Un guide de survie pour la sécurité des Memecoins

Risques de centralisation

Récemment, l'incident de Dexx a une fois de plus rappelé aux utilisateurs de se méfier des risques de centralisation de la plateforme. Dans cette section, nous nous concentrons sur l'analyse de Pump.Fun, actuellement la plus grande plateforme de lancement de memecoin :

Grâce aux transactions sur chaîne, nous avons identifié l'adresse du contrat Pump.Fun comme 6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P.
Ce code de contrat n'est pas open-source et est contrôlé par une adresse multisig (7gZufwwAo17y5kg8FMyJy2phgpvv9RSdzWtdXiWHjFr8).

Cependant, après une enquête plus approfondie, il a été découvert que cette adresse multisig est effectivement contrôlée par une seule adresse (4zJkeipCFGvfcJvKm4TY57ED9uEdL3sBRvs8TPdZKG5Q), créant ainsi un point de défaillance unique et un risque de centralisation significatif.

Solscan - Adresse du contrat Pump.Fun

Le 17 mai, en raison de problèmes opérationnels, Pump.Fun a subi une fuite de clé privée, entraînant une perte d'environ 1,9 million de dollars.

Une gestion adéquate des clés privées de projet et l'application de portefeuilles multisignatures (multisig) sont particulièrement cruciales pour prévenir les points de défaillance uniques.

Lors de l'émission d'un memecoin via Pump.Fun, les utilisateurs doivent créer des jetons au sein d'un "pool interne" en utilisant $SOL. Le prix de ces jetons lors du processus de création est déterminé par une courbe de liaison (également connue sous le nom de modèle de courbe de liaison).

Pour chaque memecoin, Pump.Fun crée un programme de courbe de liaison correspondant, dont les champs de données incluent les suivants :

tokenTotalSupply est fixé à 1 milliard de jetons.

virtualSolReserves, virtualTokenReserves, realTokenReserves et realSolReserves servent de paramètres pour le calculateur de marché automatisé (AMM) afin de calculer le prix du jeton.

Une fois que d'autres utilisateurs ont frappé 800 millions de jetons dans le pool interne, le champ complet passe à vrai, après quoi le memecoin est ensuite mis à disposition pour la négociation publique dans un pool de liquidités sur Raydium.

En inspectant les données de la chaîne pour toute memecoin émise via Pump.Fun, nous pouvons observer que l'autorité de mise à jour pour ces contrats est une adresse privilégiée connue sous le nom de l'autorité de création de jetons Pump.Fun (TSLvdd1pWpHVjahSpsvCXUbgwsL3JAcvokwaKt1eokM), qui est responsable de l'émission.

Le champ mint contient l'adresse et les informations sur le jeton pour le contrat memecoin respectif.

Ces contrats de memecoin n'ont pas de fonctionnalités d'extension de jeton; ils sont la forme la plus simple de jetons SPL.

Par conséquent, il n'y a pas d'adresses privilégiées qui pourraient exploiter des extensions de jetons telles que les fonctionnalités de Délégué Permanent ou de Frais de Transfert pour nuire aux utilisateurs participant au trading de memecoin.

$Cheems Incident and Controversy

Le 25 novembre, Binance a annoncé l'inscription du contrat Cheems.

Le prix du jeton a immédiatement grimpé de 35 %, mais en moins d'une minute, il a chuté de plus de 60 %, suscitant une controverse généralisée.

En analysant les transactions sur chaîne de $Cheems, il a été découvert que l'adresse responsable de la vente massive était 0xbb8365B1BA2462ffDce9C894Ada84478f474Fefc.

En utilisant l'analyse Beosin KYT (Know Your Transaction) sur cette adresse, les résultats sont affichés ci-dessous :

Le 25 novembre, cette adresse a vendu environ 331,2 milliards de $Cheems en une minute via PancakeSwap et l'agrégateur DEX OKX, recevant en retour 406,21 $BNB.

Immédiatement après, il a déposé tous les $BNB dans un compte Binance.

Schéma de flux de fonds Beosin KYT

Bien que de nombreux utilisateurs aient soupçonné cette adresse de "trading interne", une analyse plus approfondie de KYT de ses transactions historiques suggère qu'il est plus probable qu'il s'agisse d'une adresse Smart Money avec un historique d'activités de trading stratégique :

• À partir du 18 novembre, l'adresse a commencé à accumuler $Cheems, et pendant le processus d'accumulation, elle a également vendu périodiquement des portions.

