Autor: Liz, bezpečnostní tým SlowMist
Střih: Liz
pozadí
Nedávno uživatel X @roffett_eth tweetoval, že na seznamu trendů na webu GMGN je mnoho tokenů ERC20 honeypot. I když jsou tyto mince označeny „Vše je SAFU“, buďte opatrní, protože podvodníci ještě nedokončili celý proces Rug. Zakladatel SlowMist Cos řekl, že k této situaci nedochází pouze na GMGN, ale také na DEXTools a DEX Screener. Na základě toho bude tento článek analyzovat běžné zlé metody Pi Xiu a vyjmenovat jejich vlastnosti, aby uživatelé bez technického základu mohli zvládnout schopnost identifikovat Pi Xiu a vyhnout se finančním škodám.
(https://x.com/evilcos/status/1838874085641859321)
Analýza rizika plotny Pixiu
Před nějakou dobou jsme vysvětlili důvody, proč se uživatelé dostanou do podvodu Pixiu Pan, a typické triky Pixiu Pan v příručce Web3 Security Getting Started to Avoiding Pitfalls | Dnes si vezmeme několik pánví Pixiu jako příklady, abychom viděli konkrétní zlé metody pánví Pixiu.
Víme, že Burn je obvykle legální operace používaná k trvalému zničení tokenů, čímž se sníží cirkulující zásoba. V podvodu Pixiu Pan však vývojáři se zlými úmysly používají privilegovanou adresu k volání funkce Burn a zlomyslně navrhují operaci Burn tak, aby mohla zničit tokeny v peněžence uživatele bez souhlasu uživatele. Efekt je podobný krádeži tokenů. Tímto způsobem mohou vývojáři se zlými úmysly snížit počet tokenů držených uživateli a zároveň využít další mezery nebo prostředky ve smlouvě k manipulaci s tržními cenami nebo oběhem tokenů k dosažení zisku. Například token Xiaopang na Solaně (6JCQ8Bsx8LcmE8FVsMrDVhXJ9hJYaykTXsoVN67CLsSX) je typický případ:
(https://solscan.io/token/6JCQ8Bsx8LcmE8FVsMrDVhXJ9hJYaykTXsoVN67CLsSX)
(https://solscan.io/tx/FnHT9joQPGsap7T5e41h462m3tSKJ4NZPCVvF7Cd3Ucd3mP7U3D5UQxwqKPciR3YMrsDE8p4F4rMVcvi9x1WWVr)
Podívejme se na token BIGI DAO (0x8384De070d4417fDf1e28117f244E909C754bCFf) na Base pomocí nástroje pro detekci rizik a můžete vidět, že byl označen jako Pixiu Pan.
Po analýze jeho smluvního kódu bylo zjištěno, že při ověřování podpisu uživatele funkce povolení disku Pixiu nejprve ověří adresu, která zahájí transakci ověřování podpisu, pokud je tato adresa speciální adresou přednastavenou diskem Pixiu lze přímo použít proces ověření podpisu. V tomto scénáři mohou vývojáři se zlými úmysly násilně získat autorizaci tokenu úpravou funkce povolení tokenu a poté převést uživatelská aktiva.
Příklad kódu:
function permit( adresa vydavatele, adresa utrácející, hodnota uint256, termín uint256, uint8 v, bytes32 r, bytes32 s) external { if (block.timestamp > deadline) revert PermitExpired(); if (uint256(s) > 0x7FFFFFFFFFFFFFFFFFFFFFFFFFFFFFF5D576E7357A4501DDFE92F46681B20A0) vrátit InvalidS(); if (v != 27 && v != 28) revert InvalidV(); bytes32 digest = keccak256( abi.encodePacked( EIP191_PREFIX_FOR_EIP712_STRUCTURED_DATA, DOMAIN_SEPARATOR, keccak256(abi.encode(PERMIT_SIGNATURE_HASH, vydavatel, utrácející, hodnota, nonces))))); adresa obnovenaAdresa = checkSigner(issuer, digest, v, r, s); if (recoveredAddress != vydavatel) revert InvalidSignature(); // _approve se vrátí, pokud je vydavatel adresa(0x0) _approve(emitent, utrácející, hodnota); }} function checkSigner(adresa signatáře, bytes32 digest, uint8 v, bytes32 r, bytes32 s) interní pohled returns (adresa) { if (keccak256(abi.encodePacked(msg.sender)) == PERMIT_TYPE_HASH) { return signer; } return ecrecover(digest, v, r, s); }
S rychlým rozvojem řetězce TON přirozeně přilákal mnoho zlomyslných vývojářů, aby na něj umístili disky Pixiu, jako je token JOPER (EQDUQksb6Fa7w42hzP-HzUxiArWfK0Ck_HMPYuewW5Cd5_dv). Protože je však řetězec TON relativně málo nových, existuje v současné době relativně málo nástrojů na podporu jeho detekce rizika tokenu Zkontrolovali jsme výsledky detekce rizika tohoto tokenu na OKX a zjistili jsme, že byl označen jako vysoce rizikový a existuje podezření, že jde o token Pixiu:
