安全特刊02 | OKX Web3 & CertiK:MEME「大冒险」与安全「真心话」

24-05-23 16:32
阅读本文需 34 分钟
总结 AI 总结
看总结 收起
原文来源:OKX


引言


OKX Web3 钱包特别策划了《安全特刊》栏目,针对不同类型的链上安全问题进行专期解答。通过最发生在用户身边最真实案例,与安全领域专家人士或者机构共同联合,由不同视角进行双重分享与解答,从而由浅入深梳理并归纳安全交易规则,旨在加强用户安全教育的同时,帮助用户从自身开始学会保护私钥以及钱包资产安全。


玩 MEME 就是一场大冒险


Rug Pull(撤池子)、貔貅盘、砸穿、被夹...... 诸多陷阱皆在前路


我一直是一名勇敢的冒险者,直到我的膝盖中了「一箭」


本期是安全特刊第 02 期,特邀行业知名安全机构 CertiK 与 OKX Web3 团队,从实操指南的角度出发,来分享常见的 MEME 链上交易安全风险和防范措施,希望可以对 MEME 用户有所帮助。



CertiK 安全团队:CertiK 由耶鲁大学和哥伦比亚大学的两位教授创立, 利用目前最先进的形式化验证技术、AI 审计技术以及安全专家人工审计,通过扫描及监控区块链协议和智能合约,保证其安全性。迄今为止,CertiK 已获得了超过 4000 家企业客户的认可,挖掘了近 7 万个代码漏洞,保护了超过 4000 亿美元的数字资产免受损失。


OKX Web3 钱包安全团队:大家好,非常开心可以进行本次分享。OKX Web3 钱包安全团队主要负责 OKX Web3 钱包的安全能力建设,提供产品安全、用户安全、交易安全等多重防护服务,7X24 小时守护用户钱包安全的同时,为维护整个区块链安全生态贡献力量。


Q1:发生在身边的 MEME 风险真实案例


OKX Web3 钱包安全团队:这类风险案例类型比较多。我们挑选了几个用户在交易 MEME 时,遭遇的比较经典的案例:


案例一:貔貅盘


用户 A,在推特上看到某 MEME 讨论热度高,并在该 MEME 的推文评论中发现了代币地址,经过查看该 MEME 的交易数据后,发现其表现很好,于是进行了购买。随着该 MEME 价格不断上升,用户 A 想要卖出并锁定利润,但却却始终无法卖出。后经我们团队排查发现,该 MEME 代币是貔貅盘,用户地址因为被拉黑所以无法卖出。


案例二:恶意 Rug Pull


用户 B,经常在某 Telegram 社群中发言并参加活动,被很多群友互加为通讯录好友。有一天,某群友私聊用户 B 并向他推荐某个 MEME 项目,并介绍称该项目十分火热、潜力巨大,随后立即提供了该 MEME 代币地址。用户 B 有些心动,于是到某数据分析工具上进行查看,发现该 MEME 代币流动性 LP 已销毁且没有巨鲸持仓,由此认为该 MEME 项目比较可靠,进行了购买。但是到了第二天,用户 B 却突然发现,该 MEME 项目流动性已被耗尽。后经我们团队排查发现,该代币是恶意 Rug Pull 代币,其存在后门逻辑可以大量增发代币。


发生在 MEME 用户身上的风险案例层出不穷,我们希望可以通过接下来的对话,为用户可以提供一些安全参考指南,不构成任何投资建议,仅供大家进行学习和交流。


Q2:交易 MEME 时,EVM 公链和 Solana 网络上的常见风险


CertiK 安全团队:MEME 风险分为两类:一类是链上风险场景、另外一类就是普遍风险,与区块链技术无关。


在介绍具体的链上风险场景之前,我们先来介绍普遍风险,这主要包括发币成本极低、代币价格易被操纵、项目高度中心化、投资者交易磨损大和 Rugpull 骗局 5 大类。


