全球数字财富领导者

安全特刊02 | OKX Web联合CertiK:MEME「大冒险」与安全「真心话」

2024-05-23 16:21:46
金色财经
金色财经
关注
0
0
获赞
粉丝
喜欢 0 0收藏举报
— 分享 —
摘要:OKX Web3钱包特别策划了《安全特刊》栏目,针对不同类型的链上安全问题进行专期解答。

引言

OKX Web3钱包特别策划了《安全特刊》栏目,针对不同类型的链上安全问题进行专期解答。通过最发生在用户身边最真实案例,与安全领域专家人士或者机构共同联合,由不同视角进行双重分享与解答,从而由浅入深梳理并归纳安全交易规则,旨在加强用户安全教育的同时,帮助用户从自身开始学会保护私钥以及钱包资产安全。

玩MEME就是一场大冒险

Rug Pull(撤池子)、貔貅盘、砸穿、被夹......诸多陷阱皆在前路

我一直是一名勇敢的冒险者,直到我的膝盖中了“一箭”

本期是安全特刊第02期,特邀行业知名安全机构CertiK与OKX Web3团队,从实操指南的角度出发,来分享常见的MEME链上交易安全风险和防范措施,希望可以对MEME用户有所帮助。

cXBuW28X0RZpwdLysaTICO9NHxCF5uL4J0Cu8FDR.png

CertiK安全团队:CertiK由耶鲁大学和哥伦比亚大学的两位教授创立,利用目前最先进的形式化验证技术、AI审计技术以及安全专家人工审计,通过扫描及监控区块链协议和智能合约,保证其安全性。迄今为止,CertiK已获得了超过4000家企业客户的认可, 挖掘了近7万个代码漏洞,保护了超过4000亿美元的数字资产免受损失。

OKX Web3钱包安全团队:大家好,非常开心可以进行本次分享。OKX Web3钱包安全团队主要负责OKX Web3钱包的安全能力建设,提供产品安全、用户安全、交易安全等多重防护服务,7X24小时守护用户钱包安全的同时,为维护整个区块链安全生态贡献力量。

Q1:发生在身边的MEME风险真实案例

OKX Web3钱包安全团队:这类风险案例类型比较多。我们挑选了几个用户在交易MEME时,遭遇的比较经典的案例:

案例一:貔貅盘

用户A,在推特上看到某MEME讨论热度高,并在该MEME的推文评论中发现了代币地址,经过查看该MEME的交易数据后,发现其表现很好,于是进行了购买。随着该MEME价格不断上升,用户A想要卖出并锁定利润,但却却始终无法卖出。后经我们团队排查发现,该MEME代币是貔貅盘,用户地址因为被拉黑所以无法卖出。

案例二:恶意Rug Pull

用户B,经常在某Telegram社群中发言并参加活动,被很多群友互加为通讯录好友。有一天,某群友私聊用户B并向他推荐某个MEME项目,并介绍称该项目十分火热、潜力巨大,随后立即提供了该MEME代币地址。用户B有些心动,于是到某数据分析工具上进行查看,发现该MEME代币流动性LP已销毁且没有巨鲸持仓,由此认为该MEME项目比较可靠,进行了购买。但是到了第二天,用户B却突然发现,该MEME项目流动性已被耗尽。后经我们团队排查发现,该代币是恶意Rug Pull代币,其存在后门逻辑可以大量增发代币。

发生在MEME用户身上的风险案例层出不穷,我们希望可以通过接下来的对话,为用户可以提供一些安全参考指南,不构成任何投资建议,仅供大家进行学习和交流。

Q2:交易MEME时,EVM公链和Solana网络上的常见风险

CertiK安全团队:MEME风险分为两类:一类是链上风险场景、另外一类就是普遍风险,与区块链技术无关。

在介绍具体的链上风险场景之前,我们先来介绍普遍风险,这主要包括发币成本极低、代币价格易被操纵、项目高度中心化、投资者交易磨损大和Rugpull骗局5大类。

1、发币成本极低

通常而言,发布MEME项目的技术开发量极低甚至完全没有,以至于出现了像PandaTool这样的一键发币工具。正是由于极低的开发成本,使得项目方内部人员和早期投资人员获得代币的成本极低,再加上MEME项目本身并无实际基本面,一旦市场不再“FOMO”(Fear of Missing Out)时,就会导致这些极低成本的代币被迅速抛售,使得后来的投资者承担巨大的损失。

2、代币价格易被操纵

MEME的价格容易被操纵,一方面是由于其缺乏实质性技术支持、内在价值、以及发行门槛低,导致任何人都可以轻松创建和发行 MEME ,这使得市场上充斥着大量强投机性币种。