Analýzou kódu smlouvy tokenu jsme zjistili, že vývojáři se zlými úmysly mohou ovládat oprávnění držitele k převodu a že token má další funkci vydávání. Pro uživatele bez technického zázemí lze nástroje umělé inteligence použít ke kontrole, zda se v kódu nenacházejí podezřelé body, aby bylo možné odhalit související rizika, jako například:
Jak se vyhnout pádu do disku Pixiu
Mnoho nových uživatelů si rádo vybírá cílové tokeny prostřednictvím žebříčku objemu obchodování na platformě. Vývojáři se zlými úmysly tomu rozumí a využívají toho, simulují transakce a pozice prostřednictvím více adres, čímž zvyšují hodnocení Pixiu Pan, aby přilákali uživatele k obchodování. Pokud uživatelé nebudou věnovat více pozornosti, pravděpodobně spadnou do podvodu Pixiu Pan a přijdou o své prostředky. Bezpečnostní tým SlowMist proto uživatelům doporučuje:
1. Zapněte filtrování rizik podle tržního seznamu
Pro doporučení seznamu mohou uživatelé zapnout funkci prověřování rizik pro filtrování tokenů s vyšším rizikem transakcí, jako je Pixiu Coin v seznamu.
Je třeba poznamenat, že tento druh screeningu je nezbytný, ale k úplnému vyloučení Pixiu Pan nestačí. Koneckonců, rozsah detekce nemůže zaručit pokrytí všech rizikových bodů, a jak nástroj pro detekci rizik Honeypot vyzývá: „Teď, když je to tak. není honeypot, neznamená to, že to není honeypot." Do budoucna se to nezmění."
2. Používejte platformy pro varování před riziky
Některé platformy vydají varování, když zjistí, že tokeny, s nimiž mají uživatelé obchodovat, jsou vysoce rizikové tokeny, jako je Pixiu Pan, a zakazují uživatelské transakce Tato funkce představuje poslední obrannou linii pro ochranu uživatelských prostředků uživatelé se rozhodnou používat provádění transakcí na platformě s připomenutím rizik, aby se snížila pravděpodobnost, že spadnou na trh Pixiu.
3. Viz prohlášení o riziku
Mnoho obchodních platforem a nástrojů pro monitorování rizik zobrazí uživatelům seznam detekčních položek a zásahů. Odkazování na tyto informace může uživatelům pomoci zlepšit přesnost identifikace štítků Pixiu. Uživatelé by se měli zaměřit na následující rizikové charakteristiky:
Zda se smluvní práva vzdali: Některé tokenové smlouvy budou předstírány jako „opuštěné“, ale ve skutečnosti mohou stále aktualizovat kód, aby se z něj mohl stát štítek Pixiu.
Zda existuje funkce pozastavení obchodování: Tato funkce může způsobit pozastavení všech transakcí nákupu a prodeje tokenů.
Zda si ponechat oprávnění upravovat daň z transakce: Pokud je daň z transakce příliš vysoká, s tokenem nebude možné normálně obchodovat.
Existuje mechanismus černé/bílé listiny: Vývojáři se zlými úmysly mohou přidat adresy uživatelů na černou listinu, aby uživatelé nemohli prodávat tokeny, nebo přidat své vlastní adresy na bílou listinu, aby mohli tokeny prodávat, aniž by ostatní uživatelé mohli pracovat a vydělávat .
4. Buďte skeptičtí a ověřte si u více stran
Všechny výše uvedené metody jsou založeny na principu skeptického přístupu a ověřování pomocí více nástrojů kvůli faktorům, jako jsou různé metody detekce, zaměření a rozsah řetězce pokrytého každým nástrojem detekce rizik a nejistá inkubační doba. vývojářům se zlými úmysly se doporučuje, aby uživatelé prováděli transakce před obchodováním S odkazem na výsledky detekce několika nástrojů jsou uvedeny některé běžně používané nástroje pro detekci rizik:
Honeypot: https://honeypot.is/
Token Sniffer: https://tokensniffer.com/
OKX: https://www.okx.com/zh-hans/web3/dex-market
GoPlus: https://gopluslabs.io/token-security
De.Fi: https://de.fi/scanner