1、发币成本极低


通常而言,发布 MEME 项目的技术开发量极低甚至完全没有,以至于出现了像 PandaTool 这样的一键发币工具。正是由于极低的开发成本,使得项目方内部人员和早期投资人员获得代币的成本极低,再加上 MEME 项目本身并无实际基本面,一旦市场不再「FOMO」(Fear of Missing Out)时,就会导致这些极低成本的代币被迅速抛售,使得后来的投资者承担巨大的损失。


2、代币价格易被操纵


MEME 的价格容易被操纵,一方面是由于其缺乏实质性技术支持、内在价值、以及发行门槛低,导致任何人都可以轻松创建和发行 MEME,这使得市场上充斥着大量强投机性币种。


同时,MEME 通常依赖社交媒体和网络热度来推动其价格,而这些因素极易受到大户或有组织的群体操纵。这些投机者可以通过大量买入或卖出,以及制造虚假信息和市场噪音来操纵价格,造成价格剧烈波动,吸引更多散户投资者追涨杀跌,从而进一步加剧价格操纵的可能性。


3、项目高度中心化


MEME 项目通常缺乏去中心化治理机制,决策权集中在少数开发者和核心团队手中,使得项目方向和管理易受个人利益驱动,增加了投资者的风险。在决策权中心化的基础上,还可能会产生代币合约和程序的控制权中心化、代币持有中心化、流动性控制中心化等种种中心化风险。


4、投资者交易磨损大


MEME 交易磨损大,第一归因于其流动性差。由于市场上买卖 MEME 的参与者相对较少、交易量不足,这导致了买卖差价(即买价和卖价之间的差距)较大,使得交易成本增加。此外,流动性差的 MEME 币在大额交易时容易引起价格剧烈波动,进一步加大了交易风险和成本。投资者在买入或卖出时,往往需要承受更高的滑点和较大的价格影响,从而导致交易效率低下和交易成本上升。


第二则是归因于「交易税」机制。许多 MEME 项目为了激励投资者持有或维持项目资金,通常会在每笔交易中收取一定比例的交易税。这些税费通常用于回购代币、奖励持有者或支持项目发展。然而,这种交易税增加了交易成本,使得频繁交易变得更加昂贵。交易者在每次买入或卖出时,都需要支付额外的税费,加剧了交易磨损,进一步降低了流动性。投资者在进行 MEME 交易时,必须承受更高的费用和风险。


5、Rugpull 骗局


MEME 容易成为 Rugpull 骗局的目标,原因在于其高度的匿名性、缺乏透明度和监管。以下是几种常见的 Rugpull 方式及其现象:


1)流动性抽干(Liquidity Pull):


方式:开发团队会在去中心化交易所(DEX)创建一个流动性池,将代币和主流加密货币(如 ETH、USDT 等)添加到池中。吸引足够的投资者后,开发团队会突然撤出所有流动性,使得代币无法交易。


现象:投资者发现无法卖出代币,代币价格迅速归零,流动性池显示几乎没有资金残留。


2)开发者抛售(Developer Dumping)


方式:项目方或早期持有者持有大量代币,当市场需求被炒高后,他们会在短时间内抛售手中大部分或全部代币,造成价格暴跌。


现象:交易记录中出现巨额卖单,代币价格急剧下跌,市场信心崩溃,交易量迅速减少。


3)项目伪装(Fake Projects):


方式:不法分子会创建一个虚假的 MEME 币项目,编造虚假愿景和路线图,通过社交媒体和名人背书吸引投资者。一旦筹集到足够的资金,他们会关闭项目并卷款而逃。


现象:项目网站、社交媒体账户突然消失,开发团队无法联系,投资者账户中的代币价值迅速贬低。


4)合约漏洞(Contract Exploits):


