表情包代币已成为区块链生态系统的一个关键部分。今年年初,Solana生态系统出现了许多表情包代币,收益惊人,这些代币的日交易量超过数十亿美元。随着用户对Solana上表情包代币交易的热情,表情包代币启动平台Pump.Fun于二月上线。该平台迅速推出了一些显著获利的表情包代币,吸引了大量用户参与发行和交易各种表情包代币。截至目前,该平台已产生超过1亿美元的收入。

当市场被Pump.Fun的财富效应震惊时,它的竞争对手也积极加入表情包疯狂的行列。首先是TRON生态的SunPump,它在两周内赚了100万美元。

在7月,BNB链为Memehub提供了财务支持。在8月,BNB链启动了“表情包币创新大赛”,与Four.Meme和Burve等表情包代币启动平台合作,推动表情包生态系统的发展。

作为BNB链的安全合作伙伴,Beosin已经为PancakeSwap、Good Games Guild、Ankr及多链表情包代币启动平台如Tokr.fun和Pump404提供了安全审计服务。今天,我们将分析和讨论表情包代币启动平台的潜在安全风险。

表情包代币启动平台的运作机制

Pump.fun和Four.Meme等平台使用一套人工标准化的表情包代币模板和经济模型,为其平台上所有表情包代币的发行、筹资和添加流动性提供固定的流程。该流程的特点和运作机制如下:

1. 代币安全由平台保证:

用户只需提供他们的表情包代币的名称、图标、描述等信息,然后平台创建相应的代币合约,使用同一套基本代码模板,并采取一些安全措施以确保代币无法被恶意发行,并且没有恶意或特权功能以避免Rug Pull。

2. 绑定曲线:

在代币创建后,它不会直接被添加到去中心化交易所的流动性池中进行交易,而是首先需要用户支付铸造费用(Mint),而铸造过程中的代币价格由绑定曲线决定。

以Pump.Fun为例,每个用户创建的新表情包代币的初始虚拟市值设定为30 $SOL。流通中的代币总数量为10亿,其中8亿用于铸造,铸造价格与市场价值之间的关系大致如下:

其中x是当前市场价值,y是1000万代币的价格。采用绑定曲线平衡供需关系,使早期参与者通常通过铸造以较低的价格获得代币,且随着市场市值的增长,每个代币的价格显著上升,为早期投资者带来丰厚的回报。

3. 平台负责注入流动性池:

代币发行者通过从用户那里铸造代币来筹集资金。当代币的市场价值达到某个阈值时,平台将把筹集的资金与未售出的代币一起注入到去中心化交易所,创建流动性池,以增强代币的交易活动和稳定性。这一举措降低了Rug Pull的风险,使交易者能够更安心地参与代币交易。

Pump.Fun和Four.Meme平台大大降低了发行表情包代币的难度,并解决了代币初始流动性筹集的问题,使普通用户能够轻松创建自己的表情包代币并获得一定的流动性进行交易。

这些启动平台背后的安全风险

1. 操作风险

在5月17日,由于操作问题,Pump.Fun遭遇了190万美元的盗窃。事件涉及一名前员工,该员工被允许为Pump.Fun创建表情包代币的流动性池。该员工利用Solana的借贷协议进行闪电贷,借入大量SOL并尽可能多地铸造代币以使其达到绑定曲线的标准,然后这些代币可以有一个流动性池。攻击者随后将这些代币和SOL转移到他控制的钱包账户中,提取部分SOL代币以偿还闪电贷并获利。

https://solscan.io/tx/2yyKbYr6Piw9gPr1pAp1gNxd939n2KvNmGToxHm4pVZMpwxF76r7HKELpnDS4PdbAs4doYHFEg4Cb3qe5UfytVmf

项目方应及时更新员工权限,全面管理相关地址的私钥。此外,在项目运营期间,项目团队应实时监控项目的运行,并提前准备应对安全事件的对策,以减少可能的资产损失。

2. 合约风险

在分析这种表情包启动平台的运作机制时,我们可以注意到,所有发布的表情包代币合约都是由启动平台的合约创建的,这些代币的安全性由平台决定。因此,启动平台的合约安全性至关重要。以下是启动平台需要关注的安全问题:

(1) 重放攻击

当表情包启动平台执行createToken()时,为了允许第三方创建或铸造代币,通常需要代币创建者验证签名。签名必须包含nonce、时间戳和chainid等信息,以避免重放攻击。

(2) 权限过大

表情包启动平台可以控制用户创建的代币和筹集的资产(如SOL、BNB、ETH),平台的特权地址有权提取这些资产。这意味着平台可以访问并提取为运营或其他目的筹集的资金。因此,这些特权地址的权限必须严格管理,以确保其操作的安全性和透明度,防止潜在的滥用或资产盗窃,并确保平台的整体安全性和稳定性。

Beosin建议项目应使用多签名账户加时间锁来控制此类合约,以增强安全性。

(3) 与第三方DEX安全互动

当表情包代币启动平台与去中心化交易所互动时,通常涉及代币转移或数据查询等操作。因此,平台需要确保与交易所的接口安全可靠。这包括在数据传输过程中使用加密来保护信息,以及验证交易请求的真实性和合法性,以防止伪造或恶意操作。此外,平台还应实施详细的权限控制和监控机制,以便及时检测和应对潜在的安全威胁,确保交易和数据操作的安全性和准确性。

(4) 合约升级问题

表情包代币启动平台通常使用代理模式以便于代币的功能升级,因此必须特别注意代理模式的安全性。关键措施包括:确保代理合约经过严格的安全审计和权限控制,以防止未经授权的权限提升。通过将逻辑与数据存储分离来保持接口的稳定性。公开升级记录以通知用户变更。进行模拟攻击测试并设计回滚机制。这些措施有助于确保代理模型的安全性,并确保系统的稳定性和可靠性。

Beosin之前对多个表情包代币启动平台,包括Tokr.fun和Pump404进行了详细的安全审计。审计涵盖智能合约代码的安全性、业务逻辑实施的正确性、气体优化、潜在漏洞的发现与修复等,以帮助项目方解决潜在风险,并确保其合约代码符合行业最高安全标准。

总结

表情包代币启动平台通过其强大的功能和机制,显著降低了用户参与的门槛,并提供了相对安全、公平和高效的交易环境。用户可以快速响应热点,参与表情包代币的创建和交易,而无需担心流动性风险。平台的公平发行机制和反欺诈措施确保了交易的透明性和公平性,并在一定程度上减少了市场操纵和欺诈的可能性。

然而,启动平台本身的安全性同样至关重要。无论是平台的操作安全性还是合约代码的漏洞,都将影响平台上发行的所有代币。因此,必须特别关注平台合约的安全性和稳定性,以防止系统漏洞或管理失误对代币产生广泛的负面影响。此外,我们建议所有用户在与表情包代币启动平台互动时要谨慎,以确保您的资产安全。