Una Guía de Supervivencia de Seguridad de Memecoin

Riesgos de Centralización

Recientemente, el incidente de Dexx una vez más recordó a los usuarios que deben estar atentos a los riesgos de centralización de la plataforma. En esta sección, nos enfocamos en analizar Pump.Fun, actualmente la plataforma de lanzamiento de memecoin más grande:

A través de transacciones en cadena, identificamos la dirección del contrato Pump.Fun como 6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P.
Este código de contrato no está abierto y está controlado por una dirección multisig (7gZufwwAo17y5kg8FMyJy2phgpvv9RSdzWtdXiWHjFr8).

Sin embargo, tras una investigación más detallada, se descubrió que esta dirección multisig está efectivamente controlada por una sola dirección (4zJkeipCFGvfcJvKm4TY57ED9uEdL3sBRvs8TPdZKG5Q), creando un único punto de fallo y un riesgo significativo de centralización.

Solscan - Pump.Fun Dirección del contrato

El 17 de mayo, debido a problemas operativos, Pump.Fun sufrió una fuga de clave privada, lo que resultó en una pérdida de aproximadamente $1.9 millones.

La gestión adecuada de las claves privadas del proyecto y la aplicación de monederos multi-firma (multisig) son especialmente cruciales para prevenir puntos únicos de fallo.

Cuando se emite una mememoneda a través de Pump.Fun, los usuarios deben acuñar tokens dentro de un "pool interno" utilizando $SOL. El precio de estos tokens durante el proceso de acuñación está determinado por una Curva de Unión (también conocida como modelo de curva de unión).

Para cada memecoin, Pump.Fun crea un programa de Curva de Vinculación correspondiente, cuyos campos de datos incluyen lo siguiente:

tokenTotalSupply se establece en 1 mil millones de tokens.

virtualSolReserves, virtualTokenReserves, realTokenReserves y realSolReserves sirven como parámetros para que el creador de mercado automatizado (AMM) calcule el precio del token.

Una vez que otros usuarios hayan acuñado 800 millones de tokens dentro del pool interno, el campo completo cambia a true, después de lo cual la memecoin estará disponible para el trading público en un pool de liquidez en Raydium.

Al inspeccionar los datos en cadena de cualquier memecoin emitida a través de Pump.Fun, podemos observar que la autoridad de actualización para estos contratos es una dirección privilegiada conocida como la Autoridad de Acuñación de Tokens Pump.Fun (TSLvdd1pWpHVjahSpsvCXUbgwsL3JAcvokwaKt1eokM), que es responsable de la acuñación.

El campo mint contiene la dirección y la información del token para el contrato de memecoin respectivo.

Estos contratos de memecoin no tienen funcionalidades de extensión de token; son la forma más simple de tokens SPL.

Como resultado, no hay direcciones privilegiadas que puedan explotar extensiones de token como Delegado Permanente o características de Tarifa de Transferencia para dañar a los usuarios que participan en el comercio de memecoin.

$Cheems Incident and Controversy

El 25 de noviembre, Binance anunció la inclusión del contrato de Cheems.

El precio del token aumentó inmediatamente un 35%, pero en menos de un minuto cayó más del 60%, desatando una amplia controversia.

Al analizar las transacciones en cadena de $Cheems, se descubrió que la dirección responsable de la venta masiva era 0xbb8365B1BA2462ffDce9C894Ada84478f474Fefc.

Utilizando el análisis Beosin KYT (Conozca su Transacción) en esta dirección, los hallazgos se muestran a continuación:

El 25 de noviembre, esta dirección vendió aproximadamente 331.2 mil millones de $Cheems en un minuto a través de PancakeSwap y el agregador DEX de OKX, recibiendo a cambio 406.21 $BNB.

Inmediatamente después, depositó todo el $BNB en una cuenta de Binance.

Diagrama de flujo de fondos del Fondo KYT de Beosin

Aunque muchos usuarios sospechaban de esta dirección de "operaciones internas", un análisis más profundo de KYT de sus transacciones históricas sugiere que es más probable que sea una dirección de Dinero Inteligente con una historia de actividades comerciales estratégicas:

• A partir del 18 de noviembre, la dirección comenzó a acumular $Cheems, y durante el proceso de acumulación, también vendió periódicamente porciones.

