Посібник з безпеки виживання Memecoin

Ризики централізації

Нещодавно інцидент Dexx знову нагадав користувачам про необхідність бути бджливими щодо ризиків централізації платформ. У цьому розділі ми зосереджуємося на аналізі Pump.Fun, наразі найбільшої платформи для запуску мемкойнів:

Через онлайн-транзакції ми ідентифікували адресу контракту Pump.Fun як 6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P.
Цей код контракту не є відкритим і контролюється адресою мультіпідпису (7gZufwwAo17y5kg8FMyJy2phgpvv9RSdzWtdXiWHjFr8).

Проте після подальшого розслідування було виявлено, що цю адресу мультіпідпису фактично контролює одна адреса (4zJkeipCFGvfcJvKm4TY57ED9uEdL3sBRvs8TPdZKG5Q), створюючи єдину точку відмови та значний ризик централізації.

Solscan - Адреса контракту Pump.Fun

17 травня через проблеми з експлуатацією Pump.Fun відбулася витік приватного ключа, що призвело до втрати приблизно 1,9 мільйона доларів.

Правильне управління приватними ключами проекту та застосування багатопідписних (multisig) гаманців особливо важливі для запобігання одиночних точок відмови.

При випуску мемкойна через Pump.Fun користувачі повинні мінтувати токени в «внутрішньому пулі» за допомогою $SOL. Ціна цих токенів під час процесу мінтингу визначається Кривою Зв'язності (також відомою як модель зв'язку).

Для кожної мем-монети Pump.Fun створює відповідну програму Bonding Curve, поля даних якої включають наступне:

tokenTotalSupply встановлений на 1 мільярд токенів.

віртуальніРезервиSol, віртуальніРезервиТокенів, реальніРезервиТокенів та реальніРезервиSol виступають як параметри для автоматизованого ринкового зробника (AMM) для розрахунку ціни токена.

Як тільки інші користувачі випустили 800 мільйонів токенів у внутрішньому пулі, повне поле перемикається на true, після чого мемкоїн стає доступним для публічної торгівлі в ліквідному пулі на Raydium.

Оглядаючи on-chain дані будь-якого memecoin, випущеного через Pump.Fun, ми можемо спостерігати, що оновлення для цих контрактів має привілейовану адресу, відому як Pump.Fun Token Mint Authority (TSLvdd1pWpHVjahSpsvCXUbgwsL3JAcvokwaKt1eokM), яка відповідає за емісію.

Поле монети містить адресу та інформацію про токен для відповідного контракту мемекоїна.

Ці контракти memecoin не мають можливостей розширення токенів; вони є найпростішою формою токенів SPL.

В результаті не існує привілейованих адрес, які могли б використовувати розширення токенів, такі як Постійний делегат або функції комісії за переказ, щоб завдати шкоду користувачам, які беруть участь у торгівлі мемкойнами.

$Cheems Інцидент та Контроверзія

25 листопада Binance оголосив про лістинг контракту Cheems.

Ціна токену раптово зросла на 35%, але менше, ніж за хвилину, вона впала на понад 60%, спровокувавши широкомасштабні суперечки.

Аналізуючи транзакції on-chain $Cheems, було виявлено, що адреса, відповідальна за продаж, була 0xbb8365B1BA2462ffDce9C894Ada84478f474Fefc.

Використання аналізу Beosin KYT (Know Your Transaction) на цій адресі показано нижче:

25 листопада ця адреса продала приблизно 331,2 мільярда $Cheems за одну хвилину через PancakeSwap та агрегатор DEX OKX, отримавши в обмін 406,21 $BNB.

Тут же після цього воно внесло всі $BNB на рахунок Binance.

Діаграма потоку коштів фонду Beosin KYT

Хоча багато користувачів підозрювали цю адресу у «внутрішньої торгівлі», глибинний аналіз KYT її історичних транзакцій свідчить про те, що це, швидше за все, адреса Розумних Грошей з історією стратегічних торговельних операцій:

• Починаючи з 18 листопада, адреса почала накопичувати $Cheems, і під час процесу накопичення вона також періодично реалізовувала частини.