同时,MEME 通常依赖社交媒体和网络热度来推动其价格,而这些因素极易受到大户或有组织的群体操纵。这些投机者可以通过大量买入或卖出,以及制造虚假信息和市场噪音来操纵价格,造成价格剧烈波动,吸引更多散户投资者追涨杀跌,从而进一步加剧价格操纵的可能性。

3、项目高度中心化

MEME项目通常缺乏去中心化治理机制,决策权集中在少数开发者和核心团队手中,使得项目方向和管理易受个人利益驱动,增加了投资者的风险。在决策权中心化的基础上,还可能会产生代币合约和程序的控制权中心化、代币持有中心化、流动性控制中心化等种种中心化风险。

4、投资者交易磨损大

MEME交易磨损大,第一归因于其流动性差。由于市场上买卖MEME的参与者相对较少、交易量不足,这导致了买卖差价(即买价和卖价之间的差距)较大,使得交易成本增加。此外,流动性差的 MEME 币在大额交易时容易引起价格剧烈波动,进一步加大了交易风险和成本。投资者在买入或卖出时,往往需要承受更高的滑点和较大的价格影响,从而导致交易效率低下和交易成本上升。

第二则是归因于“交易税”机制。许多 MEME项目为了激励投资者持有或维持项目资金,通常会在每笔交易中收取一定比例的交易税。这些税费通常用于回购代币、奖励持有者或支持项目发展。然而,这种交易税增加了交易成本,使得频繁交易变得更加昂贵。交易者在每次买入或卖出时,都需要支付额外的税费,加剧了交易磨损,进一步降低了流动性。投资者在进行MEME交易时,必须承受更高的费用和风险。

5、Rugpull骗局

MEME容易成为 Rugpull 骗局的目标,原因在于其高度的匿名性、缺乏透明度和监管。以下是几种常见的 Rugpull 方式及其现象:

1)流动性抽干(Liquidity Pull):

方式:开发团队会在去中心化交易所(DEX)创建一个流动性池,将代币和主流加密货币(如 ETH、USDT 等)添加到池中。吸引足够的投资者后,开发团队会突然撤出所有流动性,使得代币无法交易。

现象:投资者发现无法卖出代币,代币价格迅速归零,流动性池显示几乎没有资金残留。

2)开发者抛售(Developer Dumping)

方式:项目方或早期持有者持有大量代币,当市场需求被炒高后,他们会在短时间内抛售手中大部分或全部代币,造成价格暴跌。

现象:交易记录中出现巨额卖单,代币价格急剧下跌,市场信心崩溃,交易量迅速减少。

3)项目伪装(Fake Projects):

方式:不法分子会创建一个虚假的 MEME 币项目,编造虚假愿景和路线图,通过社交媒体和名人背书吸引投资者。一旦筹集到足够的资金,他们会关闭项目并卷款而逃。

现象:项目网站、社交媒体账户突然消失,开发团队无法联系,投资者账户中的代币价值迅速贬低。

4)合约漏洞(Contract Exploits):

方式:开发团队故意在智能合约中留有后门或漏洞,使他们能够在特定条件下操纵合约,从而偷走投资者的资金。

现象:代币交易异常或突然停止,投资者无法转移或出售代币,合约地址显示大量资金被转移到未知账户。

5)假冒分叉(Fake Forks):

方式:声称对原有代币进行升级或分叉,要求持有者将旧代币交换为新代币,实际上是为了收集并占有这些旧代币。

现象:旧代币失去价值,所谓的新代币无法在任何交易所交易,项目团队失联。

接下来,我们来介绍,用户在EVM系公链&Solana网络上,进行MEME交易时常见的链上风险。为了方便用户更直接的对比风险类型差异,我们通过表格的形式来分享。

ivwtsQTEOuvz7MENGjnLQ5pnSG0Q22YiGf3BKY8j.png

图片来源: CertiK安全团队

OKX Web3钱包安全团队:EVM系公链与Solana是用户进行MEME交易的首选网络,两者在链上风险类型方面存在差异,这与两者的代币发行机制不同等因素有关。

第一,EVM系公链。由于EVM系公链代币发行自由度很高、且代币内容由开发者实现,当前在EVM系公链上进行MEME交易,常见链上风险主要包括2类:

(一)存在恶意逻辑的MEME

当市场出现火热的MEME时,会有各种伪造成热门MEME的恶意代币出现,这类型恶意代币通常会有较好的交易数据,引导用户误判进而交易到恶意代币,从而造成损失。当前常见的恶意代币主要有2类:

1、貔貅盘:是指只能买入不能卖出的代币。这类型恶意代币通常通过设置100%税率或者特殊转账限制逻辑,导致用户无法卖出代币。

2、恶意rug pull代币:是指存在隐藏增发逻辑的代币。这类型恶意代币通过隐藏增发逻辑,然后增发代币来耗尽代币流动性。

(二)项目方作恶

当前项目方作恶也主要包括2种类型:特权函数作恶、直接砸盘。

1)特权函数作恶:项目方通过特权函数,如mint函数,增发代币砸盘。

2)直接砸盘:项目方直接使用持有代币砸盘。

第二,Solana链。值得注意的是,Solana网络发行代币是通过固定官方渠道,因此在Solana链上进行MEME交易时,常见的链上风险主要来自项目方作恶。

(一)特权函数作恶

项目方通过特权函数,如mint函数来增发代币砸盘;或者通过冻结指令,来冻结用户地址,从而达到类似貔貅盘的目的,让用户无法卖出。

(二)直接砸盘

项目方直接使用持有代币砸盘。值得提醒的是,部分恶意MEME项目方会通过分发持有代币。来躲过代币集中持有的审查。

Q3:哪些维度或者工具,可以初步过滤风险性极高的MEME项目

CertiK安全团队:这里不构成任何投资建议,仅仅是介绍一些我们个人常用的几个工具,不能100%帮用户过滤风险,仅为用户初步判断一个MEME是否存较高风险提供参考。

1)dune.com:一个数据分析平台,可以自定义query来对代币的链上数据进行分析和监控,比较灵活,但使用相对复杂,需要一定的学习成本。

2)Dextools.io:一个代币信息集成平台,可以查看一些代币基础信息,如市值,流动性情况,持有人数量,代币分布等,同时也可以进行一些简单的安全风险筛选。

3)Skyknight MemeScan:CertiK推出的新平台,为评估MEME的安全状态提供了解决方案。该平台提供即时的洞察和链上行为分析,包括合约铸币分析、交易控制检测、所有权集中分析、流动性控制评估等等。

iQusQZisduPIrlq2USq4JYhUqWnOgg2P8MKTUe1d.png

OKX Web3钱包安全团队:没有可以100%过滤风险的方式和方法,但是从代币安全和项目健康度的角度出发,我们为用户提供几个可以初步过滤掉风险性极高的MEME项的维度。需要注意的是,用户不能仅仅依据以下维度就判断项目的安全性。

1)智能合约安全性:可以通过辅助工具验证是否存在源码级别的安全问题。这些工具可以检查项目代码中是否存在恶意逻辑,并识别代码本身的安全漏洞。此外,还需评估合约的权限控制,确保合约所有者的权限不过大,避免其能够随意增发或销毁代币。

2)代币分配和持有分布:通过区块链浏览器查看代币持有者的分布情况,避免参与代币持有过于集中的项目,因为这些项目容易受到操控,且有较高rugpull风险

3)流动性和交易活动:观察代币的交易量和价格波动情况,低交易量和高波动性可能意味着项目不稳定或存在操控风险。

4)社区和开发团队活动:项目团队是否公开透明,包括团队成员的背景、经验和社交媒体活动。

当前,OKX Web3钱包也为用户提供了过滤风险代币的能力,从代码安全,交易安全等多层面过滤掉了可能导致用户受损的代币,提供各维度代币信息的同时,为用户MEME安全交易体验护航。

yCLgciLfom2UTPvnLOpleqmIhsRgj9smGquovXCA.png

Q4:作为MEME代币早期流通场所,Launchpad平台以及DEX当前存在哪些局限性或者风险?

CertiK安全团队:首先,Launchpad平台和DEX必须具备强大的技术支持,以应对MEME项目的交易响应速度和交易规模。此外,流动性也是至关重要的一环,相关平台需要监控任何可能影响流动性安全的事件。最后,关于MEME的合规风险,平台方必须理解并落实相关的监管政策和要求,以减少可能面临的法律风险。

OKX Web3钱包安全团队:接下来,我们对Launchpad平台以及DEX当前存在哪些局限性或者风险分别进行介绍。

对于Launchpad平台而言,主要包含三点:

第一,平台上推出的项目质量参差不齐,尽管一些Launchpad平台会进行审查和尽职调查,但仍有可能未能完全识别出高风险或低质量的项目。

第二,资金管理风险,Launchpad平台通常会集中管理大量用户资金,这些资金如果管理不当或被恶意挪用,可能导致用户资金损失。此外,平台可能缺乏足够的保障措施来保护用户资金安全。

