Руководство по безопасности выживания Memecoin

Риски централизации

Недавно инцидент с Dexx в очередной раз напомнил пользователям быть бдительными по отношению к рискам централизации платформы. В этом разделе мы сосредоточимся на анализе Pump.Fun, в настоящее время самой крупной платформы для запуска мемкойнов:

Через on-chain транзакции мы идентифицировали адрес контракта Pump.Fun как 6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P.
Этот код контракта не является открытым и контролируется мультиподписным адресом (7gZufwwAo17y5kg8FMyJy2phgpvv9RSdzWtdXiWHjFr8).

Однако при дальнейшем расследовании было выяснено, что этот адрес с мультиподписью фактически контролируется одним адресом (4zJkeipCFGvfcJvKm4TY57ED9uEdL3sBRvs8TPdZKG5Q), что создает единую точку отказа и значительный риск централизации.

Solscan - Адрес контракта Pump.Fun

17 мая из-за операционных проблем Pump.Fun столкнулся с утечкой закрытого ключа, что привело к убыткам около $1.9 миллиона.

Правильное управление частными ключами проекта и применение кошельков с мультиподписью (мультиподписью) особенно важны для предотвращения единой точки отказа.

При выпуске мемкоина через Pump.Fun пользователи должны создавать токены в «внутреннем пуле» с использованием $SOL. Цена этих токенов в процессе создания определяется кривой привязки (также известной как модель привязки кривой).

Для каждой мемкоины, Pump.Fun создает соответствующую программу кривой облигаций, поля данных которой включают следующее:

tokenTotalSupply установлен на 1 миллиард токенов.

виртуальныеРезервыSol, виртуальныеРезервыТокенов, реальныеРезервыТокенов и реальныеРезервыSol служат параметрами для расчета цены токена автоматическим маркетмейкером (AMM).

После того как другие пользователи создадут 800 миллионов токенов во внутреннем пуле, поле полностью переключится на true, после чего мемкойн станет доступен для публичной торговли в пуле ликвидности на Raydium.

Проверяя цепные данные любого меметокена, выпущенного через Pump.Fun, мы можем наблюдать, что управляющим органом для этих контрактов является привилегированный адрес, известный как Pump.Fun Token Mint Authority (TSLvdd1pWpHVjahSpsvCXUbgwsL3JAcvokwaKt1eokM), который отвечает за чеканку.

Поле монеты содержит адрес и информацию о токене для соответствующего контракта мемекоина.

Эти меме-контракты не имеют функционала расширения токенов; они являются самой простой формой токенов SPL.

В результате нет привилегированных адресов, которые могли бы использовать расширения токенов, такие как постоянный делегат или функции комиссии за перевод, чтобы нанести вред пользователям, участвующим в торговле мемкойном.

Инцидент и контроверза $Cheems

25 ноября Binance объявила о листинге контракта Cheems.

Цена токена моментально выросла на 35%, но менее чем за минуту упала на 60%, вызвав широкие дискуссии.

Анализируя онлайн-транзакции $Cheems, было обнаружено, что адрес, ответственный за сбыт, был 0xbb8365B1BA2462ffDce9C894Ada84478f474Fefc.

Используя анализ Beosin KYT (Know Your Transaction) по этому адресу, результаты показаны ниже:

25 ноября этот адрес продал приблизительно 331.2 миллиарда $Cheems за одну минуту через PancakeSwap и агрегатор DEX OKX, получив взамен 406.21 $BNB.

Сразу после этого он внес все $BNB на счет Binance.

Диаграмма потока средств Beosin KYT Fund

Хотя многие пользователи подозревали этот адрес в «внутренней торговле», более глубокий анализ KYT его исторических транзакций указывает на то, что скорее всего это адрес Smart Money с историей стратегической торговли:

• Начиная с 18 ноября, адрес начал накапливать $Cheems, и в процессе накопления также периодически продавал части.

• 18 ноября адрес купил около 131 миллиарда $Cheems и через четыре часа продал 41,3 миллиарда $Cheems.

• 21 ноября с Gate.io было выведено 379,5 миллиарда $Cheems, а через два часа продано 175,8 миллиарда $Cheems on-chain.

• 22 и 23 ноября были проведены дополнительные крупные операции по покупке и частичной продаже.

Общий поток средств показан ниже:

Диаграмма потока средств фонда Beosin KYT

Адреса, участвующие в этой контроверсии, включают:

• 0xbb8365B1BA2462ffdce9c894ada84478f474fefc

• 0x0d0707963952f2fba59dd06f2b425ace40b492fe

• 0xbff62cee932fe7496a88c9193e9ba3fd5eeff46d

При торговле мемокоинами пользователи также могут столкнуться с мошенническими токенами "Pi Xiu" (мошеннические схемы "貔貅盘").
Ранее Beosin иллюстрировала такие мошенничества на примерах, чтобы помочь пользователям понять и предотвратить эти подводные камни. Вот более подробное описание распространенных мемкойн-мошенничеств:

Фальшивые токены

Каждый день на различных блокчейнах запускаются большие объемы новых мемокоинов, создавая иллюзию бесконечных возможностей обогащения.
На самом деле, поддельные проекты бушуют, что затрудняет пользователям отличить настоящие токены от фейков.