• 18 листопада адреса купила близько 131 мільярдів $Cheems, а через чотири години продала 41,3 мільярди $Cheems.

• 21 листопада відкликав 379,5 мільярда $Cheems з Gate.io та продав 175,8 мільярда $Cheems через дві години on-chain.

• 22 та 23 листопада відбулися додаткові великі операції на покупку та часткову продажу.

Загальний потік коштів показано нижче:

Схема потоку коштів фонду Beosin KYT

Адреси, що брали участь у цій суперечці, включають:

• 0xbb8365B1BA2462ffdce9c894ada84478f474fefc

• 0x0d0707963952f2fba59dd06f2b425ace40b492fe

• 0xbff62cee932fe7496a88c9193e9ba3fd5eeff46d

Під час торгівлі мемокойнами користувачі також можуть стикатися з обманними токенами "Pi Xiu" (шахрайські схеми "貔貅盘").
Раніше Beosin ілюстрував такі шахрайства на прикладах, щоб допомогти користувачам зрозуміти та уникнути цих пасток. Ось більш детальний розбір поширених обманів, пов'язаних з мемкойнами:

Підроблені токени

Кожен день на різних блокчейнах запускаються величезні кількості нових мемокойнів, створюючи ілюзію безкінечних можливостей для збагачення.
Насправді підроблені проекти бушують, що ускладнює користувачам відрізняти справжні токени від фальшивок.

Багато розробників мем-монет копіюють назву та символ вже популярних проєктів, створюючи нові контракти токенів з ідентичними назвами.
Якщо користувачі не уважно перевіряють адресу контракту, вони можуть помилково придбати підроблені токени - або навіть просто обманні токени - що призводить до ситуацій, коли токени не можуть бути продані.

Крім того, суперечки в криптоспільноті та серед емітентів токенів щодо реєстрування імені мемкоїна (капіталізація) також спричинили екстремальну волатильність цін.

Нещодавні суперечки та коливання цін, пов'язані з $NEIRO проти $neiro та $ELIZA проти $eliza, ілюструють високий ризик, пов'язаний з мемокоинами.

Користувачі повинні досліджувати відповідну інформацію про мемекоїн, контролювати зворотний зв'язок у спільноті та бути насторожі щодо потенційного ринкового маніпулювання командами проекту через контроль за інформацією.

Обмеження на продаж

Під час торгівлі мем-монетами користувачі можуть стикатися з шахрайством "Pi Xiu", коли токени, які вони купують, або не можуть бути продані, або дуже важко їх продати.
Тут перераховані загальні методи, якими шахраї використовують код розумного контракту для обмеження продажу:

(1) Механізми чорного / білого списку

Емітенти токенів можуть включити функції чорного списку або білого списку в контракти токенів, щоб обмежити передачу токенів.

Наприклад, якщо адресу користувача додається до чорного списку, йому може бути заборонено викликати функції, такі як transfer() або transferFrom(), щоб перемістити токени.

• Лише адреси, що не перебувають у чорному списку, можуть передавати токени.

Лише адреси, які не знаходяться у чорному списку, можна використовувати для передачі токенів.

(2) Маніпулювання балансом

Емітенти також можуть маніпулювати балансами токенів безпосередньо через смарт-контракт, радикально знижуючи баланс токенів користувача.

• Якщо зміна балансу реєструється тільки в межах внутрішнього сховища контракту, жертва все одно побачить свій початковий баланс на відображувачах блокчейну, але фактично не зможе продати більше, ніж підроблений баланс.

• Якщо оновлення балансу фіксується на ланцюжку, користувач побачить, як їх утримання мемкойнів візуально зменшується - або навіть стає нульовим.

