Um Guia de Sobrevivência de Segurança para Mememoedas

Riscos de Centralização

Recentemente, o incidente da Dexx mais uma vez lembrou aos usuários para estarem vigilantes sobre os riscos de centralização da plataforma. Nesta seção, focamos em analisar Pump.Fun, atualmente a maior plataforma de lançamento de memecoin:

Por meio de transações on-chain, identificamos o endereço do contrato Pump.Fun como 6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P.
Este código de contrato não é de código aberto e é controlado por um endereço multisig (7gZufwwAo17y5kg8FMyJy2phgpvv9RSdzWtdXiWHjFr8).

No entanto, após uma investigação mais aprofundada, descobriu-se que este endereço multisig é efetivamente controlado por um único endereço (4zJkeipCFGvfcJvKm4TY57ED9uEdL3sBRvs8TPdZKG5Q), criando um único ponto de falha e um risco significativo de centralização.

Solscan - Endereço do Contrato Pump.Fun

Em 17 de maio, devido a problemas operacionais, Pump.Fun sofreu um vazamento de chave privada, resultando em uma perda de aproximadamente $1.9 milhões.

A gestão adequada das chaves privadas do projeto e a aplicação de carteiras multisig (multisig) são especialmente cruciais para evitar pontos únicos de falha.

Ao emitir um memecoin através do Pump.Fun, os usuários devem criar tokens dentro de um “pool interno” usando $SOL. O preço desses tokens durante o processo de criação é determinado por uma Curva de Emissão (também conhecida como modelo de curva de emissão).

Para cada memecoin, a Pump.Fun cria um programa de Curva de Vinculação correspondente, cujos campos de dados incluem o seguinte:

tokenTotalSupply está definido para 1 bilhão de tokens.

As reservas virtuais de Sol, reservas virtuais de Token, reservas reais de Token e reservas reais de Sol servem como parâmetros para o criador de mercado automatizado (AMM) calcular o preço do token.

Uma vez que outros usuários tenham cunhado 800 milhões de tokens dentro da piscina interna, o campo completo muda para verdadeiro, após o que a memecoin fica disponível para negociação pública em uma piscina de liquidez na Raydium.

Ao inspecionar os dados on-chain de qualquer memecoin emitida via Pump.Fun, podemos observar que a autoridade de atualização para esses contratos é um endereço privilegiado conhecido como a Autoridade de Emissão de Tokens Pump.Fun (TSLvdd1pWpHVjahSpsvCXUbgwsL3JAcvokwaKt1eokM), que é responsável pela emissão.

O campo mint contém o endereço e as informações do token para o respectivo contrato do memecoin.

Esses contratos de memecoin não possuem funcionalidades de extensão de token; eles são a forma mais simples de tokens SPL.

Como resultado, não há endereços privilegiados que possam explorar extensões de token, como Delegado Permanente ou recursos de Taxa de Transferência, para prejudicar os usuários que participam da negociação de memecoins.

Incidente e Controvérsia do $Cheems

Em 25 de novembro, a Binance anunciou a listagem do contrato Cheems.

O preço do token subiu imediatamente 35%, mas em menos de um minuto, caiu mais de 60%, gerando controvérsia generalizada.

Ao analisar as transações on-chain do $Cheems, descobriu-se que o endereço responsável pela venda foi 0xbb8365B1BA2462ffDce9C894Ada84478f474Fefc.

Usando a análise Beosin KYT (Conheça Sua Transação) neste endereço, os resultados são mostrados abaixo:

Em 25 de novembro, este endereço vendeu aproximadamente 331,2 bilhões de $Cheems em um minuto através do PancakeSwap e do agregador DEX da OKX, recebendo 406,21 $BNB em troca.

Imediatamente depois, depositou todo o $BNB em uma conta da Binance.