• Le 18 novembre, l'adresse a acheté environ 131 milliards de $Cheems et, quatre heures plus tard, a vendu 41,3 milliards de $Cheems.

• Le 21 novembre, il a retiré 379,5 milliards de $Cheems de Gate.io et vendu 175,8 milliards de $Cheems deux heures plus tard sur la chaîne.

• Les 22 et 23 novembre, il y a eu des opérations d'achat importantes supplémentaires et des ventes partielles.

Le flux global des fonds est indiqué ci-dessous :

Schéma de flux de fonds Beosin KYT

Les adresses impliquées dans cette controverse incluent:

• 0xbb8365B1BA2462ffdce9c894ada84478f474fefc

• 0x0d0707963952f2fba59dd06f2b425ace40b492fe

• 0xbff62cee932fe7496a88c9193e9ba3fd5eeff46d

Lorsqu'ils négocient des memecoins, les utilisateurs peuvent également rencontrer des jetons d'escroquerie "Pi Xiu" (escroqueries "貔貅盘").
Auparavant, Beosin avait illustré de telles escroqueries avec des études de cas pour aider les utilisateurs à comprendre et à prévenir ces pièges. Voici une analyse plus complète des escroqueries courantes liées aux memecoins :

Jetons contrefaits

Chaque jour, de nombreux nouveaux memecoins sont lancés sur divers blockchains, créant l'illusion d'opportunités infinies pour devenir riche.
En réalité, les projets contrefaits sont monnaie courante, ce qui rend difficile pour les utilisateurs de distinguer les vrais jetons des faux.

De nombreux créateurs de memecoins copient le nom et le symbole de projets déjà populaires, créant de nouveaux contrats de jetons avec des noms identiques.
Si les utilisateurs ne vérifient pas soigneusement l'adresse du contrat, ils peuvent acheter par erreur des jetons contrefaits, voire des jetons d'escroquerie pure et simple, ce qui peut entraîner des situations où les jetons ne peuvent pas être vendus.

De plus, les disputes au sein de la communauté crypto et entre les émetteurs de jetons concernant la casse du nom des memecoins (la capitalisation) ont également provoqué une volatilité extrême des prix.

Les récentes controverses et les fluctuations de prix impliquant $NEIRO vs. $neiro et $ELIZA vs. $eliza illustrent le risque élevé associé aux memecoins.

Les utilisateurs doivent rechercher les informations pertinentes sur les memecoins, surveiller les retours de la communauté et rester attentifs à la manipulation potentielle du marché par les équipes de projet grâce au contrôle de l'information.

Restrictions de vente

Pendant l'expérience de trading de memecoin, les utilisateurs peuvent rencontrer des escroqueries "Pi Xiu" où les jetons qu'ils achètent ne peuvent pas être vendus ou sont extrêmement difficiles à vendre.
Voici les méthodes courantes utilisées par les escrocs à travers le code de contrat intelligent pour restreindre la vente :

(1) Mécanismes de liste noire / liste blanche

Les émetteurs de jetons peuvent intégrer des fonctions de liste noire ou de liste blanche dans les contrats de jetons pour restreindre les transferts de jetons.

Par exemple, si l'adresse d'un utilisateur est ajoutée à une liste noire, elle peut être empêchée d'appeler des fonctions telles que transfer() ou transferFrom() pour déplacer des jetons.

• Seules les adresses non inscrites sur liste noire sont autorisées à transférer des jetons.

Seules les adresses qui ne figurent pas sur la liste noire peuvent être utilisées pour transférer des jetons.

(2) Manipulation de solde

Les émetteurs peuvent également manipuler directement les soldes de jetons via le contrat intelligent, réduisant drastiquement le solde de jetons d'un utilisateur.

• Si le changement de solde est enregistré uniquement dans le stockage interne du contrat, la victime verra toujours son solde d'origine affiché sur les explorateurs de blockchain mais sera en réalité incapable de vendre plus que le solde manipulé.

• Si la mise à jour de solde est validée on-chain, l'utilisateur constatera que sa possession de memecoin diminue visiblement, voire devient même nulle.

