玩MEME就像一场大冒险,充满着陷阱和风险,需要谨慎对待。安全特刊第02期邀请了安全机构CertiK和OKX Web3团队分享关于MEME链上交易的安全风险和防范措施。CertiK提供了形式化验证技术和人工审计,保护数字资产安全,而OKX Web3则负责安全能力建设。对于MEME交易用户,应警惕恶意代币、项目中心化、高交易费用等风险。在使用Telegram BOT机器人等高频工具时,也需注意隐私安全和防范风险。用户在交易MEME时应选择信誉良好的交易平台,确保使用安全的钱包并保护私钥,同时防范网络犯罪。【文中还包含一些具体的指导和注意事项】。
玩MEME就是一场大冒险
地毯拉(撤矿池子)、貔貅盘、砸穿、被夹……爆炸陷阱都在前路
我一直是一个Brave冒险者,直到我的队伍里有“一箭”
本期是安全特刊第 02 期,特邀请行业知名安全机构 CertiK 与 OKX Web3 团队,从操指南的角度出发,来分享常见的 MEME 链上交易安全风险和防范措施,希望可以对 MEME 用户起到预防作用。
CertiK安全团队:CertiK由耶鲁大学和哥伦比亚大学的三教授创立,利用目前最先进的形式化验证技术、AI审计技术以及安全专家人工审计,通过扫描及监控区块链协议和智能合约,保证其截至目前,CertiK已获得超过4000家企业客户的认可,挖矿了近7万个代码漏洞,保护了超过4000亿美元的数字资产损失。
OKX Web3钱包安全团队:大家好,非常开心可以进行本次分享。OKX Web3钱包安全团队主要负责OKX Web3钱包的安全能力建设,提供产品安全、用户安全、交易安全等锁定防护服务,7X24小时守护用户钱包安全的同时,为维护整个区块链安全生态贡献力量。
Q1风险:发生在身边的MEME真实案例
OKX Web3钱包安全团队:此类风险案例类型比较多。我们挑选了几个用户在交易MEME时,遇到的比较经典的案例:
案例一:貔貅盘
用户A,在推特上看到某位MEME讨论热度高,在该MEME的推文评测中找到了代币地址,经过查看该MEME代币数据后,发现其表现很好,于是进行了购买。 随着该MEME价格不断上涨,用户A想要卖出并锁定利润,但却始终无法卖出。后经我们团队排查发现,该MEME代币是貔貅盘,用户地址因为被拉黑所以无法卖出
案例二:恶意拉扯
用户B,经常在某Telegram社群中发言并参与活动,被很多群友互加为通讯录好友。某天,某群友私聊用户B分享他推荐某个MEME项目,并称介绍该项目十火热、潜力巨大,立即提供了该MEME代币地址。用户B有些心动,于是到某数据分析工具上进行查看,发现该MEME代币流动性LP已推测且没有巨鲸持仓,由此认为该MEME项目比较可靠,进行了购买。但是到了第二天,用户B却突然发现,该MEME项目的流动性已经非常成熟。后经团队我们排查发现,该代币是恶意Rug Pull代币,其存在后门逻辑可以大量增发代币。
发生在MEME用户身上的风险案例层出不穷,我们希望可以通过接下来的对话,为用户提供一些安全参考指南,不构成任何投资建议,供大家进行学习和交易所。
Q2:交易MEME时,EVM公链和Solana网络上的常见风险
CertiK安全团队:MEME风险分为两类:一类是链上风险场景、另外一类就是普遍风险,与区块链技术无关。
在介绍具体的链上风险场景时,我们先来介绍之前普遍存在的风险,这主要包括发币成本极低、代币价格易被挖矿、项目高度中心化、投资者交易极度中心化和Rugpull骗局5大类。
1、发币成本极低
通常来说,发布MEME项目的技术开发量极低甚至完全没有,以至于出现了像PandaTool这样的一键发币工具。正是由于极低的开发成本,使得项目方内部人员和早期投资人员获得代币的成本极低,加上上MEME项目本身并无实际基本面,一旦市场不再“FOMO”(Fear of Missing Out)时,导致这些极低的代币被迅速抛售,使得后来的的投资者承受了巨大的损失。