• El 18 de noviembre, la dirección compró alrededor de 131 mil millones de $Cheems y, cuatro horas después, vendió 41.3 mil millones de $Cheems.

• El 21 de noviembre, retiró 379.5 mil millones de $Cheems de Gate.io y vendió 175.8 mil millones de $Cheems dos horas más tarde en la cadena.

• El 22 y 23 de noviembre, hubo operaciones de compra adicionales grandes y ventas parciales.

El flujo de fondos general se muestra a continuación:

Diagrama de flujo de fondos del Fondo KYT de Beosin

Las direcciones involucradas en esta controversia incluyen:

• 0xbb8365B1BA2462ffdce9c894ada84478f474fefc

• 0x0d0707963952f2fba59dd06f2b425ace40b492fe

• 0xbff62cee932fe7496a88c9193e9ba3fd5eeff46d

Al negociar memecoins, los usuarios también pueden encontrarse con tokens de estafa de “Pi Xiu” (estafas de “貔貅盘”).
Anteriormente, Beosin había ilustrado tales estafas con estudios de casos para ayudar a los usuarios a comprender y prevenir estos peligros. Aquí tienes un desglose más completo de las estafas comunes de memecoin:

Tokens Falsificados

Cada día se lanzan grandes cantidades de nuevas memecoins en varias blockchains, creando la ilusión de oportunidades interminables para enriquecerse.
En realidad, los proyectos falsificados son rampantes, lo que dificulta a los usuarios distinguir los tokens reales de los falsos.

Muchos desplegadores de memecoin copian el nombre y el símbolo de proyectos ya populares, creando nuevos contratos de tokens con nombres idénticos.
Si los usuarios no verifican cuidadosamente la dirección del contrato, pueden comprar por error tokens falsificados, o incluso tokens de estafa directa, lo que lleva a situaciones en las que los tokens no se pueden vender.

Además, las disputas dentro de la comunidad cripto y entre emisores de tokens sobre la escritura del nombre de memecoin (mayúsculas) también han causado una extrema volatilidad de precios.

Las recientes controversias y fluctuaciones de precios relacionadas con $NEIRO vs. $neiro y $ELIZA vs. $eliza ilustran el alto riesgo asociado con las memecoins.

Los usuarios deben investigar la información relevante de memecoin, monitorear la retroalimentación de la comunidad y estar alerta a la posible manipulación del mercado por parte de los equipos del proyecto a través del control de la información.

Restricciones de venta

Durante la experiencia de trading de memecoins, los usuarios pueden encontrarse con estafas de “Pi Xiu” donde los tokens que compran no se pueden vender o son extremadamente difíciles de vender.
Aquí están los métodos comunes que los estafadores utilizan a través del código de contrato inteligente para restringir la venta:

(1) Mecanismos de Lista Negra / Lista Blanca

Los emisores de tokens pueden incorporar funciones de lista negra o lista blanca en los contratos de tokens para restringir las transferencias de tokens.

Por ejemplo, si la dirección de un usuario se agrega a una lista negra, es posible que se le impida llamar a funciones como transfer() o transferFrom() para mover tokens.

• Solo se permiten transferencias de tokens a direcciones no incluidas en la lista negra.

Solo se pueden utilizar direcciones que no estén en la lista negra para transferir tokens.

(2) Manipulación de saldo

Los emisores también pueden manipular los saldos de tokens directamente a través del contrato inteligente, reduciendo drásticamente el saldo de tokens de un usuario.

• Si el cambio de saldo se registra solo dentro del almacenamiento interno del contrato, la víctima seguirá viendo su saldo original mostrado en los exploradores de blockchain, pero en realidad no podrá vender más que el saldo manipulado.

• Si la actualización del saldo se confirma en la cadena, el usuario observará cómo sus tenencias de memecoins disminuyen visiblemente, incluso llegando a cero.

