搜尋
Close this search box.

【安全特刊】OKX Web3 & CertiK:MEME「大冒險」與安全「真心話」

OKX Web3 錢包特別策劃了《安全特刊》欄目,針對不同類型的鏈上安全問題進行專期解答。通過最發生在用戶身邊最真實案例,與安全領域專家人士或者機構共同聯合,由不同視角進行雙重分享與解答,從而由淺入深梳理並歸納安全交易規則,旨在加強用戶安全教育的同時,幫助用戶從自身開始學會保護私鑰以及錢包資產安全。

玩MEME就是一場大冒險

Rug Pull(撤池子)、貔貅盤、砸穿、被夾……諸多陷阱皆在前路

我一直是一名勇敢的冒險者,直到我的膝蓋中了“一箭”

本期是安全特刊第02期,特邀行業知名安全機構CertiK與OKX Web3團隊,從實操指南的角度出發,來分享常見的MEME鏈上交易安全風險和防範措施,希望可以對MEME用戶有所幫助。

CertiK安全團隊:CertiK由耶魯大學和哥倫比亞大學的兩位教授創立,利用目前最先進的形式化驗證技術、AI審計技術以及安全專家人工審計,通過掃描及監控區塊鏈協議和智能合約,保證其安全性。迄今為止,CertiK已獲得了超過4000家企業客戶的認可,挖掘了近7萬個代碼漏洞,保護了超過4000億美元的數字資產免受損失。

OKX Web3錢包安全團隊:大家好,非常開心可以進行本次分享。OKX Web3錢包安全團隊主要負責OKX Web3錢包的安全能力建設,提供產品安全、用戶安全、交易安全等多重防護服務,7X24小時守護用戶錢包安全的同時,為維護整個區塊鏈安全生態貢獻力量。

Q1:發生在身邊的MEME風險真實案例

OKX Web3錢包安全團隊:這類風險案例類型比較多。我們挑選了幾個用戶在交易MEME時,遭遇的比較經典的案例:

案例一:貔貅盤

用戶A,在推特上看到某MEME討論熱度高,並在該MEME的推文評論中發現了代幣地址,經過查看該MEME的交易數據後,發現其表現很好,於是進行了購買。隨著該MEME價格不斷上升,用戶A想要賣出並鎖定利潤,但卻卻始終無法賣出。後經我們團隊排查發現,該MEME代幣是貔貅盤,用戶地址因為被拉黑所以無法賣出。

案例二:惡意Rug Pull

用戶B,經常在某Telegram社群中發言並參加活動,被很多群友互加為通訊錄好友。有一天,某群友私聊用戶B並向他推薦某個MEME項目,並介紹稱該項目十分火熱、潛力巨大,隨後立即提供了該MEME代幣地址。用戶B有些心動,於是到某數據分析工具上進行查看,發現該MEME代幣流動性LP已銷燬且沒有巨鯨持倉,由此認為該MEME項目比較可靠,進行了購買。但是到了第二天,用戶B卻突然發現,該MEME項目流動性已被耗盡。後經我們團隊排查發現,該代幣是惡意Rug Pull代幣,其存在後門邏輯可以大量增發代幣。

發生在MEME用戶身上的風險案例層出不窮,我們希望可以通過接下來的對話,為用戶可以提供一些安全參考指南,不構成任何投資建議,僅供大家進行學習和交流。

Q2:交易MEME時,EVM公鏈和Solana網絡上的常見風險

CertiK安全團隊:MEME風險分爲兩類:一類是鏈上風險場景、另外一類就是普遍風險,與區塊鏈技術無關。

在介紹具體的鏈上風險場景之前,我們先來介紹普遍風險,這主要包括髮幣成本極低、代幣價格易被操縱、項目高度中心化、投資者交易磨損大和Rugpull騙局5大類。

1、發幣成本極低

通常而言,發佈MEME項目的技術開發量極低甚至完全沒有,以至於出現了像PandaTool這樣的一鍵發幣工具。正是由於極低的開發成本,使得項目方內部人員和早期投資人員獲得代幣的成本極低,再加上MEME項目本身並無實際基本面,一旦市場不再“FOMO”(Fear of Missing Out)時,就會導致這些極低成本的代幣被迅速拋售,使得後來的投資者承擔巨大的損失。