Voici un exemple de code Solidity qui définit le solde d'une adresse blacklistée à zéro :

En dehors de l'écosystème EVM, Solana dispose également d'une fonctionnalité similaire de manipulation des soldes grâce aux extensions Permanent Delegate :

• Permanent Delegate est une extension officielle de jeton Solana qui accorde aux administrateurs l'autorité de transférer ou de brûler des jetons à tout moment.

• Il a été initialement conçu pour des cas d'utilisation spécifiques comme le rappel de jetons ou la surveillance de la conformité des stablecoins.

• Lors de la création du jeton, un créateur peut initialiser le délégué permanent via la commande createInitializePermanentDelegateInstruction.

Cependant, parce que les autorisations du Délégué Permanent sont si larges, certains acteurs malveillants exploitent cette fonctionnalité :

• Ils émettent des jetons,

• Attirer les utilisateurs à acheter,

• Ensuite, transférez ou détruisez les jetons détenus par l'utilisateur pour réaliser un profit.

Exemple : Utiliser un délégué permanent pour brûler les jetons d'un utilisateur.

Utilisez Permanent Delegate pour détruire des jetons

(3) Seuils de transaction

Une autre raison pour laquelle les utilisateurs pourraient se trouver dans l'incapacité de vendre des memecoins est la présence de seuils de transaction sévères codés dans le contrat:

• Le contrat intelligent peut exiger des utilisateurs de détenir un montant de jetons largement supérieur à ce qu'ils possèdent réellement pour exécuter une vente.

• Ou il pourrait imposer des taxes de transaction extrêmement élevées.

Par exemple, dans l'extrait de code suivant, le développeur du contrat ajuste le paramètre amountToBurn pour manipuler la taxe de transaction:

• Lorsque le paramètre est réglé sur 2, il impose effectivement une taxe de 50% sur chaque transaction de l'utilisateur.

Dans les extensions de jetons de Solana, il y a également une fonctionnalité TransferFee, qui permet l'application d'une taxe sur chaque transaction de jetons.
La configuration de TransferFee nécessite de définir les champs suivants :

• Frais en points de base: Les frais facturés pour chaque transfert, mesurés en points de base.

• Frais maximum : Le plafond sur les frais de transaction.

• Autorité des frais de transfert : L'adresse autorisée à modifier les frais de transfert.

• Retirer l'autorité retenue : L'adresse autorisée à transférer les jetons retenus des comptes de jetons.

Étant donné qu'il existe une limite maximale de frais, il est relativement rare que Solana utilise des frais de transaction excessifs pour créer des escroqueries Pi Xiu. Au lieu de cela, les pertes sont plus souvent causées par des transferts de jetons ou la destruction de jetons.

(4) Pause de transaction

Les émetteurs de jetons peuvent implémenter une fonction de pause à l'échelle du contrat pour restreindre les échanges.
Une fois que le contrat entre dans un état de pause, les fonctions de transfert du jeton deviennent complètement désactivées, empêchant tout autre trading.

Par exemple, dans l'extrait de code Solidity ci-dessous, les transferts de jetons ne peuvent se produire que si le contrat n'est pas en pause :

(5) Temps de détention minimum

Après avoir acheté un memecoin, les utilisateurs peuvent être obligés de le conserver pendant une période minimale avant de pouvoir le trader.
Ce délai de détention est arbitrairement fixé par l'émetteur de jetons, et ils peuvent le modifier à tout moment.
En fixant un temps de détention extrêmement long, les utilisateurs peuvent être efficacement piégés et empêchés de vendre.

Exemple de snippet Solidity :

Mécanismes de frais uniques

Après qu'un utilisateur achète memecoin, aucun frais de gestion ne sera facturé lors des échanges avec d'autres utilisateurs. Lorsqu'il est vendu via DEX (comme Uniswap), des frais de gestion seront facturés. En plus de la vente, les revenus de l'utilisateur provenant de l'ajout de liquidités ou de sa participation au staking seront également affectés.

Par exemple, dans l'exemple de code Solidity ci-dessous, le transfert ne facturera que les transactions de jetons si l'adresse de destination est l'adresse du contrat.

Ou les frais de gestion ne sont pas déduits du montant transféré, mais réduisent également le solde de l'expéditeur. Une fois que cette méthode n'est pas correctement gérée, elle affectera sérieusement le prix dans DEX, entraînant la valeur du jeton à retourner à 0.

