OKX Web3 CertiK: MEME "Lielais piedzīvojums" un drošība "Patiesība"

Odaily星球日报 · 2024-05-23T08:33:03.000Z
Ievads: OKX Web3 Wallet īpaši plānoja sleju "Īpašais drošības jautājums", lai sniegtu īpašas atbildes uz dažāda veida ķēdes drošības problēmām. Izmantojot visreālākos gadījumus, kas notiek ap lietotājiem, mēs sadarbojamies ar ekspertiem vai institūcijām drošības jomā, lai dalītos ar jautājumiem un atbildētu uz jautājumiem no dažādām perspektīvām, tādējādi kārtojot un apkopojot drošu darījumu noteikumus no seklāka uz dziļāku, lai stiprinātu lietotāju drošību. izglītot un palīdzēt lietotājiem iemācīties aizsargāt privāto atslēgu un maka līdzekļu drošību no sevis. Spēlēt MEME ir liels piedzīvojums Rug Pull, Pixiu Pan, izsisti cauri, iesprostoti... priekšā ir daudz lamatas.
引言：OKX Web3钱包特别策划了《安全特刊》栏目，针对不同类型的链上安全问题进行专期解答。通过最发生在用户身边最真实案例，与安全领域专家人士或者机构共同联合，由不同视角进行双重分享与解答，从而由浅入深梳理并归纳安全交易规则，旨在加强用户安全教育的同时，帮助用户从自身开始学会保护私钥以及钱包资产安全。
玩 MEME 就是一场大冒险
Rug Pull（撤池子）、貔貅盘、砸穿、被夹......诸多陷阱皆在前路
我一直是一名勇敢的冒险者，直到我的膝盖中了“一箭”
本期是安全特刊第 02 期，特邀行业知名安全机构 CertiK 与 OKX Web3团队，从实操指南的角度出发，来分享常见的 MEME 链上交易安全风险和防范措施，希望可以对 MEME 用户有所帮助。
CertiK 安全团队：CertiK 由耶鲁大学和哥伦比亚大学的两位教授创立,利用目前最先进的形式化验证技术、AI 审计技术以及安全专家人工审计，通过扫描及监控区块链协议和智能合约，保证其安全性。迄今为止，CertiK 已获得了超过 4000 家企业客户的认可， 挖掘了近 7 万个代码漏洞，保护了超过 4000 亿美元的数字资产免受损失。
OKX Web3钱包安全团队：大家好，非常开心可以进行本次分享。OKX Web3钱包安全团队主要负责 OKX Web3钱包的安全能力建设，提供产品安全、用户安全、交易安全等多重防护服务， 7 X 24 小时守护用户钱包安全的同时，为维护整个区块链安全生态贡献力量。
Q1：发生在身边的 MEME 风险真实案例
OKX Web3钱包安全团队：这类风险案例类型比较多。我们挑选了几个用户在交易 MEME 时，遭遇的比较经典的案例：
案例一：貔貅盘
用户 A，在推特上看到某 MEME 讨论热度高，并在该 MEME 的推文评论中发现了代币地址，经过查看该 MEME 的交易数据后，发现其表现很好，于是进行了购买。随着该 MEME 价格不断上升，用户 A 想要卖出并锁定利润，但却却始终无法卖出。后经我们团队排查发现，该 MEME 代币是貔貅盘，用户地址因为被拉黑所以无法卖出。