2、代幣價格易被操縱

MEME的價格容易被操縱,一方面是由於其缺乏實質性技術支持、內在價值、以及發行門檻低,導致任何人都可以輕鬆創建和發行 MEME ,這使得市場上充斥着大量強投機性幣種。

同時,MEME 通常依賴社交媒體和網絡熱度來推動其價格,而這些因素極易受到大戶或有組織的羣體操縱。這些投機者可以通過大量買入或賣出,以及製造虛假信息和市場噪音來操縱價格,造成價格劇烈波動,吸引更多散戶投資者追漲殺跌,從而進一步加劇價格操縱的可能性。

3、項目高度中心化

MEME項目通常缺乏去中心化治理機制,決策權集中在少數開發者和核心團隊手中,使得項目方向和管理易受個人利益驅動,增加了投資者的風險。在決策權中心化的基礎上,還可能會產生代幣合約和程序的控制權中心化、代幣持有中心化、流動性控制中心化等種種中心化風險。

4、投資者交易磨損大

MEME交易磨損大,第一歸因於其流動性差。由於市場上買賣MEME的參與者相對較少、交易量不足,這導致了買賣差價(即買價和賣價之間的差距)較大,使得交易成本增加。此外,流動性差的 MEME 幣在大額交易時容易引起價格劇烈波動,進一步加大了交易風險和成本。投資者在買入或賣出時,往往需要承受更高的滑點和較大的價格影響,從而導致交易效率低下和交易成本上升。

第二則是歸因於“交易稅”機制。許多 MEME項目爲了激勵投資者持有或維持項目資金,通常會在每筆交易中收取一定比例的交易稅。這些稅費通常用於回購代幣、獎勵持有者或支持項目發展。然而,這種交易稅增加了交易成本,使得頻繁交易變得更加昂貴。交易者在每次買入或賣出時,都需要支付額外的稅費,加劇了交易磨損,進一步降低了流動性。投資者在進行MEME交易時,必須承受更高的費用和風險。

5Rugpull騙局

MEME容易成爲 Rugpull 騙局的目標,原因在於其高度的匿名性、缺乏透明度和監管。以下是幾種常見的 Rugpull 方式及其現象:

1)流動性抽乾(Liquidity Pull):

方式:開發團隊會在去中心化交易所(DEX)創建一個流動性池,將代幣和主流加密貨幣(如 ETH、USDT 等)添加到池中。吸引足夠的投資者後,開發團隊會突然撤出所有流動性,使得代幣無法交易。

現象:投資者發現無法賣出代幣,代幣價格迅速歸零,流動性池顯示幾乎沒有資金殘留。

2)開發者拋售(Developer Dumping

方式:項目方或早期持有者持有大量代幣,當市場需求被炒高後,他們會在短時間內拋售手中大部分或全部代幣,造成價格暴跌。

現象:交易記錄中出現鉅額賣單,代幣價格急劇下跌,市場信心崩潰,交易量迅速減少。

3)項目僞裝(Fake Projects):

方式:不法分子會創建一個虛假的 MEME 幣項目,編造虛假願景和路線圖,通過社交媒體和名人背書吸引投資者。一旦籌集到足夠的資金,他們會關閉項目並捲款而逃。

現象:項目網站、社交媒體賬戶突然消失,開發團隊無法聯繫,投資者賬戶中的代幣價值迅速貶低。

4)合約漏洞(Contract Exploits):

方式:開發團隊故意在智能合約中留有後門或漏洞,使他們能夠在特定條件下操縱合約,從而偷走投資者的資金。

現象:代幣交易異常或突然停止,投資者無法轉移或出售代幣,合約地址顯示大量資金被轉移到未知賬戶。

5)假冒分叉(Fake Forks):