2、代币价格波动被操纵
MEME 价格容易被操纵,一方面是由于其缺乏技术支持、内在价值以及发行门槛低,导致有人未能创建和发行 MEME,因此市场充斥着大量强投机性币种。
同时,MEME通常依赖社交媒体和网络热度来推动其价格,而这些投机者极易受到大户或有组织的群体哄骗。这些投机者可以通过大量买入或卖出,以及制造虚假信息和市场噪音来哄骗价格上涨,造成价格波动,吸引更多散户投资者追涨杀跌,从而进一步加剧价格上涨的可能性。
3、项目中心化
MEME项目通常缺乏去中心化治理机制,决策权中心化在少数开发者和核心团队手中,使得项目方向和管理易受个人利益驱动,增加了投资者的风险。在决策权中心化的基础上,可能会产生代币合约和程序的控制权中心化、代币持有中心化、流动性控制中心化等等中心化风险。
4、投资者交易支出大
MEME交易趋于大,首先归因于其流动性差。由于市场上买卖MEME的参与者比例过低、交易量不足,这导致了买卖差价(即买价和卖价之间的差距)放大,使得交易成本增加。此外,流动性差的MEME币在大额交易时容易引起价格波动,进一步加大了交易风险和成本。投资者在买入或卖出时,往往需要承受更高的滑点而价格影响加大,从而导致交易效率低下和交易成本上涨。
许多MEME项目为了激励投资者持有或维持项目资金,通常会在每笔交易中提前一定比例的交易税。这些税费通常用于回购代金币、奖励持有者或支持项目发展。然而,交易税增加了交易成本,使得间隙交易变得极其昂贵。交易者在每次买入或卖出时,都需要支付额外的税费,加剧了交易疲劳,进一步降低了流动性。投资者在进行MEME交易时,必须承受更高的费用和风险。
5、Rugpull骗局
MEME 容易成为 Rugpull 骗局的目标,原因在于其高度的匿名性、缺乏秘密和监管。以下是几种常见的 Rugpull 方式及其现象:
1)流动性抽干(Liquidity Pull):
方式:开发团队会在去中心化交易所(DEX)创建流动性矿池,将代币和主流加密货币(如ETH、USDT 等)添加到矿池中。吸引足够的投资者后,开发团队会突然撤出所有流动性,使得代币无法交易。
现象:人们发现代币,代币价格迅速回升,流动性显示几乎没有资金残留。
2)开发者抛售(开发工程师 Dumping)
方式:项目方或早期持有者持有大量代币,当市场需求被炒高后,他们会在短时间内抛售手中大部分或全部代币,造成价格暴跌。
现象:交易记录中出现巨额卖单,代币价格急剧下跌,市场信心崩盘,交易量迅速减少。
3)项目伪装(Fake Projects):
方式:不法分子会塑造一个虚假的MEME币项目,编造虚假愿景和路线图,通过社交媒体和名人背书吸引投资者。一旦购买到足够的资金,他们就会关闭项目并成交量款而逃走。
现象:项目网站、社交媒体账户突然消失,开发团队无法联系,投资者账户中的代币价值迅速贬低。
4)合约漏洞(Contract Exploits):
方式:开发团队在智能合约中留有后门或漏洞,使他们能够在特定的条件下进行合约,从而偷走市场的资金。
现象:代币交易异常或停止突然,投资者无法转移或出售代币,合约地址显示大量资金被转移到未知账户。
5)假冒分叉(Fake Forks):
方式:宣称对原有代币进行升级或分叉,要求持有者将旧代币交易所为新代币,实际上是为了收集并占有这些旧代币。
现象:旧代币失去价值,所谓的新代币在交易所交易,项目团队失联。
接下来,我们来介绍,用户在EVM系公链&Solana网络上,进行MEME交易时常见的链上风险。为了方便用户更直观的对比风险类型差异,我们通过表格的形式来分享。
图片来源: CertiK安全团队