案例二：恶意 Rug Pull
用户 B，经常在某 Telegram 社群中发言并参加活动，被很多群友互加为通讯录好友。有一天，某群友私聊用户 B 并向他推荐某个 MEME 项目，并介绍称该项目十分火热、潜力巨大，随后立即提供了该 MEME 代币地址。用户 B 有些心动，于是到某数据分析工具上进行查看，发现该 MEME 代币流动性 LP 已销毁且没有巨鲸持仓，由此认为该 MEME 项目比较可靠，进行了购买。但是到了第二天，用户 B 却突然发现，该 MEME 项目流动性已被耗尽。后经我们团队排查发现，该代币是恶意 Rug Pull 代币，其存在后门逻辑可以大量增发代币。
发生在 MEME 用户身上的风险案例层出不穷，我们希望可以通过接下来的对话，为用户可以提供一些安全参考指南，不构成任何投资建议，仅供大家进行学习和交流。
Q2：交易 MEME 时，EVM 公链和 Solana 网络上的常见风险
CertiK 安全团队：MEME 风险分为两类：一类是链上风险场景、另外一类就是普遍风险，与区块链技术无关。
在介绍具体的链上风险场景之前，我们先来介绍普遍风险，这主要包括发币成本极低、代币价格易被操纵、项目高度中心化、投资者交易磨损大和 Rugpull 骗局 5 大类。
1、发币成本极低
通常而言，发布 MEME 项目的技术开发量极低甚至完全没有，以至于出现了像 PandaTool 这样的一键发币工具。正是由于极低的开发成本，使得项目方内部人员和早期投资人员获得代币的成本极低，再加上 MEME 项目本身并无实际基本面，一旦市场不再“FOMO”（Fear of Missing Out）时，就会导致这些极低成本的代币被迅速抛售，使得后来的投资者承担巨大的损失。
2、代币价格易被操纵
MEME 的价格容易被操纵，一方面是由于其缺乏实质性技术支持、内在价值、以及发行门槛低，导致任何人都可以轻松创建和发行 MEME ，这使得市场上充斥着大量强投机性币种。
同时，MEME 通常依赖社交媒体和网络热度来推动其价格，而这些因素极易受到大户或有组织的群体操纵。这些投机者可以通过大量买入或卖出，以及制造虚假信息和市场噪音来操纵价格，造成价格剧烈波动，吸引更多散户投资者追涨杀跌，从而进一步加剧价格操纵的可能性。
3、项目高度中心化
MEME 项目通常缺乏去中心化治理机制，决策权集中在少数开发者和核心团队手中，使得项目方向和管理易受个人利益驱动，增加了投资者的风险。在决策权中心化的基础上，还可能会产生代币合约和程序的控制权中心化、代币持有中心化、流动性控制中心化等种种中心化风险。
4、投资者交易磨损大
MEME 交易磨损大，第一归因于其流动性差。由于市场上买卖 MEME 的参与者相对较少、交易量不足，这导致了买卖差价（即买价和卖价之间的差距）较大，使得交易成本增加。此外，流动性差的 MEME 币在大额交易时容易引起价格剧烈波动，进一步加大了交易风险和成本。投资者在买入或卖出时，往往需要承受更高的滑点和较大的价格影响，从而导致交易效率低下和交易成本上升。
第二则是归因于“交易税”机制。许多 MEME 项目为了激励投资者持有或维持项目资金，通常会在每笔交易中收取一定比例的交易税。这些税费通常用于回购代币、奖励持有者或支持项目发展。然而，这种交易税增加了交易成本，使得频繁交易变得更加昂贵。交易者在每次买入或卖出时，都需要支付额外的税费，加剧了交易磨损，进一步降低了流动性。投资者在进行 MEME 交易时，必须承受更高的费用和风险。
5、Rugpull 骗局
MEME 容易成为 Rugpull 骗局的目标，原因在于其高度的匿名性、缺乏透明度和监管。以下是几种常见的 Rugpull 方式及其现象：
1）流动性抽干（Liquidity Pull）：