Réduction supplémentaire du solde de l'adresse d'envoi

Création de jetons

Le minting de jetons est une manière courante d'exécuter un rug pull.

Si le propriétaire du contrat ou une adresse privilégiée a des droits de frappe, il peut émettre des jetons supplémentaires et les vendre pour faire des profits.

Il s'agit d'un risque fréquent dans l'écosystème EVM, Solana et TON.

Voici un exemple d'une fonction de frappe d'un jeton Jetton sur TON qui comprend des capacités de frappe.

Allocation centralisée de jetons

La distribution centralisée des jetons est un risque majeur lorsque l'équipe du projet contrôle la plupart de l'offre de jetons.

• Ils peuvent manipuler les décisions de gouvernance grâce au vote par jeton.

• Ils peuvent également influencer le marché en effectuant de gros achats ou ventes.

Exemple : En Solidity, tous les jetons peuvent être attribués à l'adresse du déployeur lors de la création du contrat :

Mises à niveau de Proxy

L'utilisation de contrats proxy est une conception courante de contrat intelligent qui permet à la logique d'être mise à niveau sans changer la structure de stockage.
Bien que cela augmente la flexibilité, cela introduit également des risques sérieux:

• Les émetteurs peuvent modifier arbitrairement la logique du contrat,

• Pouvant potentiellement entraîner la perte ou le vol des actifs des détenteurs de jetons.

Exemple : En Solidité, un administrateur peut mettre à jour l'adresse logique :

Comment rester en sécurité?

Avec les escroqueries qui sévissent pendant la folie des meme coins, les utilisateurs doivent être particulièrement vigilants.
L'équipe de sécurité Beosin recommande :

1. Rester rationnel
   Soyez prudent face aux récits de "s'enrichir rapidement" des memecoins et à l'engouement des influenceurs.
   Rester rationnel après le lancement d'un nouveau jeton sur un DEX—éviter la FOMO et suivre aveuglément.

2. Ne faites pas confiance aux "conseils d'initiés" ou aux "nouvelles confidentielles"
   Il s'agit souvent de pièges conçus pour attirer les utilisateurs vers des investissements risqués sans faire de recherches appropriées.

3. Avant d'acheter tout jeton, vérifiez ces points clés :

   • Le contrat du jeton est-il open-source?
   • A-t-il un rapport d'audit?
   • Utilise-t-il des mécanismes de liste noire/liste blanche?
   • Y a-t-il des taxes de transaction ? Comment sont-elles collectées ?
   • Y a-t-il un mécanisme de pause?
   • Y a-t-il des restrictions spéciales (par exemple, durée de détention minimale, limites de montant de transfert) ?
   • Quelles fonctions le propriétaire du contrat peut-il appeler? Les privilèges sont-ils trop élevés?
   • Le contrat utilise-t-il un motif de proxy?
   • Comment l'autorité du propriétaire du contrat est-elle gérée (multisig ou renoncée)?

4. Utiliser des outils de détection des risques
   De nombreuses plateformes et outils fournissent des vérifications de contrat automatisées.
   Vérifiez toujours plusieurs sources avant de trader.
   Outils recommandés:

   • Honeypot
   • Token Sniffer
   • Marché OKX Web3 DEX
   • GoPlus
   • De.Fi Scanner
   • Extension Chrome d'alerte Beosin

Résumer

Dans cet article, nous avons résumé les pratiques malveillantes courantes dans le monde des memecoins.

Malgré les opportunités et l'excitation, les memecoins sont accompagnés d'une variété de pièges.

Les utilisateurs doivent rester très vigilants et prudents lorsqu'ils échangent des memecoins pour minimiser le risque de perte financière.

Dans le monde de Web3, la sécurité passe toujours en premier.

Avertissement :

1. Cet article est une réimpression de [ForesightNews], avec des droits d'auteur appartenant à l'auteur original [Beosin].
   S'il y a des objections à la réimpression, veuillez contacter leGate Apprendreéquipe pour une manipulation rapide.

2. Avertissement : Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent pas des conseils en investissement.

3. D'autres versions linguistiques de cet article ont été traduites par l'équipe Gate Learn. Copier, distribuer ou plagier l'article traduit sans mentionnerGate.ioest interdit.