Hướng dẫn an toàn với Memecoin

Rủi ro tập trung

Gần đây, vụ việc Dexx một lần nữa nhắc nhở người dùng phải cảnh giác với các rủi ro tập trung trên nền tảng. Trong phần này, chúng tôi tập trung vào phân tích Pump.Fun, hiện là nền tảng phát hành memecoin lớn nhất:

Thông qua các giao dịch trên chuỗi khối, chúng tôi xác định địa chỉ hợp đồng Pump.Fun là 6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P.
Mã hợp đồng này không được công bố và được kiểm soát bởi một địa chỉ multisig (7gZufwwAo17y5kg8FMyJy2phgpvv9RSdzWtdXiWHjFr8).

Tuy nhiên, sau khi điểm tra kết chân, đã phát hiện rằng để để đểa chỉ multisig này được kiểm soát hiệu quả bởi một địa chỉ duy nhất (4zJkeipCFGvfcJvKm4TY57ED9uEdL3sBRvs8TPdZKG5Q), tạo ra một điểm thất bại duy nhất và rồi loạn trung tâm ý nghĩa.

Solscan - Pump.Fun địa chỉ hợp đồng

Vào ngày 17 tháng 5, do vấn đề vận hành, Pump.Fun gặp sự cố rò rỉ khóa riêng tư, dẫn đến mất khoảng 1,9 triệu đô la.

Quản lý chính xác của các khóa riêng tư dự án và việc áp dụng ví đa chữ ký (multisig) đặc biệt quan trọng để ngăn chặn các điểm thất bại đơn lẻ.

Khi phát hành một memecoin thông qua Pump.Fun, người dùng phải đúc token trong một “hồ nước nội bộ” bằng $SOL. Giá của những token này trong quá trình đúc được xác định bởi một Đường cong Kết nối (còn được gọi là mô hình đường cong kết nối).

Đối với mỗi memecoin, Pump.Fun tạo ra một chương trình đường cong gắn kết tương ứng, với các trường dữ liệu bao gồm các thông tin sau:

tokenTotalSupply được thiết lập là 1 tỷ token.

Các dự trữ virtualSolReserves, virtualTokenReserves, realTokenReserves và realSolReserves phục vụ như các thông số cho người tạo thị trường tự động (AMM) tính toán giá của token.

Khi các người dùng khác đã đúc ra 800 triệu mã thông báo trong hồ nước nội bộ, toàn bộ trường chuyển sang đúng, sau đó memecoin sẽ được phát hành để giao dịch công khai trong một hồ nước thanh khoản trên Raydium.

Bằng cách kiểm tra dữ liệu trên chuỗi của bất kỳ memecoin nào được phát hành qua Pump.Fun, chúng tôi có thể quan sát rằng cơ quan cập nhật cho các hợp đồng này là một địa chỉ đặc quyền được biết đến là Cơ quan Phát hành Token Pump.Fun (TSLvdd1pWpHVjahSpsvCXUbgwsL3JAcvokwaKt1eokM), có trách nhiệm phát hành.

Trường mint chứa địa chỉ và thông tin token cho hợp đồng memecoin tương ứng.

Những hợp đồng memecoin này không có khả năng mở rộng token; chúng là dạng đơn giản nhất của các token SPL.

Kết quả là không có địa chỉ đặc quyền nào có thể lợi dụng các tiện ích mở rộng token như Đại biểu Thường trực Vĩnh viễn hoặc tính năng Phí Chuyển giao để gây hại cho người dùng tham gia giao dịch memecoin.

Sự kiện và tranh cãi $Cheems

Vào ngày 25 tháng 11, Binance công bố việc niêm yết hợp đồng Cheems.

Giá token ngay lập tức tăng mạnh 35%, nhưng trong thời gian chưa đầy một phút, giảm hơn 60%, gây ra tranh cãi lan rộng.

Bằng cách phân tích các giao dịch trên chuỗi của $Cheems, đã phát hiện rằng địa chỉ chịu trách nhiệm cho việc bán ra là 0xbb8365B1BA2462ffDce9C894Ada84478f474Fefc.