方式：开发团队会在去中心化交易所（DEX）创建一个流动性池，将代币和主流加密货币（如 ETH、USDT 等）添加到池中。吸引足够的投资者后，开发团队会突然撤出所有流动性，使得代币无法交易。
现象：投资者发现无法卖出代币，代币价格迅速归零，流动性池显示几乎没有资金残留。
2）开发者抛售（Developer Dumping）
方式：项目方或早期持有者持有大量代币，当市场需求被炒高后，他们会在短时间内抛售手中大部分或全部代币，造成价格暴跌。
现象：交易记录中出现巨额卖单，代币价格急剧下跌，市场信心崩溃，交易量迅速减少。
3）项目伪装（Fake Projects）：
方式：不法分子会创建一个虚假的 MEME 币项目，编造虚假愿景和路线图，通过社交媒体和名人背书吸引投资者。一旦筹集到足够的资金，他们会关闭项目并卷款而逃。
现象：项目网站、社交媒体账户突然消失，开发团队无法联系，投资者账户中的代币价值迅速贬低。
4）合约漏洞（Contract Exploits）：
方式：开发团队故意在智能合约中留有后门或漏洞，使他们能够在特定条件下操纵合约，从而偷走投资者的资金。
现象：代币交易异常或突然停止，投资者无法转移或出售代币，合约地址显示大量资金被转移到未知账户。
5）假冒分叉（Fake Forks）：
方式：声称对原有代币进行升级或分叉，要求持有者将旧代币交换为新代币，实际上是为了收集并占有这些旧代币。
现象：旧代币失去价值，所谓的新代币无法在任何交易所交易，项目团队失联。
接下来，我们来介绍，用户在 EVM 系公链Solana 网络上，进行 MEME 交易时常见的链上风险。为了方便用户更直接的对比风险类型差异，我们通过表格的形式来分享。
图片来源： CertiK 安全团队
OKX Web3钱包安全团队：EVM 系公链与 Solana 是用户进行 MEME 交易的首选网络，两者在链上风险类型方面存在差异，这与两者的代币发行机制不同等因素有关。
第一，EVM 系公链。由于 EVM 系公链代币发行自由度很高、且代币内容由开发者实现，当前在 EVM 系公链上进行 MEME 交易，常见链上风险主要包括 2 类：
（一）存在恶意逻辑的 MEME
当市场出现火热的 MEME 时，会有各种伪造成热门 MEME 的恶意代币出现，这类型恶意代币通常会有较好的交易数据，引导用户误判进而交易到恶意代币，从而造成损失。当前常见的恶意代币主要有 2 类：
1、貔貅盘：是指只能买入不能卖出的代币。这类型恶意代币通常通过设置 100% 税率或者特殊转账限制逻辑，导致用户无法卖出代币。
2、恶意 rug pull 代币：是指存在隐藏增发逻辑的代币。这类型恶意代币通过隐藏增发逻辑，然后增发代币来耗尽代币流动性。
（二）项目方作恶
当前项目方作恶也主要包括 2 种类型：特权函数作恶、直接砸盘。
1）特权函数作恶：项目方通过特权函数，如 mint 函数，增发代币砸盘。
2）直接砸盘：项目方直接使用持有代币砸盘。
第二，Solana 链。值得注意的是，Solana 网络发行代币是通过固定官方渠道，因此在 Solana 链上进行 MEME 交易时，常见的链上风险主要来自项目方作恶。
（一）特权函数作恶
项目方通过特权函数，如 mint 函数来增发代币砸盘；或者通过冻结指令，来冻结用户地址，从而达到类似貔貅盘的目的，让用户无法卖出。
（二）直接砸盘
项目方直接使用持有代币砸盘。值得提醒的是，部分恶意 MEME 项目方会通过分发持有代币。来躲过代币集中持有的审查。
Q3：哪些维度或者工具，可以初步过滤风险性极高的 MEME 项目
CertiK 安全团队：这里不构成任何投资建议，仅仅是介绍一些我们个人常用的几个工具，不能 100% 帮用户过滤风险，仅为用户初步判断一个 MEME 是否存较高风险提供参考。