OKX Web3钱包安全团队:EVM系公链与Solana是用户进行MEME交易的首选网络,两者在链上风险类型方面存在差异,两者的代币发行机制不同等因素有关。
第一,EVM系公链。由于EVM系公链代币发行自由度很高、且代币内容由开发者实现,目前在EVM系公链上进行MEME交易,常见的链上风险主要包括2类:
(一)存在恶意逻辑的MEME
当市场出现火热的MEME时,会有各种假造成热门MEME的恶意代币出现,这种类型的恶意代币通常会有较好的交易数据,引导用户误判进一步交易到恶意代币,从而造成损失目前常见的非法代币主要有2类:
1、貔貅盘:是指只能买入不能卖出的代币。该类型恶意代币通常通过设置100%的收益或者特殊的转账限制逻辑,导致用户无法卖出代币。
2、恶意代币:是指存在隐藏增发逻辑的代币。这种类型的恶意代币通过隐藏增发逻辑,然后增发代币来削弱代币流动性。
(二)项目方恶意
目前项目方针也主要包括两种类型:特权函数调用、直接砸盘。
1)特权函数作恶:项目方通过特权函数,如mint函数,增发代币砸盘。
2)直接砸盘:项目方直接使用持有代币砸盘。
第二,Solana链。 值得注意的是,Solana网络发行代币是通过固定官方渠道,因此在Solana链上进行MEME交易时,常见的链上风险主要来自项目方作恶。
(一)特权函数作恶
项目方通过特权增函数,如mint函数来发代币砸盘;或者通过冻结指令,来冻结用户地址,从而达到类似貔貅盘的目的,让用户无法卖出。
(二)直接砸盘
项目方直接使用的是持有代币砸盘。值得提醒的是,部分不良MEME项目方会通过去中心化持有代币。来躲过代币中心化持有的审查。
Q3:哪些维度或者工具,可以初步过滤风险性很高的MEME项目
CertiK安全团队:这里不构成任何投资建议,针对介绍一些我们个人常用的几个工具,100%帮助用户过滤风险,请用户初步判断一个MEME是否存在无法存在的风险提供参考。
1)dune.com:一个数据分析平台,可以自定义查询来对代币的链上数据进行分析和监控,比较灵活,但使用相对复杂,需要一定的学习成本。
2)Dextools.io:一个代币信息集成平台,可以查看一些代币基础信息,如市值,流动性情况,持币人数量,代币分布等,同时也可以进行一些简单的安全风险筛选。
3)Skyknight MemeScan:CertiK推出了新的平台,为评估MEME的安全状态提供了解决方案。该平台提供即时的见解和链上行为分析,包括合约铸币分析、交易控制检测、索尼中心化分析、流动性控制评估等等。
OKX Web3钱包安全团队:没有可以100%过滤风险的方式和方法,但是从代币安全和项目健康度的角度出发,我们为用户提供了几个可以初步过滤掉风险性极高的MEME项的维度。需要注意的是,用户不能根据以下指标来判断项目的安全性。
1)智能合约安全性:可以通过辅助工具验证源代码级别的安全问题。这些工具可以检查项目中是否存在恶意逻辑,并使其本身的安全得到保障。此外,还需根据合约的安全性控制,确保合约所有者的安全,避免能够随意发行或销毁代币。
2)代币分配和持有分配:通过区块链浏览器查看代币持有者的分配情况,避免参与代币持有中心化的项目,这些项目因为容易受到操控,且存在随之而来的拉动风险
3)流动性和交易活动:观察代币项目和价格波动幅度大,低波动性和高波动性可能不稳定或存在操控的交易活动。
4)社区和开发团队活动:项目团队是否公开透明,包括团队成员的背景、经验和社交媒体活动。
目前,OKX Web3钱包也为用户提供了过滤风险代币的能力,从代码安全、交易安全等多方面过滤掉了可能导致用户受损的代币,同时提供了各维度代币信息,为用户MEME安全交易体验护航。
Q4:作为MEME代币早期流通场所,Launchpad平台以及DEX当前存在哪些潜在风险?