Sử dụng phân tích Beosin KYT (Know Your Transaction) trên địa chỉ này, các kết quả được hiển thị dưới đây:

Vào ngày 25 tháng 11, địa chỉ này đã bán khoảng 331,2 tỷ $Cheems trong vòng một phút thông qua PancakeSwap và trình tự tự động DEX OKX, nhận lại 406,21 $BNB.

Ngay sau đó, nó đã gửi tất cả $BNB vào một tài khoản Binance.

Sơ đồ Luồng Quỹ Beosin KYT

Mặc dù nhiều người dùng nghi ngờ địa chỉ này về “giao dịch nội bộ,” một phân tích KYT sâu hơn về các giao dịch lịch sử của nó cho thấy nó có khả năng là một Địa chỉ Tiền Thông Minh với lịch sử hoạt động giao dịch chiến lược:

• Bắt đầu từ ngày 18 tháng 11, địa chỉ bắt đầu tích lũy $Cheems, và trong quá trình tích lũy, nó cũng định kỳ bán đi một phần.
• Vào ngày 18 tháng 11, địa chỉ mua khoảng 131 tỷ $Cheems và, bốn giờ sau, bán 41,3 tỷ $Cheems.
• Vào ngày 21 tháng 11, nó đã rút 379,5 tỷ $Cheems từ Gate.io và bán 175,8 tỷ $Cheems hai giờ sau trên chuỗi.
• Vào ngày 22 và 23 tháng 11, đã có thêm các hoạt động mua lớn và bán một phần.

Dòng tiền quỹ tổng thể được hiển thị như sau:

Sơ Đồ Luồng Quỹ Beosin KYT

Địa chỉ liên quan đến cuộc tranh cãi này bao gồm:

• 0xbb8365B1BA2462ffdce9c894ada84478f474fefc
• 0x0d0707963952f2fba59dd06f2b425ace40b492fe
• 0xbff62cee932fe7496a88c9193e9ba3fd5eeff46d

Khi giao dịch các loại tiền mã, người dùng cũng có thể gặp phải các token lừa đảo “Pi Xiu” (lừa đảo “貔貅盘”).
Trước đây, Beosin đã minh họa những vụ lừa đảo như vậy bằng các trường hợp nghiên cứu để giúp người dùng hiểu và ngăn chặn những rủi ro này. Dưới đây là một phân tích chi tiết hơn về những vụ lừa đảo thông thường liên quan đến memecoin:

Đồng Token Giả Mạo

Mỗi ngày, có số lượng lớn các đồng tiền memecoin mới được ra mắt trên nhiều chuỗi khối khác nhau, tạo ra ảo tưởng về cơ hội vô tận để giàu có.
Trên thực tế, các dự án giả mạo đang hoành hành, làm cho người dùng khó phân biệt được token thật từ những token giả mạo.

Nhiều người triển khai memecoin sao chép tên và biểu tượng của các dự án đã phổ biến, tạo ra các hợp đồng token mới với tên giống hệt nhau.
Nếu người dùng không kiểm tra địa chỉ hợp đồng cẩn thận, họ có thể mua nhầm các token giả mạo hoặc thậm chí là token lừa đảo trắng trợn, dẫn đến tình huống mà token không thể được bán.

Ngoài ra, các tranh cãi trong cộng đồng tiền điện tử và giữa các nhà phát hành token về cách đặt tên memecoin (viết hoa) cũng đã gây ra biến động giá cả cực kỳ lớn.

Các tranh cãi gần đây và biến động giá liên quan đến $NEIRO vs. $neiro và $ELIZA vs. $eliza minh họa rõ ràng rủi ro cao đi kèm với memecoins.

Người dùng phải tìm hiểu thông tin liên quan về memecoin, theo dõi phản hồi từ cộng đồng và luôn cảnh giác với khả năng thị trường bị can thiệp thông tin bởi các nhóm dự án.

