rounded

Articol scris de: Beosin

 

Anul acesta, memecoin-urile au fost un punct focal în piața criptografică și în ecosistemele principale de blockchain. Începând de la începutul anului, ecosistemul Solana a fost inundat cu multe memecoin-uri cu creșteri impresionante și cu platforma de lansare a memecoin-urilor Pump.Fun, atrăgând mulți utilizatori să participe la emiterea și tranzacționarea diverselor token-uri Meme. Alte tranzacții de memecoin-uri din diverse ecosisteme au fost, de asemenea, extrem de active, cum ar fi SunPump din ecosistemul TRON, care a obținut un profit net de milioane de dolari în două săptămâni; BNB Chain a lansat „Bătălia Inovației Meme”.

 

Odată cu valul memecoin-urilor, utilizatorii trebuie să evite capcanele diverselor riscuri de securitate potențiale. Anterior, Beosin a efectuat o analiză detaliată a securității platformelor de lansare de memecoin-uri și a avertizat cu privire la riscurile de centralizare ale platformelor de lansare de tip Dexx, efectuând audite pentru Tokr.fun, Pumpup, Pump404 și alte platforme de lansare de memecoin-uri.


Astăzi, vom analiza dintr-un unghi de securitate riscurile și modalitățile malițioase comune în memecoin-uri, ajutând utilizatorii fără bază tehnică să dobândească abilitatea de a identifica riscurile asociate, pentru a evita pierderile financiare.

 


Riscuri de centralizare


Recent, evenimentul Dexx ne reamintește utilizatorilor că trebuie să acorde atenție riscurilor de centralizare ale platformei. În această secțiune, vom analiza actuala cea mai mare platformă de lansare a memecoin-urilor, Pump.Fun:


Prin tranzacțiile pe blockchain, putem identifica adresa contractului Pump.Fun ca fiind 6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P. Codul acestui contract nu a fost deschis public, fiind controlat de o adresă multi-semnătură (7gZufwwAo17y5kg8FMyJy2phgpvv9RSdzWtdXiWHjFr8).


Dar, după ce am verificat această adresă multi-semnătură, se dovedește că este controlată în prezent de o singură adresă (4zJkeipCFGvfcJvKm4TY57ED9uEdL3sBRvs8TPdZKG5Q), existând un risc de punct unic.

 


Link: https://solscan.io/account/6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P

 

Pe 17 mai, Pump.Fun a suferit o pierdere de 1,9 milioane de dolari din cauza problemelor de operare care au dus la scurgeri de chei private. Gestionarea cheilor private ale proiectului și aplicarea de semnături multiple sunt esențiale pentru prevenirea defectelor de punct unic.

 

Pump.Fun, atunci când emite memecoin-uri, utilizatorii trebuie să mineze token-uri prin $SOL în „piscina internă”, iar prețul token-ului în acest proces este determinat de Bonding Curve (curba de legare). Pentru fiecare memecoin, Pump.Fun va crea un program corespunzător de Bonding Curve, iar câmpurile de date sunt următoarele:

 


În care tokenTotalSupply este setat la 1 miliard, virtualSolReserves, virtualTokenReserves, realTokenReserves și realSolReserves sunt parametrii AMM utilizați pentru a calcula prețul token-ului. După ce alți utilizatori au minat 800 de milioane de token-uri în „piscina internă”, câmpul complete devine true, iar apoi acest memecoin este tranzacționat public în piscina de lichiditate Raydium.


Verificând datele oricărui contract de memecoin emis de Pump.Fun, putem observa că adresa sa de autoritate de actualizare este Pump.fun Token Mint Authority (TSLvdd1pWpHVjahSpsvCXUbgwsL3JAcvokwaKt1eokM), responsabilă pentru minting. Câmpul „mint” este adresa contractului memecoin-ului și informațiile despre token.

 

 

Aceste contracte memecoin nu au funcționalitate de extensie a token-ului, fiind cele mai simple token-uri SPL.

 


Prin urmare, nu există adrese privilegiate care să efectueze acte malițioase prin funcțiile de extensie Permanent Delegate, TransferFee etc., cauzând pierderi utilizatorilor care participă la tranzacțiile cu memecoin-uri.

 

$Cheems scandal


Pe 25 noiembrie, Binance a anunțat lansarea contractului Cheems. Token-ul său a crescut imediat cu 35%, apoi a scăzut cu peste 60% în mai puțin de 1 minut, provocând o mulțime de controverse.


Analizând tranzacțiile pe blockchain ale token-ului $Cheems, putem observa că adresa care vinde token-uri este 0xbb8365B1BA2462ffDce9C894Ada84478f474Fefc. Prin analiza Beosin KYT a acestei adrese, rezultatul este așa cum este arătat în imagine:


Pe 25 noiembrie, această adresă a vândut 331,2 miliarde de $Cheems prin Pancakeswap și OKX DEX aggregator în 1 minut, obținând 406,21 $BNB, după care a depus toate $BNB în Binance.