CertiK安全团队:首先,Launchpad平台和DEX必须具备强大的技术支持,以应对MEME项目的响应速度和交易规模。此外,流动性也是关键的一环,相关平台需要监控任何可能影响流动性安全事件。最后,关于MEME的合规风险,平台方必须理解并落实相关的监管政策和要求,以减少可能的法律风险。
OKX Web3钱包安全团队:接下来,我们对Launchpad平台以及DEX当前存在哪些限制或者风险分别进行介绍。
对于Launchpad平台而言,主要包含三点:
第一,平台推出的商品质量参差不齐,尽管一些Launchpad平台会进行审查和尽职调查,但仍有可能未能完全识别出高风险或低质量的商品。
第二,资金管理风险,Launchpad平台通常会中心化管理大量用户资金,这些如果资金管理不当或被恶意挪用,可能导致用户资金损失。此外,平台可能缺乏足够的保障措施来保护用户资金安全。
第三,市场操纵,项目方或大资金玩家将于Launchpad推出后进行价格操纵,造成市场聚集,影响散户投资者。
对于DEX而言,相比过去更多一些
第一,流动性不足,新上架的MEME包括DEX上流动性差,容易导致交易滑点大和价格爆炸式增长。
第二,智能合约漏洞,DEX依赖智能合约进行交易,这些合约如果存在漏洞,可能被黑客利用,造成资金损失。
第三,交易费用高,尤其是在以太坊等网络上,交易费用(Gas费)可能非常高,影响小额交易者的成本效益。
第四,恶意项目方可以发布代币并上线DEX交易,有项目方可能会在合约中故意留下后台函数,使得项目方可以任意管理代币余额或者导致用户无法出代币。
: 关于DEX,我之前在国内用的是CEX,但是国内的交易所很少,比如说蚂蚁金服、蚂蚁金服、蚂蚁金服,但是国内的交易所很少,比如说 …
Q5:追问一下,Telegram机器人代表了加密货币领域基于互联互通的实际表现之一,这是否代表了未来DEX的发展趋势?
CertiK安全团队:Telegram bot机器人可以显着降低交易资金,并自动化交易中的部分步骤,使非专业人员能够更方便地进行加密交易。然而,必须特别关注这些机器人的具体安全风险。建议对任何与钱包交互的第三方App进行全面的安全尽职调查,以确保其安全性。
OKX Web3钱包安全团队:Telegram机器人在加密货币领域的应用实践基于交互意图的巨大潜力。这种趋势有望通过优化用户体验、增强交易便利性和安全性、扩展金融服务生态系统以及技术创新,推动去中心化交易所(DEX)的未来发展。
1、提升用户体验
简化操作:Telegram机器人通过自然语言处理,使用户能够使用简单的聊天命令进行交易,简化了复杂的操作流程。
自动交易:人们设定的自动交易规则,如止损点和止盈点,减少人工操作风险和时间成本。
2、强化去中心化交易
无缝集成:机器人通过API接口与去中心化交易所(DEX)集成,隐藏了复杂的交易操作,降低了用户的学习成本。
实时操作:机器人可以实时监控市场动态,并即时通知用户,从而能够快速做出交易决策并执行交易。
3、提高可持续性
智能合约:机器人利用智能合约确保交易的透明性,会话人员为预防和欺诈风险。
去中心化:尽管机器人可能是中心化的,但实际交易在去中心化的过程中,提高了交易的安全性和复杂性。
4、扩展全球化
多功能平台:Telegram机器人不仅限于交易,还可以扩展至资产管理、借贷、质押等金融服务,提供一站式的金融解决方案。
增强社区互动:通过Telegram平台,机器人能够促进用户交易所和社区建设,增加用户参与度。
5、技术和市场驱动
创新推动:人工智能和区块链技术的进步将使机器人应用越来越智能和高效,推动更多中心化应用服务的出现。
市场接受度:用户对简化和自动化服务的需求日益增长,推动更多DEX采用机器人服务以提升竞争力。
Q6:针对高频工具之一,如各类TG BOT机器人当前存在的安全风险
CertiK安全团队:随着加密货币市场的发展,Telegram BOT机器人在交易和信息获取方面遇到了不少问题。然而,这些高频使用工具也带来了安全的安全性,用户在使用时需要特别注意以下几个方面。
首先,许多Telegram BOT机器人未经安全审计或代码公开,可能存在恶意代码或漏洞。这些恶意BOT可能会窃取用户的私钥、身份信息或其他敏感数据。此外,恶意BOT可能会伪装成合法的服务,通过钓鱼攻击诱导用户输入他们的私钥或助记词,从而窃取资金。,用户应确保只使用官方推荐或经过验证的BOT,从而避免点击链接或输入敏感信息。