第三,市场操纵,项目方或大资金玩家可能会在Launchpad推出后进行价格操纵,造成市场波动剧烈,影响散户投资者。

对于DEX而言,局限相对更多一些

第一,流动性不足,新上架的MEME通常在DEX上流动性较差,容易导致交易滑点大和价格剧烈波动。

第二,智能合约漏洞,DEX依赖智能合约进行交易,这些合约如果存在漏洞,可能被黑客利用,造成资金损失。

第三,交易费用高,尤其是在以太坊等网络上,交易费用(Gas费)可能非常高,影响小额交易者的成本效益。

第四,恶意项目方,任何人都可以部署代币并上线DEX交易,有的项目方可能会在合约中故意留下后门函数,使得项目方可以任意操纵代币余额或者导致用户无法卖出代币。

第五,用户体验问题,DEX的操作对于普通用户来说相对复杂,涉及钱包连接、Gas费设置等,对入门用户来说体验可能不如中心化交易所(CEX)。

Q5:追问一下,Telegram 机器人代表了加密货币领域基于意图交互的实际表现之一,这是否代表了未来DEX的发展趋势?

CertiK安全团队:Telegram bot机器人可以显著降低交易门槛,并自动化交易中的部分步骤,使非专业人员能够更方便地进行加密货币交易。然而,必须特别关注这些机器人的具体安全风险。建议对任何与钱包交互的第三方dApp进行全面的安全尽职调查,以确保其安全性。

OKX Web3钱包安全团队:Telegram机器人在加密货币领域的应用展现了基于意图交互的巨大潜力。这种趋势有望通过优化用户体验、增强交易便利性和安全性、扩展金融服务生态系统以及技术创新,推动去中心化交易所(DEX)的未来发展。

1、提升用户体验

简化操作:Telegram机器人通过自然语言处理,使用户能够使用简单的聊天命令进行交易,简化了复杂的操作流程。

自动交易:用户可以设定自动交易规则,如止损点和止盈点,减少人工操作的风险和时间成本。

2、增强去中心化交易

无缝集成:机器人通过API接口与去中心化交易所(DEX)集成,隐藏了复杂的交易操作,降低了用户的学习成本。

实时操作:机器人可以实时监控市场动态,并即时通知用户,使其能够迅速做出交易决策并执行交易。

3、提高安全性

智能合约:机器人利用智能合约确保交易的透明和安全,减少了人为干预和欺诈的可能性。

去中心化:尽管机器人可能是中心化的,但实际交易在去中心化的环境中进行,提高了交易的安全性和透明度。

4、扩展生态系统

多功能平台:Telegram机器人不仅限于交易,还可以扩展至资产管理、借贷、质押等金融服务,提供一站式的金融解决方案。

增强社区互动:通过Telegram平台,机器人能促进用户交流和社区建设,增加用户参与度。

5、技术和市场驱动

创新推动:人工智能和区块链技术的进步将使机器人应用越来越智能和高效,推动更多去中心化应用和服务的出现。

市场接受度:用户对简化和自动化服务的需求日益增长,推动更多DEX采用机器人服务以提升竞争力。

Q6:针对高频工具之一,如各类TG的BOT机器人当前存在的安全风险

CertiK安全团队:随着加密货币市场的发展,Telegram BOT机器人在交易和信息获取中变得越来越普遍。然而,这些高频使用的工具也带来了显著的安全风险,使用者在使用时应特别注意以下几个方面。

首先,许多Telegram BOT机器人未经安全审计或代码公开,可能存在恶意代码或漏洞。这些恶意BOT可能会窃取使用者的私钥、身份信息或其他敏感数据。此外,恶意BOT可能会伪装成合法的服务,通过钓鱼攻击诱导使用者输入他们的私钥或助记词,从而窃取资金。因此,使用者应确保只使用官方推荐或经过验证的BOT,避免点击不明链接或输入敏感信息。

其次,某些BOT可能要求过多的权限,如访问使用者的联系人、文件或其他私密信息。使用时应谨慎授予权限,确保BOT只获得其正常运行所需的最低权限。同时,BOT与Telegram服务器之间的通讯可能被中间人攻击截获,导致资料外泄或篡改。使用者应确保使用加密通讯的BOT,并检查其安全通讯协议的实施情况。

第三,许多Telegram BOT提供自动化交易功能,但如果这些BOT的交易逻辑有漏洞,可能导致严重的财务损失。使用者应在使用此类功能前进行充分的测试,并监控交易行为以防止异常情况。此外,BOT开发者可能收集并储存大量使用者数据,一旦这些数据被泄露或滥用,使用者隐私将受到严重威胁。使用者应选择有良好信誉和隐私权政策的BOT,并定期查看其隐私权保护措施。