Diagrama de Fluxo de Fundos Beosin KYT

Embora muitos usuários tenham suspeitado deste endereço de “negociação interna”, uma análise KYT mais aprofundada de suas transações históricas sugere que é mais provavelmente um Endereço de Dinheiro Inteligente com um histórico de atividades de negociação estratégica:

• A partir de 18 de novembro, o endereço começou a acumular $Cheems e, durante o processo de acumulação, também vendeu periodicamente partes.

• Em 18 de novembro, o endereço comprou cerca de 131 bilhões de $Cheems e, quatro horas depois, vendeu 41,3 bilhões de $Cheems.

• Em 21 de novembro, retirou 379,5 bilhões de $Cheems da Gate.io e vendeu 175,8 bilhões de $Cheems duas horas depois na cadeia.

• Em 22 e 23 de novembro, houve operações adicionais de compra grande e venda parcial.

O fluxo geral de fundos é mostrado abaixo:

Diagrama de Fluxo de Fundos do Beosin KYT

Endereços envolvidos nesta controvérsia incluem:

• 0xbb8365B1BA2462ffdce9c894ada84478f474fefc

• 0x0d0707963952f2fba59dd06f2b425ace40b492fe

• 0xbff62cee932fe7496a88c9193e9ba3fd5eeff46d

Ao negociar memecoins, os usuários também podem encontrar tokens de golpes "Pi Xiu" (golpes "貔貅盘").
Anteriormente, a Beosin havia ilustrado tais golpes com estudos de caso para ajudar os usuários a entender e prevenir essas armadilhas. Aqui está uma análise mais abrangente dos golpes comuns de memecoin:

Tokens Falsificados

Todos os dias, são lançados grandes números de novas mememoedas em várias blockchains, criando a ilusão de oportunidades infinitas para enriquecer.
Na realidade, os projetos falsificados são abundantes, tornando difícil para os usuários distinguir tokens reais dos falsos.

Muitos implementadores de memecoin copiam o nome e o símbolo de projetos já populares, criando novos contratos de token com nomes idênticos.
Se os usuários falharem em verificar cuidadosamente o endereço do contrato, eles podem comprar erroneamente tokens falsificados - ou até mesmo tokens de golpe direto - levando a situações em que os tokens não podem ser vendidos.

Além disso, disputas dentro da comunidade cripto e entre emissores de tokens sobre a formatação do nome da memecoin (capitalização) também causaram extrema volatilidade de preços.

Controvérsias recentes e flutuações de preços envolvendo $NEIRO vs. $neiro e $ELIZA vs. $eliza ilustram o alto risco associado aos memecoins.

Os usuários devem pesquisar as informações relevantes sobre memecoins, monitorar o feedback da comunidade e ficar alerta para possíveis manipulações de mercado pelas equipes de projeto por meio do controle de informações.

Restrições de Venda

Durante a experiência de negociação de memecoin, os usuários podem encontrar golpes de “Pi Xiu” onde os tokens que compram não podem ser vendidos ou são extremamente difíceis de vender.
Aqui estão os métodos comuns que os golpistas usam através do código do contrato inteligente para restringir a venda:

(1) Mecanismos de Lista Negra / Lista Branca

Os emissores de tokens podem incorporar funções de lista negra ou lista branca nos contratos de tokens para restringir transferências de tokens.

Por exemplo, se o endereço de um usuário for adicionado a uma lista negra, ele pode ser impedido de chamar funções como transfer() ou transferFrom() para mover tokens.

• Apenas endereços não listados em blacklist podem transferir tokens.

Apenas endereços que não estão na lista negra podem ser usados para transferir tokens.

(2) Manipulação de Saldo

Os emissores também podem manipular os saldos de tokens diretamente através do contrato inteligente, reduzindo drasticamente o saldo de tokens de um usuário.

• Se a alteração do saldo for registrada apenas no armazenamento interno do contrato, a vítima ainda verá seu saldo original exibido nos exploradores de blockchain, mas na verdade não conseguirá vender mais do que o saldo manipulado.

• Se a atualização do saldo for confirmada na cadeia, o usuário observará suas participações em memecoin visivelmente diminuir - ou até mesmo se tornar zero.