Многие создатели мемокоинов копируют имя и символ уже популярных проектов, создавая новые токен-контракты с идентичными названиями.
Если пользователи не будут тщательно проверять адрес контракта, они могут ошибочно приобрести поддельные токены — или даже прямо мошеннические токены — что может привести к ситуации, когда токены невозможно продать.

Кроме того, споры в криптосообществе и среди эмитентов токенов из-за написания названия мемкойна (капитализации) также вызвали крайнюю ценовую волатильность.

Недавние скандалы и колебания цен, касающиеся $NEIRO против $neiro и $ELIZA против $eliza, иллюстрируют высокий уровень риска, связанный с мемокоинами.

Пользователям необходимо исследовать соответствующую информацию о мемкойне, отслеживать обратную связь сообщества и быть бдительными к потенциальной рыночной манипуляции со стороны команд проекта через контроль информации.

Ограничения на продажу

Во время торговли мем-монетами пользователи могут столкнуться с мошенничеством "Pi Xiu", когда приобретенные ими токены либо не могут быть проданы, либо продать их крайне сложно.
Здесь приведены общие методы, которые мошенники используют через код смарт-контракта для ограничения продажи:

(1) Механизмы Черного списка / Белого списка

Эмитенты токенов могут включить функции черного или белого списка в токен-контракты для ограничения передачи токенов.

Например, если адрес пользователя добавлен в черный список, он может быть лишен возможности вызова функций, таких как transfer() или transferFrom(), для перемещения токенов.

• Только не внесенные в черный список адреса могут передавать токены.

Только адреса, которые не находятся в черном списке, могут быть использованы для передачи токенов.

(2) Манипуляция балансом

Эмитенты также могут манипулировать балансами токенов напрямую через смарт-контракт, резко снижая баланс токенов пользователя.

• Если изменение баланса записывается только внутри внутреннего хранилища контракта, пострадавший все равно увидит свой первоначальный баланс на блокчейн-обозревателях, но фактически не сможет продать больше, чем манипулированный баланс.

• Если обновление баланса фиксируется on-chain, пользователь увидит, что их удержание мемкойнов заметно уменьшается — или даже становится нулевым.

Вот пример кода на Solidity, который устанавливает баланс адреса в черном списке в ноль:

Вне экосистемы EVM у Solana также есть аналогичная функция манипулирования балансом через постоянные делегированные расширения:

• Permanent Delegate - это официальное расширение токена Solana, которое предоставляет администраторам право передачи или сжигания токенов в любое время.

• Изначально он был разработан для конкретных случаев использования, таких как отзыв токенов или контроль соблюдения стабильности криптовалют.

• Во время создания токена создатель может инициализировать Постоянного Делегата с помощью команды createInitializePermanentDelegateInstruction.

Однако, поскольку полномочия Постоянного делегата настолько широки, некоторые злонамеренные акторы злоупотребляют этой функциональностью:

• Они выпускают токены,

• Привлекать пользователей к покупке,

• Затем передавайте или уничтожайте токены, удерживаемые пользователем, ради прибыли.

Пример: Использование постоянного делегата для сжигания токенов пользователя.

Используйте постоянного делегата для уничтожения токенов

(3) Пороги транзакций

Еще одной причиной, по которой пользователи могут оказаться не в состоянии продать мемокоины, является наличие жестких порогов транзакций, закодированных в контракте:

• Смарт-контракт может потребовать, чтобы пользователи держали сумму токенов, значительно превышающую их фактическое владение, чтобы выполнить продажу.

• Или же он может ввести чрезвычайно высокие налоги на транзакции.

Например, в следующем фрагменте кода разработчик контракта настраивает параметр amountToBurn для манипулирования налогом на транзакции:

• Когда параметр установлен на 2, он фактически накладывает налог в размере 50% на каждую пользовательскую транзакцию.

В расширениях токена Solana также есть функция TransferFee, которая позволяет применять налог к каждой транзакции токенов.
Настройка TransferFee требует установки следующих полей:

• Комиссия в базисных пунктах: Комиссия, взимаемая за каждый перевод, измеряется в базисных пунктах.

• Максимальная плата: предельная ставка по комиссии за транзакцию.

• Полномочия по комиссии за перевод: Адрес, уполномоченный на изменение комиссии за перевод.

• Отозвать удержанную власть: Адрес, уполномоченный на перевод удержанных токенов с токен-счетов.

Поскольку существует максимальный предел комиссии, относительно редко Солана использует чрезмерные транзакционные сборы для создания мошенничества Pi Xiu. Вместо этого убытки чаще всего вызываются через передачу токенов или их уничтожение.

(4) Приостановка транзакции

Эмитенты токенов могут реализовать функцию приостановки на уровне контракта для ограничения торговли.
Как только контракт входит в приостановленное состояние, функции передачи токенов полностью отключаются, что предотвращает любые дальнейшие торговые операции.