方式:开发团队故意在智能合约中留有后门或漏洞,使他们能够在特定条件下操纵合约,从而偷走投资者的资金。


现象:代币交易异常或突然停止,投资者无法转移或出售代币,合约地址显示大量资金被转移到未知账户。


5)假冒分叉(Fake Forks):


方式:声称对原有代币进行升级或分叉,要求持有者将旧代币交换为新代币,实际上是为了收集并占有这些旧代币。


现象:旧代币失去价值,所谓的新代币无法在任何交易所交易,项目团队失联。


接下来,我们来介绍,用户在 EVM 系公链&Solana 网络上,进行 MEME 交易时常见的链上风险。为了方便用户更直接的对比风险类型差异,我们通过表格的形式来分享。


图片来源:CertiK 安全团队


OKX Web3 钱包安全团队:EVM 系公链与 Solana 是用户进行 MEME 交易的首选网络,两者在链上风险类型方面存在差异,这与两者的代币发行机制不同等因素有关。


第一,EVM 系公链。由于 EVM 系公链代币发行自由度很高、且代币内容由开发者实现,当前在 EVM 系公链上进行 MEME 交易,常见链上风险主要包括 2 类:


(一)存在恶意逻辑的 MEME


当市场出现火热的 MEME 时,会有各种伪造成热门 MEME 的恶意代币出现,这类型恶意代币通常会有较好的交易数据,引导用户误判进而交易到恶意代币,从而造成损失。当前常见的恶意代币主要有 2 类:


1、貔貅盘:是指只能买入不能卖出的代币。这类型恶意代币通常通过设置 100% 税率或者特殊转账限制逻辑,导致用户无法卖出代币。


2、恶意 rug pull 代币:是指存在隐藏增发逻辑的代币。这类型恶意代币通过隐藏增发逻辑,然后增发代币来耗尽代币流动性。


(二)项目方作恶


当前项目方作恶也主要包括 2 种类型:特权函数作恶、直接砸盘。


1)特权函数作恶:项目方通过特权函数,如 mint 函数,增发代币砸盘。


2)直接砸盘:项目方直接使用持有代币砸盘。


第二,Solana 链。值得注意的是,Solana 网络发行代币是通过固定官方渠道,因此在 Solana 链上进行 MEME 交易时,常见的链上风险主要来自项目方作恶。


(一)特权函数作恶


项目方通过特权函数,如 mint 函数来增发代币砸盘;或者通过冻结指令,来冻结用户地址,从而达到类似貔貅盘的目的,让用户无法卖出。


(二)直接砸盘


项目方直接使用持有代币砸盘。值得提醒的是,部分恶意 MEME 项目方会通过分发持有代币。来躲过代币集中持有的审查。


Q3:哪些维度或者工具,可以初步过滤风险性极高的 MEME 项目


CertiK 安全团队:这里不构成任何投资建议,仅仅是介绍一些我们个人常用的几个工具,不能 100% 帮用户过滤风险,仅为用户初步判断一个 MEME 是否存较高风险提供参考。


1)dune.com:一个数据分析平台,可以自定义 query 来对代币的链上数据进行分析和监控,比较灵活,但使用相对复杂,需要一定的学习成本。


2)Dextools.io:一个代币信息集成平台,可以查看一些代币基础信息,如市值,流动性情况,持有人数量,代币分布等,同时也可以进行一些简单的安全风险筛选。


3)Skyknight MemScan:CertiK 推出的新平台,为评估 MEME 的安全状态提供了解决方案。该平台提供即时的洞察和链上行为分析,包括合约铸币分析、交易控制检测、所有权集中分析、流动性控制评估等等。



OKX Web3 钱包安全团队:没有可以 100% 过滤风险的方式和方法,但是从代币安全和项目健康度的角度出发,我们为用户提供几个可以初步过滤掉风险性极高的 MEME 项的维度。需要注意的是,用户不能仅仅依据以下维度就判断项目的安全性。