方式:聲稱對原有代幣進行升級或分叉,要求持有者將舊代幣交換爲新代幣,實際上是爲了收集並佔有這些舊代幣。

現象:舊代幣失去價值,所謂的新代幣無法在任何交易所交易,項目團隊失聯。

接下來,我們來介紹,用戶在EVM系公鏈&Solana網絡上,進行MEME交易時常見的鏈上風險。爲了方便用戶更直接的對比風險類型差異,我們通過表格的形式來分享。

圖片來源: CertiK安全團隊

OKX Web3錢包安全團隊:EVM系公鏈與Solana是用戶進行MEME交易的首選網絡,兩者在鏈上風險類型方面存在差異,這與兩者的代幣發行機制不同等因素有關。

第一,EVM系公鏈。由於EVM系公鏈代幣發行自由度很高、且代幣內容由開發者實現,當前在EVM系公鏈上進行MEME交易,常見鏈上風險主要包括2類:

(一)存在惡意邏輯的MEME

當市場出現火熱的MEME時,會有各種僞造成熱門MEME的惡意代幣出現,這類型惡意代幣通常會有較好的交易數據,引導用戶誤判進而交易到惡意代幣,從而造成損失。當前常見的惡意代幣主要有2類:

1、貔貅盤:是指只能買入不能賣出的代幣。這類型惡意代幣通常通過設置100%稅率或者特殊轉賬限制邏輯,導致用戶無法賣出代幣。

2、惡意rug pull代幣:是指存在隱藏增發邏輯的代幣。這類型惡意代幣通過隱藏增發邏輯,然後增發代幣來耗盡代幣流動性。

(二)項目方作惡

當前項目方作惡也主要包括2種類型:特權函數作惡、直接砸盤。

1)特權函數作惡:項目方通過特權函數,如mint函數,增發代幣砸盤。

2)直接砸盤:項目方直接使用持有代幣砸盤。

第二,Solana鏈。值得注意的是,Solana網絡發行代幣是通過固定官方渠道,因此在Solana鏈上進行MEME交易時,常見的鏈上風險主要來自項目方作惡。

(一)特權函數作惡

項目方通過特權函數,如mint函數來增發代幣砸盤;或者通過凍結指令,來凍結用戶地址,從而達到類似貔貅盤的目的,讓用戶無法賣出。

(二)直接砸盤

項目方直接使用持有代幣砸盤。值得提醒的是,部分惡意MEME項目方會通過分發持有代幣。來躲過代幣集中持有的審查。

Q3:哪些維度或者工具,可以初步過濾風險性極高的MEME項目

CertiK安全團隊:這裏不構成任何投資建議,僅僅是介紹一些我們個人常用的幾個工具,不能100%幫用戶過濾風險,僅爲用戶初步判斷一個MEME是否存較高風險提供參考。

1)dune.com:一個數據分析平臺,可以自定義query來對代幣的鏈上數據進行分析和監控,比較靈活,但使用相對複雜,需要一定的學習成本。

2)Dextools.io:一個代幣信息集成平臺,可以查看一些代幣基礎信息,如市值,流動性情況,持有人數量,代幣分佈等,同時也可以進行一些簡單的安全風險篩選。

3)Skyknight MemeScan:CertiK推出的新平臺,爲評估MEME的安全狀態提供瞭解決方案。該平臺提供即時的洞察和鏈上行爲分析,包括合約鑄幣分析、交易控制檢測、所有權集中分析、流動性控制評估等等。  

OKX Web3錢包安全團隊:沒有可以100%過濾風險的方式和方法,但是從代幣安全和項目健康度的角度出發,我們爲用戶提供幾個可以初步過濾掉風險性極高的MEME項的維度。需要注意的是,用戶不能僅僅依據以下維度就判斷項目的安全性。

1)智能合約安全性:可以通過輔助工具驗證是否存在源碼級別的安全問題。這些工具可以檢查項目代碼中是否存在惡意邏輯,並識別代碼本身的安全漏洞。此外,還需評估合約的權限控制,確保合約所有者的權限不過大,避免其能夠隨意增發或銷燬代幣。

