台迅速诞生了多个涨幅显著的Meme币,吸引了大量用户参与发行和交易各种Meme代币。至今,该平台累计创收已超过1亿美元


在淘金热时期,商人们通过卖铲子赚得盆满钵满,如今在加密货币市场中,也能看到类似的商业模式正不断上演。


https://dune.com/adam_tehc/pumpfun

在市场对Pump.Fun所带来的财富效应感到震惊之际,Pump.Fun的竞争对手们也积极加入了Meme发射平台的竞争。首先是TRON生态的SunPump,两周狂赚百万美元。


7月,BNB Chain向其生态项目Memehub提供了资金支持;8月,BNB Chain推出了“Meme创新之战”,与Four.Meme、Burve等Meme发射平台合作,推动其生态系统内Meme赛道的发展

作为BNB Chain的安全合作方,Beosin已为PancakeSwap、Good Games Guild、Ankr等项目提供安全审计服务,并审计了Tokr.fun、Pump404等多链Meme发射平台。今天我们将从安全角度分析与探讨Meme发射平台潜在的安全风险。



Meme发射平台的运行机制


Pump.fun、Four.Meme等平台均使用一套人为设定的标准化Meme代币和经济模型,为其平台上所有 Meme代币提供一个固定的发行、募资、添加流动性的流程。这套流程的特点和运作机制如下:


1.  代币安全由平台保证


用户只需提供Meme代币的名称、图标、描述等信息,随后平台创建对应的代币合约,这些代币合约使用了同一套基础代码模版,并具备了一些安全防护措施,可确保代币无法恶意增发,无恶意或特权函数,以避免Rug Pull。

2.  Bonding Curve(联合曲线)


Meme代币被创建后,并不会直接在去中心化交易所添加流动性池进行交易,而是首先需要用户支付费用进行铸造(Mint),而铸造过程中的代币价格由联合曲线决定。以Pump.Fun为例,每个新创建的 Memecoin 都先有一个初始的虚拟市值,设定为 30 $SOL。代币为总流通量为10亿枚,其中8亿枚用于铸造,铸造价格与市值的关系大致如下:

其中x为当前代币市值,y为1千万枚代币的价格。联合曲线的采用可以平衡供需关系,使得早期参与者通常能以较低价格获得代币,而随着市值的增长,每个代币的价格大幅上涨,为早期投资者带来丰厚的回报。

3.  平台负责注入流动性池(LP池)


代币发行方通过用户铸造代币来募集资金。当代币市值达到特定阈值时,平台会将募集到的资金和未售出的代币一起注入去中心化交易所,创建流动性池,以增强代币的交易活动性和稳定性。这一举措不仅降低了Rug Pull的风险,使交易者可以更安心地参与代币交易,还通过销毁部分流动性资金来提升代币的价格。

Pump.Fun、Four.Meme这些平台极大地降低了Meme代币的发行门槛,也解决了代币初期流动性募集的难题,使得普通用户也能轻松创建自己的Meme代币并获取一定的流动性进行交易。


发射平台背后的安全风险


1.  运营风险


5月17日,Pump.Fun因运营问题遭遇了190万美元的盗窃。事件涉及一名前员工,该员工拥有Pump.Fun用于在Raydium创建Meme代币流动性池的权限。该员工利用Solana借贷协议进行闪电贷操作,借取大量SOL,并铸造了尽可能多的代币,使这些代币在联合曲线上达到了能够部署流动性池的标准。攻击者随后将这些代币和SOL转入其掌控的钱包账户,从中提取了部分SOL并偿还了闪电贷,从中获利:


https://solscan.io/tx/2yyKbYr6Piw9gPr1pAp1gNxd939n2KvNmGToxHm4pVZMpwxF76r7HKELpnDS4PdbAs4doYHFEg4Cb3qe5UfytVmf

项目方须及时更新员工权限,并对相关的地址私钥做好充分的管理。此外,在运营项目期间,项目团队应实时监控项目运行情况提前准备好发生安全事件的应对措施,减少可能的资产损失。