1）dune.com：一个数据分析平台，可以自定义 query 来对代币的链上数据进行分析和监控，比较灵活，但使用相对复杂，需要一定的学习成本。
2）Dextools.io：一个代币信息集成平台，可以查看一些代币基础信息，如市值，流动性情况，持有人数量，代币分布等，同时也可以进行一些简单的安全风险筛选。
3）Skyknight MemeScan：CertiK 推出的新平台，为评估 MEME 的安全状态提供了解决方案。该平台提供即时的洞察和链上行为分析，包括合约铸币分析、交易控制检测、所有权集中分析、流动性控制评估等等。
OKX Web3钱包安全团队：没有可以 100% 过滤风险的方式和方法，但是从代币安全和项目健康度的角度出发，我们为用户提供几个可以初步过滤掉风险性极高的 MEME 项的维度。需要注意的是，用户不能仅仅依据以下维度就判断项目的安全性。
1）智能合约安全性：可以通过辅助工具验证是否存在源码级别的安全问题。这些工具可以检查项目代码中是否存在恶意逻辑，并识别代码本身的安全漏洞。此外，还需评估合约的权限控制，确保合约所有者的权限不过大，避免其能够随意增发或销毁代币。
2）代币分配和持有分布：通过区块链浏览器查看代币持有者的分布情况，避免参与代币持有过于集中的项目，因为这些项目容易受到操控，且有较高 rugpull 风险
3）流动性和交易活动：观察代币的交易量和价格波动情况，低交易量和高波动性可能意味着项目不稳定或存在操控风险。
4）社区和开发团队活动：项目团队是否公开透明，包括团队成员的背景、经验和社交媒体活动。
当前，OKX Web3钱包也为用户提供了过滤风险代币的能力，从代码安全，交易安全等多层面过滤掉了可能导致用户受损的代币，提供各维度代币信息的同时，为用户 MEME 安全交易体验护航。
Q4：作为 MEME 代币早期流通场所，Launchpad 平台以及 DEX 当前存在哪些局限性或者风险？
CertiK 安全团队：首先，Launchpad 平台和 DEX 必须具备强大的技术支持，以应对 MEME 项目的交易响应速度和交易规模。此外，流动性也是至关重要的一环，相关平台需要监控任何可能影响流动性安全的事件。最后，关于 MEME 的合规风险，平台方必须理解并落实相关的监管政策和要求，以减少可能面临的法律风险。
OKX Web3钱包安全团队：接下来，我们对 Launchpad 平台以及 DEX 当前存在哪些局限性或者风险分别进行介绍。
对于 Launchpad 平台而言，主要包含三点：
第一，平台上推出的项目质量参差不齐，尽管一些 Launchpad 平台会进行审查和尽职调查，但仍有可能未能完全识别出高风险或低质量的项目。
第二，资金管理风险，Launchpad 平台通常会集中管理大量用户资金，这些资金如果管理不当或被恶意挪用，可能导致用户资金损失。此外，平台可能缺乏足够的保障措施来保护用户资金安全。
第三，市场操纵，项目方或大资金玩家可能会在 Launchpad 推出后进行价格操纵，造成市场波动剧烈，影响散户投资者。
对于 DEX 而言，局限相对更多一些
第一，流动性不足，新上架的 MEME 通常在 DEX 上流动性较差，容易导致交易滑点大和价格剧烈波动。
第二，智能合约漏洞，DEX 依赖智能合约进行交易，这些合约如果存在漏洞，可能被黑客利用，造成资金损失。
第三，交易费用高，尤其是在以太坊等网络上，交易费用（Gas 费）可能非常高，影响小额交易者的成本效益。
第四，恶意项目方，任何人都可以部署代币并上线 DEX 交易，有的项目方可能会在合约中故意留下后门函数，使得项目方可以任意操纵代币余额或者导致用户无法卖出代币。
第五，用户体验问题，DEX 的操作对于普通用户来说相对复杂，涉及钱包连接、Gas 费设置等，对入门用户来说体验可能不如中心化交易所（CEX）。
Q 5 ：追问一下，Telegram 机器人代表了加密货币领域基于意图交互的实际表现之一，这是否代表了未来 DEX 的发展趋势？