Hạn Chế Bán

Trong quá trình giao dịch memecoin, người dùng có thể gặp phải các vụ lừa đảo “Pi Xiu” khi mà những token họ mua không thể bán hoặc rất khó bán đi.
Dưới đây là những phương pháp phổ biến mà kẻ lừa đảo sử dụng thông qua mã hợp đồng thông minh để hạn chế việc bán.

(1) Cơ chế Danh sách đen / Danh sách trắng

Người phát hành Token có thể tích hợp chức năng danh sách đen hoặc trắng vào hợp đồng token để hạn chế việc chuyển giao token.

Ví dụ, nếu địa chỉ của người dùng được thêm vào danh sách đen, họ có thể bị ngăn chặn khỏi việc gọi các chức năng như chuyển() hoặc chuyểnTừ() để di chuyển token.

• Chỉ các địa chỉ không nằm trong danh sách đen được phép chuyển đổi token.

Chỉ có các địa chỉ không nằm trong danh sách đen mới có thể được sử dụng để chuyển đổi token.

(2) Balance Manipulation

Các nhà phát hành cũng có thể can thiệp vào số dư token trực tiếp thông qua hợp đồng thông minh, giảm mạnh số dư token của người dùng.

• Nếu sự thay đổi số dư chỉ được ghi lại trong bộ nhớ nội bộ của hợp đồng, nạn nhân vẫn sẽ thấy số dư gốc của họ được hiển thị trên các trình duyệt blockchain nhưng thực tế sẽ không thể bán nhiều hơn số dư bị can thiệp.
• Nếu cập nhật số dư được cam kết trên chuỗi, người dùng sẽ quan sát thấy số lượng memecoin của họ giảm rõ rệt—hoặc thậm chí trở thành không.

Dưới đây là một ví dụ về mã Solidity thiết lập số dư của địa chỉ bị cấm thành không:

Ngoài hệ sinh thái EVM, Solana cũng có một tính năng thay đổi số dư tương tự thông qua các tiện ích Đại biểu vĩnh viễn:

• Permanent Delegate là một phần mở rộng token chính thức của Solana cho phép quản trị viên có quyền chuyển nhượng hoặc đốt token bất kỳ lúc nào.
• Nó được thiết kế ban đầu cho các trường hợp sử dụng cụ thể như thu hồi token hoặc giám sát tuân thủ stablecoin.
• Trong quá trình tạo mã thông báo, một người tạo có thể khởi tạo Đại diện Thường trực thông qua lệnh createInitializePermanentDelegateInstruction.

Tuy nhiên, vì quyền của Đại diện Thường trực quá rộng, một số tác nhân độc hại khai thác chức năng này:

• Họ phát hành token,
• Thu hút người dùng mua,
• Sau đó chuyển hoặc phá hủy các token mà người dùng đang nắm giữ để có lợi nhuận.

Ví dụ: Sử dụng Đại biểu Vĩnh cửu để đốt token của người dùng.

Sử dụng Đại biểu Vĩnh cửu để phá hủy token

(3) Ngưỡng giao dịch

Một lý do khác mà người dùng có thể không thể bán memecoins là sự hiện diện của ngưỡng giao dịch nghiêm trọng được mã hóa vào hợp đồng:

• Hợp đồng thông minh có thể yêu cầu người dùng nắm giữ một lượng token vượt xa so với số lượng họ thực sự sở hữu để thực hiện một giao dịch bán hàng.
• Hoặc có thể áp đặt thuế giao dịch cực kỳ cao.

Ví dụ, trong đoạn mã sau, nhà phát triển hợp đồng điều chỉnh tham số amountToBurn để thao tác thuế giao dịch:

• Khi tham số được đặt thành 2, nó hiệu quả đặt một loại thuế 50% trên mỗi giao dịch người dùng.