1)智能合约安全性:可以通过辅助工具验证是否存在源码级别的安全问题。这些工具可以检查项目代码中是否存在恶意逻辑,并识别代码本身的安全漏洞。此外,还需评估合约的权限控制,确保合约所有者的权限不过大,避免其能够随意增发或销毁代币。


2)代币分配和持有分布:通过区块链浏览器查看代币持有者的分布情况,避免参与代币持有过于集中的项目,因为这些项目容易受到操控,且有较高 rugpull 风险


3)流动性和交易活动:观察代币的交易量和价格波动情况,低交易量和高波动性可能意味着项目不稳定或存在操控风险。


4)社区和开发团队活动:项目团队是否公开透明,包括团队成员的背景、经验和社交媒体活动。


当前,OKX Web3 钱包也为用户提供了过滤风险代币的能力,从代码安全,交易安全等多层面过滤掉了可能导致用户受损的代币,提供各维度代币信息的同时,为用户 MEME 安全交易体验护航。



Q4:作为 MEME 代币早期流通场所,Launchpad 平台以及 DEX 当前存在哪些局限性或者风险?


CertiK 安全团队:首先,Launchpad 平台和 DEX 必须具备强大的技术支持,以应对 MEME 项目的交易响应速度和交易规模。此外,流动性也是至关重要的一环,相关平台需要监控任何可能影响流动性安全的事件。最后,关于 MEME 的合规风险,平台方必须理解并落实相关的监管政策和要求,以减少可能面临的法律风险。


OKX Web3 钱包安全团队:接下来,我们对 Launchpad 平台以及 DEX 当前存在哪些局限性或者风险分别进行介绍。


对于 Launchpad 平台而言,主要包含三点:


第一,平台上推出的项目质量参差不齐,尽管一些 Launchpad 平台会进行审查和尽职调查,但仍有可能未能完全识别出高风险或低质量的项目。


第二,资金管理风险,Launchpad 平台通常会集中管理大量用户资金,这些资金如果管理不当或被恶意挪用,可能导致用户资金损失。此外,平台可能缺乏足够的保障措施来保护用户资金安全。


第三,市场操纵,项目方或大资金玩家可能会在 Launchpad 推出后进行价格操纵,造成市场波动剧烈,影响散户投资者。


对于 DEX 而言,局限相对更多一些


第一,流动性不足,新上架的 MEME 通常在 DEX 上流动性较差,容易导致交易滑点大和价格剧烈波动。


第二,智能合约漏洞,DEX 依赖智能合约进行交易,这些合约如果存在漏洞,可能被黑客利用,造成资金损失。


第三,交易费用高,尤其是在以太坊等网络上,交易费用(Gas 费)可能非常高,影响小额交易者的成本效益。


第四,恶意项目方,任何人都可以部署代币并上线 DEX 交易,有的项目方可能会在合约中故意留下后门函数,使得项目方可以任意操纵代币余额或者导致用户无法卖出代币。


第五,用户体验问题,DEX 的操作对于普通用户来说相对复杂,涉及钱包连接、Gas 费设置等,对入门用户来说体验可能不如中心化交易所(CEX)。


Q5:追问一下,Telegram 机器人代表了加密货币领域基于意图交互的实际表现之一,这是否代表了未来 DEX 的发展趋势?


CertiK 安全团队:Telegram bot 机器人可以显著降低交易门槛,并自动化交易中的部分步骤,使非专业人员能够更方便地进行加密货币交易。然而,必须特别关注这些机器人的具体安全风险。建议对任何与钱包交互的第三方 dApp 进行全面的安全尽职调查,以确保其安全性。


OKX Web3 钱包安全团队:Telegram 机器人在加密货币领域的应用展现了基于意图交互的巨大潜力。这种趋势有望通过优化用户体验、增强交易便利性和安全性、扩展金融服务生态系统以及技术创新,推动去中心化交易所(DEX)的未来发展。