CertiK 安全团队：Telegram bot 机器人可以显著降低交易门槛，并自动化交易中的部分步骤，使非专业人员能够更方便地进行加密货币交易。然而，必须特别关注这些机器人的具体安全风险。建议对任何与钱包交互的第三方 dApp 进行全面的安全尽职调查，以确保其安全性。
OKX Web3钱包安全团队：Telegram 机器人在加密货币领域的应用展现了基于意图交互的巨大潜力。这种趋势有望通过优化用户体验、增强交易便利性和安全性、扩展金融服务生态系统以及技术创新，推动去中心化交易所（DEX）的未来发展。
1、提升用户体验
简化操作：Telegram 机器人通过自然语言处理，使用户能够使用简单的聊天命令进行交易，简化了复杂的操作流程。
自动交易：用户可以设定自动交易规则，如止损点和止盈点，减少人工操作的风险和时间成本。
2、增强去中心化交易
无缝集成：机器人通过 API 接口与去中心化交易所（DEX）集成，隐藏了复杂的交易操作，降低了用户的学习成本。
实时操作：机器人可以实时监控市场动态，并即时通知用户，使其能够迅速做出交易决策并执行交易。
3、提高安全性
智能合约：机器人利用智能合约确保交易的透明和安全，减少了人为干预和欺诈的可能性。
去中心化：尽管机器人可能是中心化的，但实际交易在去中心化的环境中进行，提高了交易的安全性和透明度。
4、扩展生态系统
多功能平台：Telegram 机器人不仅限于交易，还可以扩展至资产管理、借贷、质押等金融服务，提供一站式的金融解决方案。
增强社区互动：通过 Telegram 平台，机器人能促进用户交流和社区建设，增加用户参与度。
5、技术和市场驱动
创新推动：人工智能和区块链技术的进步将使机器人应用越来越智能和高效，推动更多去中心化应用和服务的出现。
市场接受度：用户对简化和自动化服务的需求日益增长，推动更多 DEX 采用机器人服务以提升竞争力。
Q 6 ：针对高频工具之一，如各类 TG 的 BOT 机器人当前存在的安全风险
CertiK 安全团队：随着加密货币市场的发展，Telegram BOT 机器人在交易和信息获取中变得越来越普遍。然而，这些高频使用的工具也带来了显著的安全风险，使用者在使用时应特别注意以下几个方面。
首先，许多 Telegram BOT 机器人未经安全审计或代码公开，可能存在恶意代码或漏洞。这些恶意 BOT 可能会窃取使用者的私钥、身份信息或其他敏感数据。此外，恶意 BOT 可能会伪装成合法的服务，通过钓鱼攻击诱导使用者输入他们的私钥或助记词，从而窃取资金。因此，使用者应确保只使用官方推荐或经过验证的 BOT，避免点击不明链接或输入敏感信息。
其次，某些 BOT 可能要求过多的权限，如访问使用者的联系人、文件或其他私密信息。使用时应谨慎授予权限，确保 BOT 只获得其正常运行所需的最低权限。同时，BOT 与 Telegram 服务器之间的通讯可能被中间人攻击截获，导致资料外泄或篡改。使用者应确保使用加密通讯的 BOT，并检查其安全通讯协议的实施情况。
第三，许多 Telegram BOT 提供自动化交易功能，但如果这些 BOT 的交易逻辑有漏洞，可能导致严重的财务损失。使用者应在使用此类功能前进行充分的测试，并监控交易行为以防止异常情况。此外，BOT 开发者可能收集并储存大量使用者数据，一旦这些数据被泄露或滥用，使用者隐私将受到严重威胁。使用者应选择有良好信誉和隐私权政策的 BOT，并定期查看其隐私权保护措施。
最后，过度依赖某些 BOT 进行交易或管理资产，可能导致在 BOT 服务中断或关闭时，使用者无法正常进行操作。因此，使用者应避免对单一 BOT 的过度依赖，并准备备份方案。通过了解和防范这些风险，使用者可以更安全地使用 Telegram BOT 机器人，保护自己的资产和隐私安全。