Ось приклад коду Solidity, який встановлює баланс чорнолистованої адреси на нуль:

Поза екосистемою EVM, у Solana також є схожа функція маніпулювання балансом через Постійні розширення делегатів:

• Постійний делегат - це офіційне розширення токенів Solana, яке надає адміністраторам право на передачу або спалення токенів у будь-який час.

• Він був спочатку розроблений для конкретних випадків використання, таких як відкликання токенів або контроль дотримання стабільних монет.

• Під час створення токену творець може ініціювати Постійного делегата за допомогою команди createInitializePermanentDelegateInstruction.

Однак, через те, що повноваження постійного делегата настільки широкі, деякі зловживають цією функціональністю:

• Вони випускають токени,

• Залучайте користувачів до покупки,

• Потім перекажіть або знищте токени, які утримує користувач, для отримання прибутку.

Приклад: Використання постійного делегата для спалення токенів користувача.

Використовуйте Постійного Делегата, щоб знищити токени

(3) Порогові значення транзакцій

Ще одна причина, з якої користувачі можуть опинитися в ситуації, коли вони не можуть продати мемокоїни, полягає в наявності в коді контракту суворих порогів транзакцій:

• Розумний контракт може вимагати від користувачів утримувати значну кількість токенів, що перевищує їх фактичну власність, для виконання продажу.

• Або воно може накласти надзвичайно високі податки на транзакції.

Наприклад, у наступному фрагменті коду розробник контракту налаштовує параметр amountToBurn, щоб маніпулювати податком на транзакцію:

• Коли параметр встановлено на 2, це фактично накладає 50% податок на кожну користувацьку транзакцію.

У розширеннях токенів Solana також є функція TransferFee, яка дозволяє застосовувати податок на кожну транзакцію токеном.
Налаштування комісії за переказ потребує встановлення наступних полів:

• Винагорода в базисних пунктах: винагорода, яка стягується за кожний переказ, вимірюється в базисних пунктах.

• Максимальна комісія: Обмеження на комісію за транзакцію.

• Повноваження щодо комісії за переказ: Адреса, уповноважена на зміну комісії за переказ.

• Відкласти зняття повноважень: Адреса, уповноважена на переказ утримуваних токенів з токен-рахунків.

Оскільки існує максимальний ліміт комісії, відносно рідко Солана використовує завищені комісії за транзакції для створення шахрайських схем Pi Xiu. Замість цього, збитки частіше виникають через перекази токенів або їх знищення.

(4) Призупинення транзакції

Ініціатори токенів можуть впровадити функцію паузи на рівні контракту, щоб обмежити торгівлю.
Як тільки контракт увіходить у призупинений стан, функції переказу токенів повністю вимикаються, що унеможливлює подальшу торгівлю.

Наприклад, у фрагменті коду Solidity нижче, перекази токенів можуть відбуватися лише у випадку, якщо контракт не призупинено:

(5) Мінімальний час утримання

Після придбання мемкойна користувачам може доводитися утримувати його протягом мінімального періоду перед тим, як їм буде дозволено торгувати ним.
Цей строк утримання довільно встановлений емітентом токенів, і вони можуть змінити його у будь-який момент.
Встановивши надзвичайно довгий термін утримання, користувачі можуть бути ефективно затримані і попереджені від продажу.

Приклад уривка Solidity:

Унікальні механізми оплати

Після того як користувач купує мемкойн, при торгівлі з іншими користувачами не буде стягуватися жодних комісій за обслуговування. Якщо він продатиметься через DEX (такий як Uniswap), будуть стягуватися комісії за обслуговування. Крім продажу, доход користувача від додавання ліквідності або участі в стейкінгу також буде впливати.

Наприклад, у наведеному нижче прикладі коду Solidity переказ буде списувати комісію тільки за токен-транзакції, якщо адреса to є адресою контракту.

Або комісія за обробку не віднімається від суми переказу, а додатково зменшує баланс відправника. Якщо цей метод не використовується належним чином, це серйозно вплине на ціну в DEX, що призведе до повернення вартості токена до 0.