 

Diagrama fluxului de fonduri Beosin KYT, deși

 

Mulți utilizatori contestă că această adresă este „arbitrară”, dar analiza KYT a tranzacțiilor anterioare ale acestei adrese sugerează că aceasta ar putea fi o adresă Smart Money, având mai multe tranzacții de tip swing:


Începând cu 18 noiembrie, această adresă a început să acumuleze $Cheems, având și vânzări constante în acest proces. Pe 18 noiembrie, adresa a cumpărat aproximativ 1310 miliarde de $Cheems, iar după 4 ore a vândut 413 miliarde de $Cheems. Pe 21 noiembrie, adresa a retras 3795 miliarde de $Cheems de la exchange-ul Gate.io, iar după 2 ore a vândut 1758 miliarde de $Cheems pe blockchain. Pe 22 și 23 noiembrie, au avut loc și multe cumpărări, precum și unele vânzări. Fluxul general de fonduri este așa cum este arătat în imagine:

 

Diagrama fluxului de fonduri Beosin KYT

 

Adresa relevantă din această controversă este

 

0xbb8365b1ba2462ffdce9c894ada84478f474fefc

0x0d0707963952f2fba59dd06f2b425ace40b492fe

0xbff62cee932fe7496a88c9193e9ba3fd5eeff46d


Pe lângă riscurile de platformă și PVP on-chain, utilizatorii ar putea întâmpina, de asemenea, escrocherii de tip „păpușă” în tranzacțiile cu memecoin-uri. Anterior, Beosin a ajutat utilizatorii să înțeleagă aceste tipuri de escrocherii și măsurile de prevenire; mai jos este o abordare mai cuprinzătoare a fraudelor legate de memecoin-uri:


Clone false

 

Pe fiecare blockchain, noi memecoin-uri sunt lansate zilnic, iar oportunitățile de îmbogățire par să fie peste tot. Dar, în realitate, proiectele false sunt tot mai frecvente, iar utilizatorii au dificultăți în a distinge între token-uri autentice și false.

 

Mulți emitenți de memecoin-uri copiază numele și simbolul token-urilor proiectelor deja populare, creând contracte token cu același nume. Utilizatorii pot cădea în capcana unor clone neautorizate sau chiar a unor scheme frauduloase, ceea ce face imposibilă vânzarea token-urilor.

 


În plus, comunitatea criptografică și emitentul token-ului au dus la o volatilitate a prețurilor pentru memecoin-uri din cauza disputelor legate de scrierea mare / mică a acestora. Controversele recente dintre $NEIRO și $neiro, $ELIZA și $eliza, precum și fluctuațiile de preț, subliniază riscurile extrem de ridicate ale memecoin-urilor, utilizatorii trebuie să fie conștienți de informațiile relevante despre memecoin-uri, feedback-ul comunității și să fie prudenți față de manipulările de piață realizate de emitent.

 

Restricționarea vânzărilor


În experiența utilizatorilor de cumpărare a memecoin-urilor, este posibil să fi întâlnit scheme de fraudă de tip „păpușă” în care token-urile cumpărate nu pot fi vândute sau este dificil de vândut. Iată câteva modalități comune prin care escrocii limitează vânzarea utilizatorilor prin codul contractului:

 

(1) Lista neagră / listă albă


Emitentul token-ului poate configura o funcție de listă neagră / listă albă în contractul token-ului pentru a restricționa tranzacțiile cu token-uri. De exemplu, dacă adresa utilizatorului este adăugată pe lista neagră, utilizatorul respectiv ar putea să nu poată apela funcțiile transfer() sau transferFrom() din contractul token-ului.

 


Numai adresele care nu sunt pe lista neagră pot efectua transferuri de token-uri.

 

(2) Modificarea soldului


Emitentul token-ului poate controla, de asemenea, soldul token-urilor utilizatorului prin contracte inteligente, modificând soldul utilizatorului la o valoare extrem de mică. Dacă actualizarea soldului este înregistrată doar în interiorul contractului, victima va putea încă să vadă token-urile deținute pe blockchain explorer, dar în realitate nu va putea vinde token-uri care depășesc numărul înregistrat în contract. Dacă actualizarea soldului victimei este înregistrată pe blockchain, utilizatorul va descoperi că memecoin-urile cumpărate s-au redus sau chiar soldul este 0.