最后,过度依赖某些BOT进行交易或管理资产,可能导致在BOT服务中断或关闭时,使用者无法正常进行操作。因此,使用者应避免对单一BOT的过度依赖,并准备备份方案。通过了解和防范这些风险,使用者可以更安全地使用Telegram BOT机器人,保护自己的资产和隐私安全。

OKX Web3钱包安全团队:类似TG的BOT机器人在提供便捷服务的同时也带来了很大的风险隐患,接下来,我们举例说明。

第一,私钥的中心化托管风险。多数 Telegram 机器人需要托管用户的私钥,以便于主动签名和发送交易。这意味着用户的私钥存储在第三方服务器上,增加了被盗或滥用的风险。

第二,钓鱼风险。通过 Telegram 机器人发送的钓鱼链接可能诱导用户点击,导致账户信息或私钥被窃取。此外,聊天窗口中的人工诱导(例如假冒客服)可能会骗取用户的助记词或其他敏感信息。

第三,木马风险。某些机器人可能通过发送恶意软件(木马)或恶意 SDK 的方式,感染用户的设备,危及整个系统的安全。

总计,用户在使用各类BOT机器人时候,需要谨慎辨别,不要随意点击陌生链接,也不要泄漏自己的私钥。

Q7:用户交易MEME的操作误区与风险防范

CertiK安全团队:首先,对于任何与自己钱包交互的dApp,包括交易平台和Telegram bot,用户都应进行安全尽职调查。选择经过安全审计的dApp可以降低操作中被攻击的风险,并确保自己的私钥和身份信息的安全。当前,CertiK通过提供dApp的渗透测试服务,帮助用户以减少风险。

其次,MEME的交易高度依赖于交易的响应速度和频率,因此选择一个稳定且交易费用合理的平台至关重要。在进行交易时,尽量选择那些安全、稳定、快速且交易费用较低的平台,以获得更好的交易体验。比如,上面提及的CertiK推出的MemeScan平台,可以提供即时的安全状态信息,包括MEME的链上行为分析。例如,合约可增发新币、交易可被暂停或被限制、少数地址控制大部分token、少数地址控制大部分流动性等,希望可以对用户安全交易提供些许帮助。

OKX Web3钱包安全团队:考虑到安全性,用户在进行MEME交易时,需要知晓安全操作和风险防范,以确保交易的正确性和安全性。

第一,要选择正确的交易平台。用户应该选择信誉良好且安全性高的加密货币交易所,尽量避免使用未经过验证或不知名的交易平台,可能会面临资产被盗的风险。对于链上交易,要确认项目方的官网,合约的正确性。

第二,开启更高安全性的认证方式。为了更加安全,用户可以在所有交易平台和钱包中启用双因素认证,使用Google Authenticator或其他安全应用程序。尽量避免使用短信验证,因为它容易受到SIM卡交换攻击的影响。

第三,使用安全性高的钱包。用户尽量使用经过验证的钱包进行交易,并确保安全备份助记词或私钥,存放在安全的地方,避免电子备份。不备份私钥或助记词,设备丢失或损坏时将无法恢复资产。

第四,防范钓鱼。用户需要时刻验证交易用的url,确保其为官方链接。在遇到问题时确保联系到的是官方的客服,不要理会Telegram、Discord等群组中的私信,永远不要点来路不明的链接,签署不知道内容的签名和展示私钥。

第五,安全的网络环境,用户应该在可信的操作系统下进行操作,尽量不要使用公共无线网络。

最后,感谢大家看完OKX Web3钱包《安全特刊》栏目的第02期,当前我们正在紧锣密鼓地准备第03期内容,不仅有真实的案例、风险识别、还有安全操作干货,敬请期待!

免责声明:

本文仅供参考,本文无意提供 (i) 投资建议或投资推荐;(ii) 购买、出售或持有数字资产的要约或招揽;或 (iii) 财务、会计、法律或税务建议。 持有的数字资产(包括稳定币和 NFTs)涉及高风险,可能会大幅波动,甚至变得毫无价值。您应根据自己的财务状况仔细考虑交易或持有数字资产是否适合您。请您自行负责了解和遵守当地的有关适用法律和法规。

来源:金色财经

敬告读者:本文为转载发布,不代表本网站赞同其观点和对其真实性负责。FX168财经仅提供信息发布平台,文章或有细微删改。
go