Aqui está um exemplo de código Solidity que define o saldo de um endereço na lista negra como zero:

Fora do ecossistema EVM, Solana também possui um recurso de manipulação de saldo semelhante através de extensões de Delegado Permanente:

• O Delegado Permanente é uma extensão oficial do token Solana que concede aos administradores a autoridade para transferir ou queimar tokens a qualquer momento.

• Foi originalmente projetado para casos de uso específicos, como recall de token ou supervisão de conformidade com stablecoin.

• Durante a criação do token, um criador pode inicializar o Delegado Permanente através do comando createInitializePermanentDelegateInstruction.

No entanto, como as permissões do Delegado Permanente são tão amplas, alguns atores maliciosos exploram essa funcionalidade:

• Eles emitem tokens,

• Atrair usuários para compra,

• Em seguida, transfira ou destrua tokens detidos pelo usuário para obter lucro.

Exemplo: Usando o Delegado Permanente para queimar os tokens de um usuário.

Use Delegado Permanente para destruir tokens

(3) Limites de transação

Outro motivo pelo qual os usuários podem se encontrar incapazes de vender memecoins é a presença de limites de transação severos codificados no contrato:

• O contrato inteligente pode exigir que os usuários mantenham uma quantidade de tokens muito superior ao que realmente possuem para executar uma venda.

• Ou pode impor impostos de transação extremamente altos.

Por exemplo, no trecho de código a seguir, o desenvolvedor do contrato ajusta o parâmetro amountToBurn para manipular o imposto sobre transações:

• Quando o parâmetro é definido como 2, ele efetivamente impõe um imposto de 50% sobre cada transação do usuário.

Nas extensões de token da Solana, também há um recurso de Taxa de Transferência, que permite a aplicação de um imposto em cada transação de token.
Configurar a TransferFee requer a definição dos seguintes campos:

• Taxa em pontos base: A taxa cobrada para cada transferência, medida em pontos base.

• Taxa máxima: O limite da taxa de transação.

• Autoridade de taxa de transferência: O endereço autorizado a modificar a Taxa de Transferência.

• Retirar autorização retida: O endereço autorizado a transferir tokens retidos de contas de token.

Como há um limite máximo de taxa, é relativamente raro que Solana use taxas de transação excessivas para criar golpes de Pi Xiu. Em vez disso, as perdas são mais frequentemente causadas por transferências de tokens ou destruição de tokens.

(4) Pausa de Transação

Os emissores de tokens podem implementar uma função de pausa em todo o contrato para restringir a negociação.
Uma vez que o contrato entra em estado pausado, as funções de transferência do token são completamente desativadas, impedindo qualquer negociação adicional.

Por exemplo, no trecho de código Solidity abaixo, as transferências de token só podem ocorrer se o contrato não estiver pausado:

(5) Tempo Mínimo de Manutenção

Após comprar um memecoin, os usuários podem ser obrigados a segurá-lo por um período mínimo antes de poderem negociar.
Este período de retenção é definido arbitrariamente pelo emissor do token e eles podem modificá-lo a qualquer momento.
Ao definir um tempo de espera extremamente longo, os usuários podem ser efetivamente aprisionados e impedidos de vender.

Exemplo de trecho Solidity:

Mecanismos de Taxas Únicas

Depois que um usuário compra memecoin, não serão cobradas taxas de manuseio ao negociar com outros usuários. Quando é vendido através do DEX (como Uniswap), serão cobradas taxas de manuseio. Além da venda, a renda do usuário proveniente da adição de liquidez ou da participação no staking também será afetada.

Por exemplo, no exemplo de código Solidity abaixo, a transferência só cobrará transações de token se o endereço de destino for o endereço do contrato.

Ou a taxa de manuseio não é deduzida do valor da transferência, mas reduz adicionalmente o saldo do remetente. Uma vez que este método não seja tratado adequadamente, afetará seriamente o preço na DEX, fazendo com que o valor do token retorne a 0.