2.  合约风险


在分析此类Meme发射平台的运行机制中,我们可以注意到所有推出的Meme代币合约都是由发射平台的合约创建,这些代币的安全性由平台负责。因此,发射平台的合约安全至关重要。以下是发射平台需要注意的安全问题:

(1) 重放攻击


Meme发射平台在实现createToken()时,为允许第三方创建或者铸造代币,通常会要求代币创建者进行签名验证。签名内容须包含nonce、timestamp、chainid等信息,避免重放攻击。



(2) 权限过大:


Meme发射平台可以控制用户创建的代币以及募集的资产(如SOL、BNB、ETH),而平台的特权地址具备提取这些资产的权限。这意味着平台可以访问并提取募集的资金,用于运营或其他目的。因此,必须严格管理这些特权地址的权限,确保其操作的安全性和透明度,防止潜在的滥用或资产盗取,确保平台的整体安全和稳定。


Beosin建议项目方应使用多签账户+时间锁对此类合约进行控制,增加安全性。

(3) 与三方DEX交互安全


Meme发射平台在与去中心化交易所进行交互时,通常涉及代币转移或数据查询等操作。因此,平台需要确保与交易所的接口安全可靠。这包括使用加密技术保护数据传输过程中的信息,验证交易请求的真实性和合法性,以防止伪造或恶意操作。此外,平台还应实现细致的权限控制和监控机制,及时发现和响应潜在的安全威胁,确保交易和数据操作的安全性和准确性。

(4) 合约升级问题


Meme发射平台通常会使用代理模式以便于对代币进行功能升级,因此必须特别关注代理模式的安全性。关键措施包括:确保代理合约经过严格的安全审计和权限控制,以防止未经授权的升级;将逻辑与数据存储分离,保持接口稳定;公开升级记录,通知用户变更信息;进行模拟攻击测试,并设计回滚机制;严格控制合约的访问权限,并定期审计;以及实施实时监控和应急响应计划。这些措施有助于保障代理模式的安全性,确保系统的稳定和可靠。

Beosin此前已对Tokr.fun、Pump404等多个Meme代币发射平台进行了详尽的安全审计。审计内容涵盖了智能合约代码的安全性、 业务实现逻辑的正确性、合约代码gas优化、潜在漏洞的发现和漏洞修复等多个方面,帮助项目方解决潜在风险,确保其合约代码达到行业的最高安全标准。


https://www.beosin.com/audits/TOKR_202409021430.pdf


总结


Meme发射平台通过其完善的功能和机制,显著降低了用户参与门槛,同时提供了一个较为安全、公平且高效的交易环境。用户可以在无需担心流动性风险的情况下,快速响应热点并参与到Meme代币的创造和交易中。平台的公平发行机制和防欺诈措施,保障了交易的透明性和公正性,一定程度上减少了市场操纵和诈骗的可能。

然而,这些发射平台本身的安全性同样至关重要,因为无论是平台的运营安全还是合约代码存在漏洞,都会影响所有在平台上发行的代币。因此,必须特别关注平台合约的安全性和稳定性,以防止系统漏洞或管理失误对代币产生广泛的负面影响。此外,我们建议所有用户在参与Meme发射平台交互时保持谨慎,在Web3的世界中,安全永远是第一位的。


Beosin作为全球最早一批从事形式化验证的区块链安全公司,主打”安全+合规“全生态业务,在全球10多个国家和地区设立了分部,业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控与阻断、被盗追回、虚拟资产反洗钱(AML)以及符合各地监管要求的合规评估等“一站式”区块链合规产品+安全服务。欢迎点击公众号留言框,与我们联系。
































Beosin
Beosin作为一家全球领先的区块链安全公司,已在全球10多个国家和地区设立了分部,为区块链生态提供代码安全审计,安全风险监控、预警与阻断,虚拟资产被盗追回,KYT/AML等“一站式”安全产品+服务,保护客户资产高达5000多亿美元。
 最新文章