1、提升用户体验


简化操作:Telegram 机器人通过自然语言处理,使用户能够使用简单的聊天命令进行交易,简化了复杂的操作流程。


自动交易:用户可以设定自动交易规则,如止损点和止盈点,减少人工操作的风险和时间成本。


2、增强去中心化交易


无缝集成:机器人通过 API 接口与去中心化交易所(DEX)集成,隐藏了复杂的交易操作,降低了用户的学习成本。


实时操作:机器人可以实时监控市场动态,并即时通知用户,使其能够迅速做出交易决策并执行交易。


3、提高安全性


智能合约:机器人利用智能合约确保交易的透明和安全,减少了人为干预和欺诈的可能性。


去中心化:尽管机器人可能是中心化的,但实际交易在去中心化的环境中进行,提高了交易的安全性和透明度。


4、扩展生态系统


多功能平台:Telegram 机器人不仅限于交易,还可以扩展至资产管理、借贷、质押等金融服务,提供一站式的金融解决方案。


增强社区互动:通过 Telegram 平台,机器人能促进用户交流和社区建设,增加用户参与度。


5、技术和市场驱动


创新推动:人工智能和区块链技术的进步将使机器人应用越来越智能和高效,推动更多去中心化应用和服务的出现。


市场接受度:用户对简化和自动化服务的需求日益增长,推动更多 DEX 采用机器人服务以提升竞争力。


Q6:针对高频工具之一,如各类 TG 的 BOT 机器人当前存在的安全风险


CertiK 安全团队:随着加密货币市场的发展,Telegram BOT 机器人在交易和信息获取中变得越来越普遍。然而,这些高频使用的工具也带来了显著的安全风险,使用者在使用时应特别注意以下几个方面。


首先,许多 Telegram BOT 机器人未经安全审计或代码公开,可能存在恶意代码或漏洞。这些恶意 BOT 可能会窃取使用者的私钥、身份信息或其他敏感数据。此外,恶意 BOT 可能会伪装成合法的服务,通过钓鱼攻击诱导使用者输入他们的私钥或助记词,从而窃取资金。因此,使用者应确保只使用官方推荐或经过验证的 BOT,避免点击不明链接或输入敏感信息。


其次,某些 BOT 可能要求过多的权限,如访问使用者的联系人、文件或其他私密信息。使用时应谨慎授予权限,确保 BOT 只获得其正常运行所需的最低权限。同时,BOT 与 Telegram 服务器之间的通讯可能被中间人攻击截获,导致资料外泄或篡改。使用者应确保使用加密通讯的 BOT,并检查其安全通讯协议的实施情况。


第三,许多 Telegram BOT 提供自动化交易功能,但如果这些 BOT 的交易逻辑有漏洞,可能导致严重的财务损失。使用者应在使用此类功能前进行充分的测试,并监控交易行为以防止异常情况。此外,BOT 开发者可能收集并储存大量使用者数据,一旦这些数据被泄露或滥用,使用者隐私将受到严重威胁。使用者应选择有良好信誉和隐私权政策的 BOT,并定期查看其隐私权保护措施。


最后,过度依赖某些 BOT 进行交易或管理资产,可能导致在 BOT 服务中断或关闭时,使用者无法正常进行操作。因此,使用者应避免对单一 BOT 的过度依赖,并准备备份方案。通过了解和防范这些风险,使用者可以更安全地使用 Telegram BOT 机器人,保护自己的资产和隐私安全。


OKX Web3 钱包安全团队:类似 TG 的 BOT 机器人在提供便捷服务的同时也带来了很大的风险隐患,接下来,我们举例说明。


第一,私钥的中心化托管风险。多数 Telegram 机器人需要托管用户的私钥,以便于主动签名和发送交易。这意味着用户的私钥存储在第三方服务器上,增加了被盗或滥用的风险。


