今年的Memecoin一直是加密市场以及各大公链生态的重点。从年初起,Solana生态中涌现了许多涨幅惊人的Memecoin和Memecoin发射平台Pump.Fun,吸引了大量用户参与发行和交易各种Meme代币。其它生态的memecoin交易也异常火热,如TRON生态的SunPump,两周协议净赚百万美元;BNB Chain推出了“Meme创新之战”。
随着memecoin热潮而来的问题是用户需要避坑各种潜在的安全风险。此前,Beosin已针对Memecoin发射平台的安全性进行了详细分析,提前对Dexx这类发射平台的中心化风险做了警示,并审计了Tokr.fun、Pumpup、Pump404等多个Memecoin发射平台。
今天,我们将从安全角度分析在memecoin中常见的风险与作恶手段,帮助没有技术基础的用户也能掌握一些识别相关风险的能力,避免资金受损。
Beosin KYT资金流向图
在各条链,每天都有大量新的memecoin上线,似乎到处都是暴富的机会。但实际上仿盘项目层出不穷,用户难以分辨代币的真伪。
许多memecoin的部署者会复制已经爆火项目的名称和代币标识,创建相同名称的代币合约。用户可能因为没有仔细检查代币的合约地址而误入仿盘,甚至诈骗盘、貔貅盘,导致代币无法卖出。
此外,加密社区和代币发行方就memecoin的大小写之争也导致了相关代币价格的暴涨暴跌。近期的$NEIRO与$neiro、$ELIZA和$eliza的争议和价格波动表明了memecoin的超高风险性,用户需了解相关memecoin的信息、社区反馈并小心项目方通过消息操纵市场。
限制卖出
在用户购买memecoin的经历中,可能遇到过类似“貔貅盘”的骗局,购买的代币无法卖出或是难以卖出。以下是常见的骗子通过合约代码限制用户卖出的方式:
(1) 黑名单/白名单
代币发行方可以在代币合约中设置黑名单/白名单功能以限制代币的交易,比如用户地址被加入黑名单,那么该用户可能就无法调用代币合约中的transfer()或者transferFrom()转移代币。
非黑名单的地址才能进行代币转移
(2) 修改余额
代币发行方还可以通过智能合约操控用户的代币余额,将用户的代币余额改为极低的数值。如果余额的更新仅记录在合约内部,那么受害者在区块链浏览器上仍能看到自己持有的代币,但是实际上无法出售超过合约记录数量的代币。如果受害者的余额更新上链了,那么用户会发现自己购买的memecoin减少甚至余额为0。
以下是将黑名单地址的余额设置为0的Solidity代码示例:
除EVM生态外,Solana也存在类似的修改余额的功能——代币程序的Permanent Delegate拓展:
Permanent Delegate是Solana官方对代币功能的扩展,管理员在任何时候都有权转移或销毁代币。其目的是为了适用于部分应用场景,例如代币回收、稳定币监管。在创建代币时,创建者可利用createInitializePermanentDelegateInstruction指令来初始化permanentDelegate。
由于Permanent Delegate的权限过大,一些黑客利用该拓展功能发行代币,吸引用户购买其代币后,通过销毁或转移获益:
(3) 交易门槛
在用户买入某些memecoin后,其无法卖出的原因是合约中设有严苛的卖出门槛:要求用户必须超过设定的代币数量(而这个代币数量远超用户的代币持有量)才能卖出或是需要扣除高额的交易税。
如下图的代码示例,合约开发者可改变amountToBurn的参数设置交易税,当参数设置为2时,用户交易需要扣除50%的代币数量。
Solana的代币拓展中也存在TransferFee这一功能,用于向代币的每笔交易进行收税。配置TransferFee需要设置以下字段:
● Fee in basis points: 每次转账收取的费用,以基点为单位。
● Maximum fee: 转账费用上限。
● Transfer fee authority: 可以修改TransferFee的地址
● Withdraw withheld authority: 可以转移代币账户中扣留的代币的地址
由于存在转账费用上限,所以Solana中通过设置交易税费从而实现貔貅盘的方式并不常用,更多是通过代币转移或是代币销毁导致用户蒙受损失。
(4) 暂停交易
代币的发行方可以在合约中控制合约的暂停状态以限制代币的交易,一旦合约进入暂停状态,合约的转账功能将全部无法使用,用户也无法进行交易。
比如下图的Solidity代码示例,转账只有在合约未处于暂停状态时才会调用_update更新用户余额。
(5) 最短持币时间
在用户购买memecoin后,需要最短持有一段时间过后才可以再进行交易。然而该时间由代币的发行方进行设置,并可以任意修改。他们可以通过