Например, в приведенном ниже фрагменте кода Solidity передача токенов может происходить только в том случае, если контракт не находится на паузе:

(5) Минимальное время удержания

После покупки мемекоина пользователи могут быть вынуждены удерживать его в течение минимального периода, прежде чем им будет разрешено торговать.
Этот период удержания произвольно устанавливается эмитентом токена, и он может изменить его в любое время.
Установив чрезвычайно длинное время удержания, пользователей можно эффективно запереть и предотвратить продажу.

Пример сниппета Solidity:

Уникальные механизмы комиссий

После того, как пользователь приобретет мемкойн, при торговле с другими пользователями не будет взиматься комиссия за обработку. Если он продается через DEX (например, Uniswap), будет взиматься комиссия за обработку. Кроме продажи, доход пользователя от добавления ликвидности или участия в стейкинге также будет затронут.

Например, в приведенном ниже примере кода Solidity перевод будет взиматься только за токенные транзакции, если адресатом является адрес контракта.

Или комиссия за обработку не вычитается из суммы перевода, а дополнительно уменьшает баланс отправителя. Если этот метод не обрабатывается правильно, это серьезно скажется на цене в DEX, приводя к возвращению стоимости токена к 0.

Дополнительное уменьшение баланса с адреса отправителя

Эмиссия токенов

Эмиссия токенов - это обычный способ осуществления rug pull.

Если владелец контракта или привилегированный адрес имеют право на чеканку, они могут выпустить дополнительные токены и продать их с прибылью.

Это частый риск в экосистеме EVM, Solana и TON.

Вот пример функции монетного двора от жетонного токена на TON, которая включает возможности чеканки.

Централизованное распределение токенов

Централизованное распределение токенов является значительным риском, когда команда проекта контролирует большую часть токенов.

• Они могут манипулировать решениями по управлению через голосование за токены.

• Они также могут двигать рынок, исполняя крупные покупки или продажи.

Пример: В Solidity все токены могут быть назначены адресу развертывания контракта:

Обновления прокси

Использование прокси-контрактов - это распространенный дизайн смарт-контрактов, который позволяет обновлять логику без изменения структуры хранения.
При этом повышается гибкость, но возникают и серьезные риски:

• Эмитенты могут произвольно изменять логику контракта,

• Может привести к потере или краже активов держателей токенов.

Пример: В Solidity администратор может обновить адрес логики:

Как оставаться в безопасности?

С учетом частых мошенничеств во время увлечения мемкойнами, пользователи должны быть особенно бдительны.
Команда безопасности Beosin рекомендует:

1. Оставайся рациональным
   Будьте осторожны с нишевой монетой, а также с рассказами о "быстрой прибыли" и воздействии блогеров.
   Оставайтесь рациональными после запуска нового токена на DEX — избегайте FOMO и слепой подражания.

2. Не доверяйте "Инсайдерским советам" или "Конфиденциальным новостям"
   Это часто ловушки, созданные для того, чтобы заманить пользователей на рискованные инвестиции без должного исследования.

3. Перед покупкой любого токена проверьте эти ключевые моменты:

   • Является ли контракт токена открытым исходным кодом?
   • Есть ли у него аудиторский отчет?
   • Использует ли он механизмы черного/белого списка?
   • Есть ли налоги на транзакции? Как они взимаются?
   • Есть ли механизм паузы?
   • Есть ли специальные ограничения (например, минимальное время удержания, ограничения на сумму перевода)?
   • Какие функции может вызвать владелец контракта? Привилегии не слишком высокие?
   • Использует ли контракт шаблон прокси?
   • Как управляется полномочие владельца контракта (мультиподпись или отказ)?

4. Используйте инструменты обнаружения рисков
   Многие платформы и инструменты предоставляют автоматизированные проверки контрактов.
   Всегда проверяйте несколько источников перед торговлей.
   Рекомендуемые инструменты:

   • Ловушка для меда
   • Token Sniffer
   • OKX Web3 DEX Рынок
   • GoPlus
   • De.Fi Сканер
   • Расширение Beosin Alert для Chrome

Краткое изложение

В этой статье мы суммировали общие злонамеренные практики в мире мемкойнов.

Несмотря на возможности и волнение, мемокоины сопровождаются различными ловушками.

Пользователи должны оставаться высоко бдительными и осторожными при торговле мемокойнами, чтобы минимизировать риск финансовых потерь.

В мире Web3 безопасность всегда стоит на первом месте.

Отказ от ответственности:

1. Эта статья является перепечаткой из [ForesightNews], с авторским правом, принадлежащим оригинальному автору [Beosin].
   Если есть возражения против повторной печати, пожалуйста, свяжитесь сGate Learnкоманду для оперативной обработки.

2. Отказ от ответственности: Взгляды и мнения, выраженные в этой статье, являются исключительно точкой зрения автора и не являются инвестиционными советами.

3. Другие языковые версии этой статьи были переведены командой Gate Learn. Копирование, распространение или плагиат переведенной статьи без упоминанияGate.ioзапрещено.