Aquí tienes un ejemplo de código de Solidity que establece el saldo de una dirección en lista negra a cero:

Fuera del ecosistema de EVM, Solana también tiene una característica de manipulación de saldo similar a través de extensiones de Delegado Permanente:

• Permanent Delegate es una extensión oficial del token Solana que otorga a los administradores la autoridad para transferir o quemar tokens en cualquier momento.

• Originalmente fue diseñado para casos de uso específicos como el retiro de tokens o la supervisión de cumplimiento de stablecoins.

• Durante la creación de tokens, un creador puede inicializar el Delegado Permanente a través del comando createInitializePermanentDelegateInstruction.

Sin embargo, debido a que los permisos del Delegado Permanente son tan amplios, algunos actores malintencionados explotan esta funcionalidad:

• Emiten tokens,

• Atraer usuarios para comprar,

• Luego transferir o destruir tokens mantenidos por el usuario para obtener ganancias.

Ejemplo: Usando Delegado Permanente para quemar los tokens de un usuario.

Utilice Delegado Permanente para destruir tokens

(3) Umbrales de transacción

Otra razón por la que los usuarios podrían encontrarse incapaces de vender memecoins es la presencia de límites de transacción severos codificados en el contrato:

• El contrato inteligente puede requerir que los usuarios posean una cantidad de tokens que exceda con mucho lo que realmente poseen para poder ejecutar una venta.

• O podría imponer impuestos extremadamente altos a las transacciones.

Por ejemplo, en el siguiente fragmento de código, el desarrollador del contrato ajusta el parámetro amountToBurn para manipular el impuesto sobre la transacción:

• Cuando el parámetro se establece en 2, impone efectivamente un impuesto del 50% en cada transacción del usuario.

En las extensiones de token de Solana, también hay una función de TransferFee, que permite aplicar un impuesto a cada transacción de token.
Configuración de TransferFee requiere el establecimiento de los siguientes campos:

• Tarifa en puntos base: La tarifa cobrada por cada transferencia, medida en puntos base.

• Tarifa máxima: El límite en la tarifa de transacción.

• Autoridad de tarifa de transferencia: La dirección autorizada para modificar la TransferFee.

• Retirar la autoridad retenida: La dirección autorizada para transferir tokens retenidos de cuentas de tokens.

Dado que existe un límite máximo de comisión, es relativamente raro que Solana utilice tarifas de transacción excesivas para crear estafas Pi Xiu. En cambio, las pérdidas suelen ser causadas más a menudo a través de transferencias de tokens o destrucción de tokens.

(4) Pausa de transacciones

Los emisores de tokens pueden implementar una función de pausa en todo el contrato para restringir el comercio.
Una vez que el contrato entra en un estado pausado, las funciones de transferencia del token quedan completamente deshabilitadas, impidiendo cualquier operación comercial adicional.

Por ejemplo, en el fragmento de código de Solidity a continuación, las transferencias de tokens solo pueden ocurrir si el contrato no está pausado:

(5) Tiempo mínimo de retención

Después de comprar una memecoin, los usuarios pueden estar obligados a mantenerla durante un período mínimo antes de poder negociarla.
Este período de retención es establecido arbitrariamente por el emisor del token, y pueden modificarlo en cualquier momento.
Al establecer un tiempo de retención extremadamente largo, los usuarios pueden quedar atrapados de manera efectiva y evitarse de vender.

Ejemplo de fragmento de Solidity:

Mecanismos de tarifas únicos

Después de que un usuario compre memecoin, no se cobrarán tarifas de gestión al negociar con otros usuarios. Cuando se vende a través de DEX (como Uniswap), se cobrarán tarifas de gestión. Además de la venta, los ingresos del usuario por añadir liquidez o participar en staking también se verán afectados.

Por ejemplo, en el ejemplo de código de Solidity a continuación, la transferencia solo cobrará transacciones de tokens si la dirección de destino es la dirección del contrato.

O la tarifa de gestión no se descuenta del monto de la transferencia, sino que reduce adicionalmente el saldo del remitente. Una vez que este método no se maneja correctamente, afectará seriamente el precio en DEX, haciendo que el valor del token vuelva a 0.

Reducción adicional en el saldo de la dirección de origen

Creación de tokens

La acuñación de tokens es una forma común de ejecutar un rug pull.