2)代幣分配和持有分佈:通過區塊鏈瀏覽器查看代幣持有者的分佈情況,避免參與代幣持有過於集中的項目,因爲這些項目容易受到操控,且有較高rugpull風險

3)流動性和交易活動:觀察代幣的交易量和價格波動情況,低交易量和高波動性可能意味着項目不穩定或存在操控風險。

4)社區和開發團隊活動:項目團隊是否公開透明,包括團隊成員的背景、經驗和社交媒體活動。

當前,OKX Web3錢包也爲用戶提供了過濾風險代幣的能力,從代碼安全,交易安全等多層面過濾掉了可能導致用戶受損的代幣,提供各維度代幣信息的同時,爲用戶MEME安全交易體驗護航。

Q4:作爲MEME代幣早期流通場所,Launchpad平臺以及DEX當前存在哪些侷限性或者風險?

CertiK安全團隊:首先,Launchpad平臺和DEX必須具備強大的技術支持,以應對MEME項目的交易響應速度和交易規模。此外,流動性也是至關重要的一環,相關平臺需要監控任何可能影響流動性安全的事件。最後,關於MEME的合規風險,平臺方必須理解並落實相關的監管政策和要求,以減少可能面臨的法律風險。

OKX Web3錢包安全團隊:接下來,我們對Launchpad平臺以及DEX當前存在哪些侷限性或者風險分別進行介紹。

對於Launchpad平臺而言,主要包含三點:

第一,平臺上推出的項目質量參差不齊,儘管一些Launchpad平臺會進行審查和盡職調查,但仍有可能未能完全識別出高風險或低質量的項目。

第二,資金管理風險,Launchpad平臺通常會集中管理大量用戶資金,這些資金如果管理不當或被惡意挪用,可能導致用戶資金損失。此外,平臺可能缺乏足夠的保障措施來保護用戶資金安全。

第三,市場操縱,項目方或大資金玩家可能會在Launchpad推出後進行價格操縱,造成市場波動劇烈,影響散戶投資者。

對於DEX而言,侷限相對更多一些

第一,流動性不足,新上架的MEME通常在DEX上流動性較差,容易導致交易滑點大和價格劇烈波動。

第二,智能合約漏洞,DEX依賴智能合約進行交易,這些合約如果存在漏洞,可能被黑客利用,造成資金損失。

第三,交易費用高,尤其是在以太坊等網絡上,交易費用(Gas費)可能非常高,影響小額交易者的成本效益。

第四,惡意項目方,任何人都可以部署代幣並上線DEX交易,有的項目方可能會在合約中故意留下後門函數,使得項目方可以任意操縱代幣餘額或者導致用戶無法賣出代幣。

第五,用戶體驗問題,DEX的操作對於普通用戶來說相對複雜,涉及錢包連接、Gas費設置等,對入門用戶來說體驗可能不如中心化交易所(CEX)。

Q5:追問一下,Telegram 機器人代表了加密貨幣領域基於意圖交互的實際表現之一,這是否代表了未來DEX的發展趨勢?

CertiK安全團隊:Telegram bot機器人可以顯著降低交易門檻,並自動化交易中的部分步驟,使非專業人員能夠更方便地進行加密貨幣交易。然而,必須特別關注這些機器人的具體安全風險。建議對任何與錢包交互的第三方dApp進行全面的安全盡職調查,以確保其安全性。

OKX Web3錢包安全團隊:Telegram機器人在加密貨幣領域的應用展現了基於意圖交互的巨大潛力。這種趨勢有望通過優化用戶體驗、增強交易便利性和安全性、擴展金融服務生態系統以及技術創新,推動去中心化交易所(DEX)的未來發展。