 

Următoarele sunt exemple de cod Solidity care setează soldul adreselor de pe lista neagră la 0:

 


În afară de ecosistemul EVM, Solana prezintă, de asemenea, funcționalitatea similară de modificare a soldului - extinderea Permanent Delegate a programului token-ului:

 

Permanent Delegate este o extensie oficială a Solana pentru funcționalitatea token-ului, administratorul având dreptul de a transfera sau distruge token-uri în orice moment. Scopul său este de a se adapta la unele scenarii de aplicare, cum ar fi reciclarea token-urilor sau reglementarea stablecoin-urilor. La crearea token-ului, creatorul poate utiliza instrucțiunea createInitializePermanentDelegateInstruction pentru a inițializa permanentDelegate.

 

Datorită autorității prea mari a Permanent Delegate, unii hackeri au folosit această funcționalitate de extensie pentru a emite token-uri, atrăgând utilizatorii să cumpere token-urile lor și apoi obținând câștiguri prin distrugerea sau transferul acestora:

 

Folosirea Permanent Delegate pentru a distruge token-uri

 

(3) Praguri pentru tranzacții


După ce utilizatorii cumpără anumite memecoin-uri, motivul pentru care nu pot vinde este că contractul are un prag de vânzare strict: utilizatorii trebuie să aibă un număr de token-uri mai mare decât cel stabilit (iar acest număr este mult peste deținerea utilizatorului de token-uri) pentru a putea vinde sau trebuie să plătească taxe de tranzacție mari.

 

Așa cum este arătat în exemplul de cod din imagine, dezvoltatorul contractului poate schimba parametrii pentru amountToBurn, stabilind taxa de tranzacție; când parametru este setat la 2, utilizatorul va trebui să plătească 50% din cantitatea de token-uri pentru tranzacții.

 


În extensia token-urilor Solana există și funcția TransferFee, utilizată pentru a impune taxe pe fiecare tranzacție de token. Configurarea TransferFee necesită stabilirea următoarelor câmpuri:

 

  • Taxă în puncte de bază: taxa percepută la fiecare transfer, exprimată în puncte de bază.

 

  • Taxă maximă: limita de taxe pentru transfer.

 

  • Autoritatea taxei de transfer: poate modifica adresa TransferFee

 

  • Autoritatea de retragere reținută: poate transfera token-urile reținute din contul token-ului.

 

Datorită existenței unei limite de taxe pentru transferuri, metoda de a stabili taxe de tranzacție pentru a realiza scheme malițioase în Solana nu este frecvent utilizată, mai degrabă se face prin transferuri de token-uri sau distrugerea token-urilor care duc la pierderi pentru utilizatori.

 

(4) Suspendarea tranzacțiilor


Emitentul token-ului poate controla starea de suspendare a contractului pentru a restricționa tranzacțiile cu token-uri; o dată ce contractul este suspendat, funcționalitatea de transfer a contractului va fi complet inaccesibilă, iar utilizatorii nu vor putea efectua tranzacții.

 

De exemplu, în exemplul de cod Solidity din imagine, transferul va apela funcția _update pentru a actualiza soldul utilizatorului doar dacă contractul nu este suspendat.

 

 

(5) Timpul minim de deținere a token-urilor


După ce utilizatorii cumpără memecoin-uri, trebuie să dețină cel puțin o perioadă de timp înainte de a putea efectua tranzacții din nou. Totuși, această durată este stabilită de emitentul token-ului și poate fi modificată la discreția lor. Ei pot modifica timpul minim de deținere la o valoare extrem de mare, astfel încât utilizatorii să nu poată tranzacționa.

 

De exemplu, în secțiunea de cod Solidity din imagine, transferul trebuie să îndeplinească condiția ca timpul curent al transferului să fie mai mare sau egal cu ultima actualizare a utilizatorului + timpul de întârziere stabilit în contract.

 

 

Taxe unice


După ce utilizatorii cumpără memecoin-uri, nu se percepe taxă pentru tranzacțiile cu alți utilizatori. Dar atunci când vând prin DEX (cum ar fi Uniswap), li se va percepe o taxă; în afară de vânzare, câștigurile utilizatorilor din adăugarea de lichiditate sau din participarea la staking sunt, de asemenea, afectate.

 

De exemplu, în exemplul de cod Solidity din imagine, taxa pentru tranzacție se aplică doar dacă adresa „to” este o adresă de contract.

 

 

sau perceperea taxei nu se deduce din suma transferului curent, ci reduce suplimentar soldul expeditorului; această metodă, dacă nu este gestionată corect, poate afecta grav prețul din DEX, ducând la o evaluare a token-ului de 0.