第二,钓鱼风险。通过 Telegram 机器人发送的钓鱼链接可能诱导用户点击,导致账户信息或私钥被窃取。此外,聊天窗口中的人工诱导(例如假冒客服)可能会骗取用户的助记词或其他敏感信息。


第三,木马风险。某些机器人可能通过发送恶意软件(木马)或恶意 SDK 的方式,感染用户的设备,危及整个系统的安全。


总计,用户在使用各类 BOT 机器人时候,需要谨慎辨别,不要随意点击陌生链接,也不要泄漏自己的私钥。


Q7:用户交易 MEME 的操作误区与风险防范


CertiK 安全团队:首先,对于任何与自己钱包交互的 dApp,包括交易平台和 Telegram bot,用户都应进行安全尽职调查。选择经过安全审计的 dApp 可以降低操作中被攻击的风险,并确保自己的私钥和身份信息的安全。当前,CertiK 通过提供 dApp 的渗透测试服务,帮助用户以减少风险。


其次,MEME 的交易高度依赖于交易的响应速度和频率,因此选择一个稳定且交易费用合理的平台至关重要。在进行交易时,尽量选择那些安全、稳定、快速且交易费用较低的平台,以获得更好的交易体验。比如,上面提及的 CertiK 推出的 MemeScan 平台,可以提供即时的安全状态信息,包括 MEME 的链上行为分析。例如,合约可增发新币、交易可被暂停或被限制、少数地址控制大部分 token、少数地址控制大部分流动性等,希望可以对用户安全交易提供些许帮助。


OKX Web3 钱包安全团队:考虑到安全性,用户在进行 MEME 交易时,需要知晓安全操作和风险防范,以确保交易的正确性和安全性。


第一,要选择正确的交易平台。用户应该选择信誉良好且安全性高的加密货币交易所,尽量避免使用未经过验证或不知名的交易平台,可能会面临资产被盗的风险。对于链上交易,要确认项目方的官网,合约的正确性。


第二,开启更高安全性的认证方式。为了更加安全,用户可以在所有交易平台和钱包中启用双因素认证,使用 Google Authenticator 或其他安全应用程序。尽量避免使用短信验证,因为它容易受到 SIM 卡交换攻击的影响。


第三,使用安全性高的钱包。用户尽量使用经过验证的钱包进行交易,并确保安全备份助记词或私钥,存放在安全的地方,避免电子备份。不备份私钥或助记词,设备丢失或损坏时将无法恢复资产。


第四,防范钓鱼。用户需要时刻验证交易用的 url,确保其为官方链接。在遇到问题时确保联系到的是官方的客服,不要理会 Telegram、Discord 等群组中的私信,永远不要点来路不明的链接,签署不知道内容的签名和展示私钥。


第五,安全的网络环境,用户应该在可信的操作系统下进行操作,尽量不要使用公共无线网络。


最后,感谢大家看完 OKX Web3 钱包《安全特刊》栏目的第 02 期,当前我们正在紧锣密鼓地准备第 03 期内容,不仅有真实的案例、风险识别、还有安全操作干货,敬请期待!


免责声明:

本文仅供参考,本文无意提供 (i) 投资建议或投资推荐;(ii) 购买、出售或持有数字资产的要约或招揽;或 (iii) 财务、会计、法律或税务建议。持有的数字资产(包括稳定币和 NFTs)涉及高风险,可能会大幅波动,甚至变得毫无价值。您应根据自己的财务状况仔细考虑交易或持有数字资产是否适合您。请您自行负责了解和遵守当地的有关适用法律和法规。


本文来自投稿,不代表 BlockBeats 观点。


欢迎加入律动 BlockBeats 官方社群:

Telegram 订阅群:https://t.me/theblockbeats

Telegram 交流群:https://t.me/BlockBeats_App

Twitter 官方账号:https://twitter.com/BlockBeatsAsia

举报 纠错/举报
选择文库
新增文库
取消
完成
新增文库
仅自己可见
公开
保存
纠错/举报
提交