1、提升用戶體驗

簡化操作:Telegram機器人通過自然語言處理,使用戶能夠使用簡單的聊天命令進行交易,簡化了複雜的操作流程。

自動交易:用戶可以設定自動交易規則,如止損點和止盈點,減少人工操作的風險和時間成本。

2、增強去中心化交易

無縫集成:機器人通過API接口與去中心化交易所(DEX)集成,隱藏了複雜的交易操作,降低了用戶的學習成本。

實時操作:機器人可以實時監控市場動態,並即時通知用戶,使其能夠迅速做出交易決策並執行交易。

3、提高安全性

智能合約:機器人利用智能合約確保交易的透明和安全,減少了人爲干預和欺詐的可能性。

去中心化:儘管機器人可能是中心化的,但實際交易在去中心化的環境中進行,提高了交易的安全性和透明度。

4、擴展生態系統

多功能平臺:Telegram機器人不僅限於交易,還可以擴展至資產管理、借貸、質押等金融服務,提供一站式的金融解決方案。

增強社區互動:通過Telegram平臺,機器人能促進用戶交流和社區建設,增加用戶參與度。

5、技術和市場驅動

創新推動:人工智能和區塊鏈技術的進步將使機器人應用越來越智能和高效,推動更多去中心化應用和服務的出現。

市場接受度:用戶對簡化和自動化服務的需求日益增長,推動更多DEX採用機器人服務以提升競爭力。

Q6:針對高頻工具之一,如各類TGBOT機器人當前存在的安全風險

CertiK安全團隊:隨著加密貨幣市場的發展,Telegram BOT機器人在交易和信息獲取中變得越來越普遍。然而,這些高頻使用的工具也帶來了顯著的安全風險,使用者在使用時應特別注意以下幾個方面。

首先,許多Telegram BOT機器人未經安全審計或代碼公開,可能存在惡意代碼或漏洞。這些惡意BOT可能會竊取使用者的私鑰、身份信息或其他敏感數據。此外,惡意BOT可能會僞裝成合法的服務,通過釣魚攻擊誘導使用者輸入他們的私鑰或助記詞,從而竊取資金。因此,使用者應確保只使用官方推薦或經過驗證的BOT,避免點擊不明鏈接或輸入敏感信息。

其次,某些BOT可能要求過多的權限,如訪問使用者的聯繫人、文件或其他私密信息。使用時應謹慎授予權限,確保BOT只獲得其正常運行所需的最低權限。同時,BOT與Telegram服務器之間的通訊可能被中間人攻擊截獲,導致資料外泄或篡改。使用者應確保使用加密通訊的BOT,並檢查其安全通訊協議的實施情況。

第三,許多Telegram BOT提供自動化交易功能,但如果這些BOT的交易邏輯有漏洞,可能導致嚴重的財務損失。使用者應在使用此類功能前進行充分的測試,並監控交易行爲以防止異常情況。此外,BOT開發者可能收集並儲存大量使用者數據,一旦這些數據被泄露或濫用,使用者隱私將受到嚴重威脅。使用者應選擇有良好信譽和隱私權政策的BOT,並定期查看其隱私權保護措施。

最後,過度依賴某些BOT進行交易或管理資產,可能導致在BOT服務中斷或關閉時,使用者無法正常進行操作。因此,使用者應避免對單一BOT的過度依賴,並準備備份方案。通過了解和防範這些風險,使用者可以更安全地使用Telegram BOT機器人,保護自己的資產和隱私安全。

OKX Web3錢包安全團隊:類似TG的BOT機器人在提供便捷服務的同時也帶來了很大的風險隱患,接下來,我們舉例說明。

第一,私鑰的中心化託管風險。多數 Telegram 機器人需要託管用戶的私鑰,以便於主動簽名和發送交易。這意味着用戶的私鑰存儲在第三方服務器上,增加了被盜或濫用的風險。

第二,釣魚風險。通過 Telegram 機器人發送的釣魚鏈接可能誘導用戶點擊,導致賬戶信息或私鑰被竊取。此外,聊天窗口中的人工誘導(例如假冒客服)可能會騙取用戶的助記詞或其他敏感信息。

第三,木馬風險。某些機器人可能通過發送惡意軟件(木馬)或惡意 SDK 的方式,感染用戶的設備,危及整個系統的安全。

總計,用戶在使用各類BOT機器人時候,需要謹慎辨別,不要隨意點擊陌生連結,也不要泄漏自己的私鑰。

Q7:用戶交易MEME的操作誤區與風險防範

CertiK安全團隊:首先,對於任何與自己錢包交互的dApp,包括交易平臺和Telegram bot,用戶都應進行安全盡職調查。選擇經過安全審計的dApp可以降低操作中被攻擊的風險,並確保自己的私鑰和身份信息的安全。當前,CertiK通過提供dApp的滲透測試服務,幫助用戶以減少風險。