 


Reducerea suplimentară a soldului adresei de proveniență

 

Emiterea suplimentară de token-uri

 

Emiterea suplimentară de token-uri este o modalitate comună de a realiza Rug Pull. Deoarece contractul token-ului este deținut de proprietar sau de un cont privilegiat care are drepturi de minting, aceștia pot emite token-uri suplimentare și le pot vinde pentru a obține profit. Aceasta este o potențială riscuri comună în ecosistemul EVM, Solana, TON, iar mai jos este funcția mint a unui anumit Jetton token din TON, care prezintă mecanismul de emitere suplimentară:

 

 

Centralizarea distribuției token-urilor


Problema centralizării distribuției token-urilor este un risc comun în proiectele blockchain, majoritatea ofertei de token-uri fiind controlată de echipa proiectului, ceea ce le permite să manipuleze deciziile cheie în guvernarea on-chain prin voturi cu token-uri sau prin tranzacții mari pentru a influența prețul de piață și, astfel, activele utilizatorilor.

 

Așa cum este arătat în codul Solidity din imagine, atunci când este desfășurat, token-ul va aloca întreaga cantitate totală de token-uri creatorului contractului.

 


Upgrade pe bază de proxy


Contractele token-urilor care utilizează un model de upgrade pe bază de proxy sunt un model comun de design al contractelor inteligente, permițând upgrade-uri logice prin intermediul contractelor proxy fără a schimba structura de date a contractului de stocare. Deși acest model aduce flexibilitate, există totuși riscuri și pericole potențiale. Emitentul token-ului poate schimba logică contractului după bunul plac, ducând la pierderea sau furtul activelor deținute de titularii de token-uri.

 

Așa cum este arătat în codul Solidity din imagine, Admin-ul contractului poate modifica adresa contractului implementat; o dată ce este modificată la un contract greșit sau malițios, aceasta va duce la pierderea sau furtul activelor utilizatorilor.

 


Cum să evitați capcanele?


Fraudele din valul memecoin-urilor sunt tot mai frecvente; dacă utilizatorii nu sunt atenți, pot cădea cu ușurință în aceste capcane, suferind pierderi financiare. Prin urmare, echipa de securitate Beosin recomandă utilizatorilor:

 

1. Privește rațional efectul de îmbogățire rapidă al Memecoin-urilor și efectul de promovare al KOL-urilor. După lansarea unui token nou pe DEX, utilizatorii trebuie să rămână raționali, să nu dezvolte o panică FOMO și să nu urmeze orbește tendințele.

 

2. Nu credeți în „informații interne” sau „mesaje confidențiale”. Acestea sunt adesea metode prin care schemele de fraudă își întind capcanele, având ca scop atragerea utilizatorilor să investească fără a face o selecție și cercetare a informațiilor.

 

3. Înainte de a cumpăra token-uri, utilizatorii ar trebui să verifice următoarele puncte cheie:

 

  • Este contractul token-ului open-source?

  • Există un raport de audit?

  • Există mecanisme de listă neagră / listă albă?

  • Există taxe de tranzacție, cum sunt acestea percepute?

  • Există un mecanism de suspendare?

  • Există mecanisme speciale, cum ar fi restricționarea volumului de tranzacții, cantitatea minimă de deținere, timpul minim de deținere etc.?

  • Funcțiile pe care owner-ul contractului le poate apela, dacă au prea multe privilegii.

  • Utilizează contractul modelul proxy?

  • Cum sunt gestionate privilegiile owner-ului contractului, sunt semnături multiple sau renunțare?

 

Beosin a efectuat anterior audite detaliate de securitate pentru mai multe platforme de lansare de memecoin-uri, inclusiv Tokr.fun, Pumpup, Pump404, asigurându-se de securitatea codului contractului și corectitudinea logicii de implementare a afacerii, protejând astfel fondurile proiectului și ale utilizatorilor.


4. Multe platforme de tranzacționare și instrumente de monitorizare a riscurilor vor identifica punctele de verificare a contractelor token-urilor pentru utilizatori, consultarea acestor informații ajută utilizatorii să îmbunătățească acuratețea identificării fraudelor. Înainte de a efectua tranzacții, utilizatorii pot consulta rezultatele verificărilor de la mai multe instrumente de securitate, următoarele fiind instrumentele de verificare a riscurilor cele mai utilizate:

 

  • Honeypot: https://honeypot.is/

  • Token Sniffer: https://tokensniffer.com/

  • OKX: https://www.okx.com/zh-hans/web3/dex-market

  • GoPlus: https://gopluslabs.io/token-security

  • De.Fi: https://de.fi/scanner

  • Beosin Alert: https://chromewebstore.google.com/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji

 

Sumar


În acest articol, am rezumat modalitățile comune prin care memecoin-urile pot acționa în mod malițios. Din aceasta, putem observa că, deși memecoin-urile sunt pline de oportunități și posibilități, ele vin, de asemenea, cu diverse capcane. Utilizatorii trebuie să rămână vigilenți și prudenți în tranzacțiile cu memecoin-uri pentru a reduce riscurile de pierdere a fondurilor. În lumea Web3, siguranța este întotdeauna pe primul loc.