其次,某些BOT可能会要求过高的权限,如访问用户的串口、文件或其他相关信息。使用时应进行继承权限,确保BOT只获得其正常运行所需的最低权限。同时,BOT与Telegram 服务器之间的通讯可能被中间人攻击截获,导致数据泄露或篡改。用户应确保使用加密通讯的 BOT,并检查其安全通讯协议的实施情况。
第三,如果您使用Telegram BOT进行自动化交易,则可能会造成严重的财务损失。 此类交易需要使用此类功能前,并由BOT开发者收集并储存数据,一旦被泄露或威胁,用户将受到严重的威胁。
最后,过度依赖某些BOT进行交易或管理资产,可能会导致在BOT服务中断或关闭时,用户无法正常操作。因此,用户需要避免对单一BOT进行过度依赖,并准备备份方案。通过了解和防范这些风险,用户可以更安全地使用Telegram BOT机器人,保护自己的资产和隐私安全。
OKX Web3钱包团队:类似TGOT的机器人在提供便捷服务同时也带来了很大的启发,接下来,我们来说明一下。
第一,私钥的中心化托管。大多数 Telegram 机器人需要托管用户的私钥,从而促使主动签名和交易发送。这意味着用户的私钥存储在第三方服务器上,增加了被盗或盗的情况风险。
第二,钓鱼。通过 Telegram 的钓鱼链接用户点击,导致账户信息或私钥被窃取。此外,聊天窗口的诱导(例如假冒)获取用户敏感信息。
第三,木马风险。某些机器人可以通过发送恶意软件(木马)或恶意SDK的方式,感染用户设备,并危及整个系统的安全。
总的来说,用户在使用流量BOT机器人的时候,需要洞察,不要随意点击初始化链接,也不要泄露自己的私钥。
Q7:用户交易MEME的错误与风险
CertiK安全团队:首先,对于任何与自己钱包交互的dApp,包括交易平台和Telegram bot,用户都应该进行安全尽职调查。选择经过安全审计的dApp可以降低操作中被攻击的风险,而无需自己的私钥和身份信息的安全。当前,CertiK通过提供dApp的渗透测试服务,帮助用户以减少风险。
其次,MEME 平台高度依赖于交易的响应速度和频率,因此选择一个稳定且交易费用合理的平台至关重要。在进行交易时,尽量选择那些安全、稳定、快速且交易费用较高的平台,以获得更好的交易体验。比如,上面提及CertiK推出的MemeScan平台,可以提供即时的安全状态信息,包括MEME的链上行为分析。例如,合约可增发新币、交易可供暂停或被限制、少数地址控制大部分代币、少数地址控制的大部分流动性等,希望可以为用户安全交易提供一些帮助。
OKX Web3钱包安全团队:考虑到安全性,用户在进行MEME交易时,需要保护安全操作和风险防范,以确保交易的正确性和安全性。
第一,要选择正确的交易平台。用户应该选择信誉良好且安全性高的加密货币交易所,尽量避免使用未经过验证或不知名的交易平台,可能会面临资产被盗的风险。交易,要确认项目方的官网,合约的正确性。
第二,开启更高安全性的方式。为了更加安全,我们通过谷歌Authorization平台和中端设备认证,使用GoogleAuthorizationApp或其他安全应用程序。避免使用短信验证,因为它更容易受到SIM卡交易所攻击的影响。
第三,使用安全性高的钱包。用户尽量使用经过验证的钱包进行交易,并确保安全备份助记词或私钥,存放在安全的地方,避免电子备份。不备份私钥或助记词,设备丢失或损坏时将无法恢复资产。
第四,防范犯罪。用户需要时刻验证交易使用的url,确保其为官方链接。在遇到问题时确保联系到的是官方的客服,不要理会Telegram、Discord等群组中的私信,永远不要点来路不明的链接,签署不知道内容的签名和展示私钥。
第五,安全的网络环境,用户应该在可信的操作系统下进行操作,尽量不要使用公共无线网络。
最后,感谢大家看完OKX Web3钱包《安全特刊》栏目第02期,当前我们正在紧锣密鼓地准备第03期内容,不仅有真实的案例、风险识别、还有安全操作干货,宝宝期待
免责声明:
本文参考,本文无意提供 (i) 投资或投资推荐;(ii) 购买、出售或持有数字资产的要约或招收财务;或 (iii)、会计、法律或税务建议。资产(包括稳定币和NFT)涉及高风险,可能会大幅波动,甚至变得毫无价值。您应根据自己的财务状况仔细考虑交易或持有数字资产是否适合您。请您自行负责了解和马斯克当地的有关适用的法律和法规。
资讯来源:由a0资讯编译自THECOINREPUBLIC。版权归作者A0资讯所有,未经许可,不得转载