Redução adicional no saldo do endereço de origem

Cunhagem de Token

A cunhagem de tokens é uma maneira comum de executar um rug pull.

Se o proprietário do contrato ou um endereço privilegiado tiver direitos de cunhagem, eles podem emitir tokens adicionais e vendê-los para obter lucro.

Este é um risco frequente em todo o ecossistema EVM, Solana e TON.

Aqui está um exemplo de uma função de cunhagem de um token Jetton na TON que inclui capacidades de cunhagem.

Alocação Centralizada de Tokens

A distribuição centralizada de tokens é um grande risco, onde uma equipe de projeto controla a maior parte do fornecimento de tokens.

• Eles podem manipular decisões de governança por meio de votação de tokens.

• Eles também podem movimentar o mercado ao executar grandes compras ou vendas.

Exemplo: Em Solidity, todos os tokens podem ser atribuídos ao endereço do implementador na criação do contrato:

Atualizações do Proxy

Usar contratos de proxy é um design comum de contrato inteligente que permite que a lógica seja atualizada sem alterar a estrutura de armazenamento.
Embora isso aumente a flexibilidade, também introduz riscos sérios:

• Os emissores podem modificar arbitrariamente a lógica do contrato,

• Potencialmente levando à perda ou roubo dos ativos dos detentores de tokens.

Exemplo: Em Solidity, um admin pode atualizar o endereço lógico:

Como ficar seguro?

Com golpes em alta durante a febre das memecoins, os usuários devem estar extra vigilantes.
A equipe de segurança Beosin recomenda:

1. Permaneça racional
   Tenha cautela com as narrativas de "enriquecimento rápido" das memecoins e com a hype dos influenciadores.
   Permaneça racional após um novo token ser lançado em uma DEX—evite FOMO e seguir cegamente.

2. Não confie em "dicas internas" ou "notícias confidenciais"
   Estas são frequentemente armadilhas projetadas para atrair usuários para investimentos arriscados sem uma pesquisa adequada.

3. Antes de comprar qualquer token, verifique estes pontos-chave:

   • O contrato do token é de código aberto?
   • Tem um relatório de auditoria?
   • Ele usa mecanismos de lista negra/branca?
   • Existem impostos sobre transações? Como eles são coletados?
   • Existe um mecanismo de pausa?
   • Existem restrições especiais (por exemplo, tempo mínimo de retenção, limites de valor de transferência)?
   • Quais funções o proprietário do contrato pode chamar? Os privilégios são muito altos?
   • O contrato usa um padrão de proxy?
   • Como é gerenciada a autoridade do proprietário do contrato (multisig ou renunciada)?

4. Usar Ferramentas de Detecção de Riscos
   Muitas plataformas e ferramentas fornecem verificações de contrato automatizadas.
   Sempre faça referência cruzada de várias fontes antes de negociar.
   Ferramentas recomendadas:

   • Honeypot
   • Token Sniffer
   • OKX Web3 DEX Mercado
   • GoPlus
   • Scanner De.Fi
   • Extensão Beosin Alert Chrome

Resumo

Neste artigo, resumimos as práticas maliciosas comuns no mundo das memecoins.

Apesar das oportunidades e da empolgação, as memecoins vêm com uma variedade de armadilhas.

Os usuários devem permanecer altamente vigilantes e cautelosos ao negociar memecoins para minimizar o risco de perda financeira.

No mundo do Web3, a segurança sempre vem primeiro.

Aviso legal:

1. Este artigo é uma reedição de [ForesightNews], com direitos autorais pertencentes ao autor original [Beosin].
   Se houver alguma objeção à reimpressão, entre em contato com oGate Aprenderequipe para o tratamento rápido.

2. Aviso legal: As opiniões expressas neste artigo são exclusivamente do autor e não constituem aconselhamento de investimento.

3. Outras versões deste artigo em outros idiomas foram traduzidas pela equipe Gate Learn. Copiar, distribuir ou plagiar o artigo traduzido sem mencionarGate.ioé proibido.