将最短持有时间修改为极大值从而使用户无法交易。
比如下图的Solidity代码部分示例,转账是需要满足当前转账时间大于等于用户上次更新时间+合约中设置的延迟时间。
独特的手续费
在用户购买memecoin后,与其他用户进行交易时,不会收取手续费。而当其通过DEX(如Uniswap)进行卖出时,则会收取手续费,除卖出以外,用户添加流动性或者参与质押的收益也会受到影响。
比如下图的Solidity代码示例,转账只有在to地址是合约地址的情况下才会对代币交易收税。
或者手续费的收取并非从本次转账金额中扣除,而是额外减少发送者的余额,这种方式一旦处理不当,则会严重影响到DEX中的价格,导致代币价值归0。
增发代币
增发代币是常见的实现Rug Pull的方式。因为代币合约的owner或是特权地址拥有铸币权限,它们可以通过增发代币并卖出进行获利。这在EVM生态、Solana、TON中都是常见的潜在风险,以下是TON某个Jetton代币的mint函数,存在增发机制:
代币分配中心化
代币分配中心化问题是区块链项目中的一个常见风险,代币的大部分供应被项目方团队所掌控,可以通过代币投票在链上治理中操控关键决策或者通过大额买卖操控市场价格等方式影响用户的资产。
如下图的Solidity代码所示,代币在部署时会将所有代币总量分配给合约的部署者。
代理升级
代币合约使用代理升级模式是一种常见的智能合约设计模式,可以通过代理合约实现逻辑的升级,而不改变存储合约的数据结构。虽然这种模式带来了灵活性,但同时也存在一些潜在的风险和危害。代币的发行方可以随意更改合约逻辑,导致代币持有者资产的丢失或被盗。
如下图的Solidity代码所示,合约的Admin能够修改实现合约的地址,一旦修改为错误的合约甚至恶意合约,那么将导致用户资产的丢失或者被盗。
如何避坑?
Memecoin热潮下的骗局层出不穷,如果用户未多加辨明,便很有可能落入相关骗局,资金受损。因此,Beosin安全团队建议用户:
1. 理性看待Memecoin的暴富效应与KOL宣传效应。在一个全新的代币上线DEX后,用户需要保持理性,不产生FOMO情绪,不盲目跟风。
2. 不相信“内部信息”或“机密消息”。这些通常是骗局设置陷阱的手法,目的是引诱用户在没有进行信息筛选和调研的情况下冒险投资。
3. 在购买代币前,用户应检查以下关键点:
● 代币合约是否开源
● 是否有审计报告
● 是否有黑/白名单机制
● 是否有交易税,交易税的具体收取方式
● 是否具有暂停机制
● 是否具有如限制交易量,最小持币量,最短持币时间等特殊机制
● 合约owner权限可以调用的函数,权限是否过高
● 合约是否使用代理模式
● 合约的owner权限如何管理,是否多签或者放弃
Beosin此前已对Tokr.fun、Pumpup、Pump404在内的多个memecoin发射平台和代币合约进行了详尽的安全审计,确保其合约代码的安全性、 业务实现逻辑的正确性,保障项目和用户的资金安全。
4. 许多交易平台和风险监测工具会为用户列明代币合约检测项,参考这些信息有助于用户提高识别骗局的准确率。用户在进行交易前可参考多个安全工具的检测结果,以下是常用的风险检测工具:
● Honeypot: https://honeypot.is/
● Token Sniffer: https://tokensniffer.com/
● OKX: https://www.okx.com/zh-hans/web3/dex-market
● GoPlus: https://gopluslabs.io/token-security
● De.Fi: https://de.fi/scanner
● Beosin Alert: https://chromewebstore.google.com/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji
总结
本文我们总结了memecoin常见的作恶方式,从中可以发现,memecoin尽管充满了机遇与可能性,但也伴随着各种各样的陷阱。用户必须对memecoin的交易保持高度的警惕性和谨慎性,以降低资金损失的风险。在Web3的世界里,安全永远是第一位的。
Beosin作为全球最早一批从事形式化验证的区块链安全公司,主打”安全+合规“全生态业务,在全球10多个国家和地区设立了分部,业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控与阻断、被盗追回、虚拟资产反洗钱(AML)以及符合各地监管要求的合规评估等“一站式”区块链合规产品+安全服务。欢迎点击公众号留言框,与我们联系。