Trong các phần mở rộng mã thông báo của Solana, cũng có một tính năng TransferFee, cho phép áp dụng một loại thuế cho mỗi giao dịch mã thông báo.
Cấu hình TransferFee yêu cầu thiết lập các trường sau:

• Phí trong điểm cơ sở: Phí được tính cho mỗi lần chuyển khoản, được đo lường bằng điểm cơ sở.
• Phí tối đa: Giới hạn trên phí giao dịch.
• Quyền phí chuyển: Địa chỉ được ủy quyền để sửa đổi Phí Chuyển.
• Rút quyền bị giữ: Địa chỉ được ủy quyền để chuyển các token bị giữ từ tài khoản token.

Vì có giới hạn phí tối đa, nên việc sử dụng phí giao dịch quá mức để tạo ra các vụ lừa đảo Pi Xiu trên Solana tương đối hiếm. Thay vào đó, thường thì các tổn thất xảy ra thông qua việc chuyển đổi token hoặc hủy token.

(4) Tạm dừng giao dịch

Người phát hành token có thể triển khai chức năng tạm dừng toàn hợp đồng để hạn chế giao dịch.
Khi hợp đồng vào trạng thái tạm dừng, các chức năng chuyển giao token sẽ bị tắt hoàn toàn, ngăn chặn bất kỳ giao dịch nào tiếp theo.

Ví dụ, trong đoạn mã Solidity dưới đây, việc chuyển token chỉ có thể xảy ra nếu hợp đồng không bị tạm dừng:

(5) Thời Gian Tối Thiểu Giữ

Sau khi mua một memecoin, người dùng có thể bị buộc phải giữ nó trong một khoảng thời gian tối thiểu trước khi được phép giao dịch.
Thời gian nắm giữ này được đặt một cách tùy ý bởi người phát hành token, và họ có thể sửa đổi nó bất kỳ lúc nào.
Bằng cách thiết lập thời gian nắm giữ cực kỳ lâu, người dùng có thể bị mắc kẹt một cách hiệu quả và ngăn chặn khỏi việc bán đi.

Đoạn mã Solidity mẫu:

Cơ chế Phí Độc Đáo

Sau khi người dùng mua memecoin, không có phí xử lý nào sẽ được tính khi giao dịch với người dùng khác. Khi bán thông qua DEX (như Uniswap), phí xử lý sẽ được tính. Ngoài việc bán, thu nhập của người dùng từ việc cung cấp thanh khoản hoặc tham gia staking cũng sẽ bị ảnh hưởng.

Ví dụ, trong ví dụ mã Solidity dưới đây, việc chuyển khoản chỉ sẽ tính phí giao dịch token nếu địa chỉ đến là địa chỉ hợp đồng.

Hoặc phí xử lý không được trừ từ số tiền chuyển khoản, mà thay vào đó giảm số dư của người gửi. Một khi phương pháp này không được xử lý đúng cách, nó sẽ ảnh hưởng nghiêm trọng đến giá trị trong DEX, gây ra giá trị token trở về 0.

Giảm thêm số dư của địa chỉ nguồn

Tạo Token

Token minting là một cách phổ biến để thực hiện một cú lừa.

Nếu chủ sở hữu hợp đồng hoặc một địa chỉ đặc quyền có quyền tạo ra thêm token và bán chúng để có lợi nhuận.

Đây là một rủi ro thường xuyên trên toàn hệ sinh thái EVM, Solana và TON.

Dưới đây là một ví dụ về một chức năng mint từ một token Jetton trên TON mà bao gồm khả năng minting.

Phân phối Token tập trung

Phân phối token tập trung là một rủi ro lớn khi một nhóm dự án kiểm soát hầu hết nguồn cung cấp token.

• Họ có thể thao tác quyết định quản trị thông qua việc bỏ phiếu bằng token.
• Họ cũng có thể di chuyển thị trường bằng cách thực hiện mua vào hoặc bán ra lớn.