其次,MEME的交易高度依賴於交易的響應速度和頻率,因此選擇一個穩定且交易費用合理的平臺至關重要。在進行交易時,儘量選擇那些安全、穩定、快速且交易費用較低的平臺,以獲得更好的交易體驗。比如,上面提及的CertiK推出的MemeScan平臺,可以提供即時的安全狀態信息,包括MEME的鏈上行爲分析。例如,合約可增發新幣、交易可被暫停或被限制、少數地址控制大部分token、少數地址控制大部分流動性等,希望可以對用戶安全交易提供些許幫助。

OKX Web3錢包安全團隊:考慮到安全性,用戶在進行MEME交易時,需要知曉安全操作和風險防範,以確保交易的正確性和安全性。

第一,要選擇正確的交易平臺。用戶應該選擇信譽良好且安全性高的加密貨幣交易所,儘量避免使用未經過驗證或不知名的交易平臺,可能會面臨資產被盜的風險。對於鏈上交易,要確認項目方的官網,合約的正確性。

第二,開啓更高安全性的認證方式。爲了更加安全,用戶可以在所有交易平臺和錢包中啓用雙因素認證,使用Google Authenticator或其他安全應用程序。儘量避免使用短信驗證,因爲它容易受到SIM卡交換攻擊的影響。

第三,使用安全性高的錢包。用戶儘量使用經過驗證的錢包進行交易,並確保安全備份助記詞或私鑰,存放在安全的地方,避免電子備份。不備份私鑰或助記詞,設備丟失或損壞時將無法恢復資產。

第四,防範釣魚。用戶需要時刻驗證交易用的url,確保其爲官方鏈接。在遇到問題時確保聯繫到的是官方的客服,不要理會Telegram、Discord等羣組中的私信,永遠不要點來路不明的鏈接,簽署不知道內容的簽名和展示私鑰。

第五,安全的網絡環境,用戶應該在可信的操作系統下進行操作,儘量不要使用公共無線網絡。

最後,感謝大家看完OKX Web3錢包《安全特刊》欄目的第02期,當前我們正在緊鑼密鼓地準備第03期內容,不僅有真實的案例、風險識別、還有安全操作乾貨,敬請期待!

免責聲明:

本文僅供參考,本文無意提供 (i) 投資建議或投資推薦;(ii) 購買、出售或持有數字資產的要約或招攬;或 (iii) 財務、會計、法律或稅務建議。持有的數字資產(包括穩定幣和 NFTs)涉及高風險,可能會大幅波動,甚至變得毫無價值。您應根據自己的財務狀況仔細考慮交易或持有數字資產是否適合您。請您自行負責瞭解和遵守當地的有關適用法律和法規。

加密貨幣屬於高風險投資,本網站內容均不構成任何投資建議與責任。

交易所特色操作教學推薦碼連結優惠
Bybit豐富的衍生品交易https://bit.ly/3KuuOn4註冊即享新手儲值禮!
OKX交易種類眾多,功能齊全的前幾大交易所https://bit.ly/3Y0YH4X獨家盲盒獎勵
MAX可以使用台幣出入金
(台灣交易所)
https://bit.ly/3Hwb95K6 個月內 20% 手續費折扣,質押平台幣 MAX 最高可享 60% 折扣
幣安全球最大交易所,幣種與理財產品齊全https://bit.ly/3CqVOzz20% 現貨手續費折扣
派網提供「網格交易」、「期限套利」等機器人操作https://bit.ly/3soLzN720% 手續費折扣
Bitfinex被動收入首選,提供自動放貸功能(年化5-30%)https://bit.ly/3Kebs8u6% 手續費優惠
XREX同時提供台幣與美金出入金服務10% 手續費折扣
Bitget全球最大跟單交易所,讓新手更輕易上手https://bit.ly/48KnkZZ20% 手續費折扣、1000 USDT 新手大禮包

掌握虛擬貨幣、區塊鏈大小事