OKX Web3钱包安全团队：类似 TG 的 BOT 机器人在提供便捷服务的同时也带来了很大的风险隐患，接下来，我们举例说明。
第一，私钥的中心化托管风险。多数 Telegram 机器人需要托管用户的私钥，以便于主动签名和发送交易。这意味着用户的私钥存储在第三方服务器上，增加了被盗或滥用的风险。
第二，钓鱼风险。通过 Telegram 机器人发送的钓鱼链接可能诱导用户点击，导致账户信息或私钥被窃取。此外，聊天窗口中的人工诱导（例如假冒客服）可能会骗取用户的助记词或其他敏感信息。
第三，木马风险。某些机器人可能通过发送恶意软件（木马）或恶意 SDK 的方式，感染用户的设备，危及整个系统的安全。
总计，用户在使用各类 BOT 机器人时候，需要谨慎辨别，不要随意点击陌生链接，也不要泄漏自己的私钥。
Q 7 ：用户交易 MEME 的操作误区与风险防范
CertiK 安全团队：首先，对于任何与自己钱包交互的 dApp，包括交易平台和 Telegram bot，用户都应进行安全尽职调查。选择经过安全审计的 dApp 可以降低操作中被攻击的风险，并确保自己的私钥和身份信息的安全。当前，CertiK 通过提供 dApp 的渗透测试服务，帮助用户以减少风险。
其次，MEME 的交易高度依赖于交易的响应速度和频率，因此选择一个稳定且交易费用合理的平台至关重要。在进行交易时，尽量选择那些安全、稳定、快速且交易费用较低的平台，以获得更好的交易体验。比如，上面提及的 CertiK 推出的 MemeScan 平台，可以提供即时的安全状态信息，包括 MEME 的链上行为分析。例如，合约可增发新币、交易可被暂停或被限制、少数地址控制大部分 token、少数地址控制大部分流动性等，希望可以对用户安全交易提供些许帮助。
OKX Web3钱包安全团队：考虑到安全性，用户在进行 MEME 交易时，需要知晓安全操作和风险防范，以确保交易的正确性和安全性。
第一，要选择正确的交易平台。用户应该选择信誉良好且安全性高的加密货币交易所，尽量避免使用未经过验证或不知名的交易平台，可能会面临资产被盗的风险。对于链上交易，要确认项目方的官网，合约的正确性。
第二，开启更高安全性的认证方式。为了更加安全，用户可以在所有交易平台和钱包中启用双因素认证，使用 Google Authenticator 或其他安全应用程序。尽量避免使用短信验证，因为它容易受到 SIM 卡交换攻击的影响。
第三，使用安全性高的钱包。用户尽量使用经过验证的钱包进行交易，并确保安全备份助记词或私钥，存放在安全的地方，避免电子备份。不备份私钥或助记词，设备丢失或损坏时将无法恢复资产。
第四，防范钓鱼。用户需要时刻验证交易用的 url，确保其为官方链接。在遇到问题时确保联系到的是官方的客服，不要理会 Telegram、Discord 等群组中的私信，永远不要点来路不明的链接，签署不知道内容的签名和展示私钥。
第五，安全的网络环境，用户应该在可信的操作系统下进行操作，尽量不要使用公共无线网络。
最后，感谢大家看完 OKX Web3钱包《安全特刊》栏目的第 02 期，当前我们正在紧锣密鼓地准备第 03 期内容，不仅有真实的案例、风险识别、还有安全操作干货，敬请期待！
免责声明
本文仅供参考，本文无意提供 (i) 投资建议或投资推荐；(ii) 购买、出售或持有数字资产的要约或招揽；或 (iii) 财务、会计、法律或税务建议。 持有的数字资产（包括稳定币和 NFTs）涉及高风险，可能会大幅波动，甚至变得毫无价值。您应根据自己的财务状况仔细考虑交易或持有数字资产是否适合您。请您自行负责了解和遵守当地的有关适用法律和法规。
OKX Web3 CertiK：MEME「大冒险」与安全「真心话」

Apskati vairāk satura no autora

Jaunākās ziņas