Ví dụ: Trong Solidity, tất cả các token có thể được gán cho địa chỉ của người triển khai khi tạo hợp đồng:

Nâng cấp Proxy

Sử dụng hợp đồng ủy quyền là một thiết kế hợp đồng thông minh phổ biến cho phép logic được nâng cấp mà không thay đổi cấu trúc lưu trữ.
Mặc dù điều này tăng cường tính linh hoạt, nhưng cũng mang lại những rủi ro nghiêm trọng:

• Người phát hành có thể tùy ý sửa đổi logic hợp đồng,
• Có thể dẫn đến việc mất mát hoặc trộm cắp tài sản của người giữ token.

Ví dụ: Trong Solidity, một quản trị viên có thể cập nhật địa chỉ logic:

Cách để Bảo An?

Với sự lừa đảo hoành hành trong làn sóng memecoin, người dùng phải cẩn thận hơn.
Nhóm an ninh Beosin khuyến nghị:

1. Ở lại Rationale
   Hãy cẩn thận với câu chuyện “nhanh chóng giàu có” của memecoin và sự hào nhoáng của người ảnh hưởng.
   Hãy cẩn thận sau khi một token mới được ra mắt trên một DEX - tránh FOMO và theo đuổi mù quáng.
2. Đừng tin “Mẹo nội bộ” hoặc “Tin tức bí mật”
   Đây thường là những cái bẫy được thiết kế để lôi kéo người dùng vào các khoản đầu tư rủi ro mà không có nghiên cứu đầy đủ.
3. Trước Khi Mua Bất Kỳ Token Nào, Hãy Xác Minh Những Điểm Quan Trọng Này:

- Hợp đồng token có mã nguồn mở không?
- Nó có báo cáo kiểm toán không?
- Nó có sử dụng cơ chế danh sách đen/danh sách trắng không?
- Có thuế giao dịch không? Họ được thu thập như thế nào?
- Có cơ chế tạm dừng không?
- Có hạn chế đặc biệt (ví dụ: thời gian giữ tối thiểu, giới hạn số lượng chuyển khoản) không?
- Chủ hợp đồng có thể gọi các chức năng nào? Quyền lợi có quá cao không?
- Hợp đồng có sử dụng mẫu proxy không?
- Quyền sở hữu hợp đồng được quản lý như thế nào (đa ký hay từ chối)?

1. Sử dụng Công Cụ Phát Hiện Rủi Ro
   Nhiều nền tảng và công cụ cung cấp các kiểm tra hợp đồng tự động.
   Luôn tham khảo nhiều nguồn thông tin trước khi giao dịch.
   Công cụ được đề xuất:

- [Honeypot](https://honeypot.is/)
- [Token Sniffer](https://tokensniffer.com/)
- [OKX Web3 DEX Thị trường](https://www.okx.com/zh-hans/web3/dex-market)
- [GoPlus](https://gopluslabs.io/token-security)
- [De.Fi Scanner](https://de.fi/scanner)
- [Phần mở rộng Chrome Cảnh báo Beosin](https://chromewebstore.google.com/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji)

Tóm tắt

Trong bài viết này, chúng tôi tóm tắt những hành vi độc hại phổ biến trong thế giới memecoin.

Mặc dù có cơ hội và sự hào hứng, memecoins đi kèm với nhiều loại bẫy.

Người dùng phải duy trì sự cảnh giác cao độ và thận trọng khi giao dịch memecoins để giảm thiểu rủi ro mất tiền.

Trong thế giới Web3, an ninh luôn được ưu tiên hàng đầu.

Tên miền:

1. Bài viết này được in lại từ [ForesightNews], với bản quyền thuộc về tác giả gốc [Beosin].
   Nếu có bất kỳ ý kiến ​​nào về việc sao chép lại, vui lòng liên hệ vớiGate Learnđội vận hành nhanh chóng.
2. Thông báo: Các quan điểm và ý kiến được thể hiện trong bài viết này chỉ là của tác giả và không đại diện cho lời khuyên đầu tư.
3. Các phiên bản ngôn ngữ khác của bài viết này đã được dịch bởi nhóm Gate Learn. Sao chép, phân phối hoặc sao chép bài viết dịch mà không đề cập đếnGate.iobị cấm.