Додаткове зменшення балансу з адреси відправника

Створення токенів

Створення токенів - це поширений спосіб виконання витягування килима.

Якщо власник контракту або привілейована адреса мають право на чеканку, вони можуть випустити додаткові токени та продати їх з метою отримання прибутку.

Це частий ризик у всесвіті EVM, Solana та TON.

Ось приклад функції мінти з токеном Jetton на TON, який включає можливості мінтингу.

Централізована розподіл токенів

Централізована дистрибуція токенів є серйозним ризиком, коли команда проекту контролює більшість постачання токенів.

• Вони можуть маніпулювати рішеннями управління через голосування токенів.

• Вони також можуть впливати на ринок, виконуючи великі покупки або продажі.

Приклад: у Solidity усі токени можуть бути призначені для адреси розгортання контракту під час створення контракту:

Оновлення проксі

Використання проксі-контрактів - це поширений дизайн смарт-контрактів, що дозволяє оновлювати логіку без зміни структури зберігання.
Це, з одного боку, збільшує гнучкість, але, з іншого боку, вносить серйозні ризики:

• Емітенти можуть довільно змінювати логіку контракту,

• Потенційно призводить до втрати або крадіжки активів власників токенів.

Приклад: У Solidity адміністратор може оновлювати адресу логіки:

Як залишитися в безпеці?

Зі шахрайством, яке шириться під час божевілля навколо мемкойнів, користувачам слід бути додатково обережними.
Команда безпеки Beosin рекомендує:

1. Залишайся раціональним
   Будьте обережні щодо мем-койнів «збагатіння-швидко» та хайпу інфлюенсерів.
   Залишайтеся раціональними після запуску нового токену на DEX - уникайте FOMO та сліпого слідування.

2. Не довіряйте «внутрішнім порадам» або «конфіденційним новинам»
   Це часто пастки, створені для привертання користувачів до ризикованих інвестицій без належних досліджень.

3. Перед покупкою будь-якого токена перевірте ці ключові моменти:

   • Чи відкритий контракт токену?
   • Чи є звіт про аудит?
   • Чи використовує воно механізми чорного списку/білого списку?
   • Чи є податки на транзакції? Як вони збираються?
   • Чи є механізм паузи?
   • Чи є спеціальні обмеження (наприклад, мінімальний термін утримання, обмеження сум переказів)?
   • Які функції може викликати власник контракту? Чи не занадто високі привілеї?
   • Чи використовує контракт шаблон proxy?
   • Як управляється авторитет власника контракту (мультипідпис або відмовлення)?

4. Використовуйте засоби виявлення ризиків
   Багато платформ і інструментів надають автоматизовані перевірки контрактів.
   Завжди перевіряйте дані з кількох джерел перед торгівлею.
   Рекомендовані інструменти:

   • Honeypot
   • Token Sniffer
   • OKX Веб3 DEX Ринок
   • GoPlus
   • De.Fi Сканер
   • Розширення Beosin Alert для Chrome

Узагальнити

У цій статті ми узагальнили поширені зловісні практики у світі мемкоїнів.

Незважаючи на можливості і захоплення, мемокоіни мають різноманітні пастки.

Користувачам слід залишатися вкрай бджолі та обережними при торгівлі мемокоїнами, щоб зменшити ризик фінансових втрат.

У світі Web3 безпека завжди на першому місці.

Відмова від відповідальності:

1. Ця стаття є передруком з [ForesightNews], з авторським правом належить оригінальному автору [Beosin].
   Якщо є які-небудь зауваження стосовно перевидання, будь ласка, зв'яжітьсяGate Навчайтеськоманда для швидкого вирішення.

2. Відмова від відповідальності: Погляди та думки, висловлені в цій статті, є виключно тими автора і не становлять інвестиційні поради.

3. Інші мовні версії цього статті були перекладені командою Gate Learn. Копіювання, поширення або плагіатування перекладеної статті без згадування Gate.ioзаборонено.