Si el propietario del contrato o una dirección privilegiada tiene derechos de acuñación, pueden emitir tokens adicionales y venderlos para obtener ganancias.

Este es un riesgo frecuente en todo el ecosistema de EVM, Solana y TON.

Aquí tienes un ejemplo de una función de creación de monedas de un token Jetton en TON que incluye capacidades de creación de monedas.

Asignación centralizada de tokens

La distribución centralizada de tokens es un riesgo importante donde un equipo de proyecto controla la mayor parte del suministro de tokens.

• Pueden manipular decisiones de gobernanza a través de la votación con tokens.

• También pueden mover el mercado ejecutando compras o ventas grandes.

Ejemplo: En Solidity, todos los tokens podrían asignarse a la dirección del desplegador al crear el contrato:

Actualizaciones de Proxy

El uso de contratos proxy es un diseño común de contratos inteligentes que permite actualizar la lógica sin cambiar la estructura de almacenamiento.
Si bien esto aumenta la flexibilidad, también introduce riesgos serios:

• Los emisores pueden modificar arbitrariamente la lógica del contrato,

• Potencialmente conduciendo a la pérdida o robo de los activos de los titulares de tokens.

Ejemplo: En Solidity, un administrador puede actualizar la dirección lógica:

¿Cómo mantenerse seguro?

Con estafas desenfrenadas durante la locura de las memecoins, los usuarios deben ser especialmente vigilantes.
El equipo de seguridad de Beosin recomienda:

1. Mantente racional
   Ten cuidado con las narrativas de “hazte rico rápidamente” de las memecoins y la publicidad de los influencers.
   Mantente racional después de que se lance un nuevo token en un DEX, evita el FOMO y seguir ciegamente.

2. No confíes en "Consejos de iniciados" o "Noticias confidenciales"
   Estas son a menudo trampas diseñadas para atraer a los usuarios a inversiones riesgosas sin una investigación adecuada.

3. Antes de comprar cualquier token, verifique estos puntos clave:

   • ¿Es el contrato del token de código abierto?
   • ¿Tiene un informe de auditoría?
   • ¿Utiliza mecanismos de lista negra/lista blanca?
   • ¿Hay impuestos sobre transacciones? ¿Cómo se cobran?
   • ¿Hay un mecanismo de pausa?
   • ¿Existen restricciones especiales (por ejemplo, tiempo mínimo de retención, límites de transferencia de cantidad)?
   • ¿Qué funciones puede llamar el propietario del contrato? ¿Son los privilegios demasiado altos?
   • ¿El contrato utiliza un patrón de proxy?
   • ¿Cómo se gestiona la autoridad del propietario del contrato (multifirma o renunciada)?

4. Utilice Herramientas de Detección de Riesgos
   Muchas plataformas y herramientas proporcionan verificaciones de contratos automatizadas.
   Siempre verifica múltiples fuentes antes de hacer trading.
   Herramientas recomendadas:

   • Honeypot
   • Token Sniffer
   • Mercado de DEX Web3 de OKX
   • GoPlus
   • Escáner De.Fi
   • Extensión de Chrome de Alerta Beosin

Resumir

En este artículo, resumimos las prácticas maliciosas comunes en el mundo de las memecoins.

A pesar de las oportunidades y la emoción, las memecoins vienen con una variedad de trampas.

Los usuarios deben permanecer altamente vigilantes y cautelosos al negociar memecoins para minimizar el riesgo de pérdida financiera.

En el mundo de Web3, la seguridad siempre es lo primero.

Descargo de responsabilidad:

1. Este artículo es una reimpresión de [ForesightNews], con derechos de autor pertenecientes al autor original [Beosin].
   Si hay alguna objeción a la reimpresión, por favor contacte alGate Learnequipo para un manejo rápido.

2. Descargo de responsabilidad: Las opiniones expresadas en este artículo son únicamente del autor y no constituyen asesoramiento de inversión.

3. Otras versiones en otros idiomas de este artículo han sido traducidas por el equipo de Gate Learn. Copiar, distribuir o plagiar el artículo traducido sin mencionarGate.io está prohibido.