Um Guia de Sobrevivência de Segurança da Memecoin

Riscos de Centralização

Recentemente, o incidente do Dexx mais uma vez lembrou os utilizadores para estarem atentos aos riscos de centralização da plataforma. Nesta secção, focamo-nos em analisar o Pump.Fun, atualmente a maior plataforma de lançamento de memecoins:

Através de transações on-chain, identificamos o endereço do contrato Pump.Fun como 6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P.
Este código de contrato não é de código aberto e é controlado por um endereço multisig (7gZufwwAo17y5kg8FMyJy2phgpvv9RSdzWtdXiWHjFr8).

No entanto, após uma investigação mais aprofundada, verificou-se que este endereço multisig é efetivamente controlado por um único endereço (4zJkeipCFGvfcJvKm4TY57ED9uEdL3sBRvs8TPdZKG5Q), criando um único ponto de falha e um risco significativo de centralização.

Solscan - Endereço do Contrato Pump.Fun

Em 17 de maio, devido a problemas operacionais, a Pump.Fun sofreu uma fuga da chave privada, resultando numa perda de aproximadamente $1.9 milhões.

A gestão adequada das chaves privadas do projeto e a aplicação de carteiras multisig (multisignature) são especialmente cruciais para prevenir pontos únicos de falha.

Ao emitir um memecoin através do Pump.Fun, os utilizadores devem criar tokens dentro de um “pool interno” usando $SOL. O preço destes tokens durante o processo de criação é determinado por uma Curva de Ligação (também conhecida como modelo de curva de ligação).

Para cada memecoin, a Pump.Fun cria um programa de Curva de Vinculação correspondente, cujos campos de dados incluem o seguinte:

tokenTotalSupply está definido para 1 bilhão de tokens.

virtualSolReserves, virtualTokenReserves, realTokenReserves e realSolReserves servem como parâmetros para o criador de mercado automatizado (AMM) calcular o preço do token.

Uma vez que outros utilizadores tenham criado 800 milhões de tokens dentro do pool interno, o campo completo muda para verdadeiro, após o que a memecoin fica disponível para negociação pública num pool de liquidez na Raydium.

Ao inspecionar os dados on-chain de qualquer memecoin emitida através do Pump.Fun, podemos observar que a autoridade de atualização para esses contratos é um endereço privilegiado conhecido como a Autoridade de Emissão de Tokens Pump.Fun (TSLvdd1pWpHVjahSpsvCXUbgwsL3JAcvokwaKt1eokM), que é responsável pela emissão.

O campo mint contém o endereço e as informações do token para o contrato memecoin respectivo.

Estes contratos de memecoin não têm funcionalidades de extensão de token; são a forma mais simples de tokens SPL.

Como resultado, não existem endereços privilegiados que possam explorar extensões de token, como Delegado Permanente ou taxas de transferência, para prejudicar os utilizadores que participam na negociação de memecoins.

Incidente e Controvérsia do Cheems

No dia 25 de novembro, a Binance anunciou a listagem do contrato Cheems.

O preço do token disparou imediatamente 35%, mas em menos de um minuto, caiu mais de 60%, desencadeando uma ampla controvérsia.

Ao analisar as transações on-chain de $Cheems, descobriu-se que o endereço responsável pela venda foi 0xbb8365B1BA2462ffDce9C894Ada84478f474Fefc.

Usando a análise Beosin KYT (Conheça Sua Transação) neste endereço, os resultados são mostrados abaixo:

Em 25 de novembro, este endereço vendeu aproximadamente 331,2 bilhões de $Cheems em um minuto através do PancakeSwap e do agregador DEX da OKX, recebendo 406,21 $BNB em troca.

Imediatamente a seguir, depositou todo o $BNB numa conta da Binance.

Diagrama de Fluxo de Fundos Beosin KYT

Embora muitos utilizadores suspeitassem desta morada de “insider trading,” uma análise mais aprofundada de KYT das suas transações históricas sugere que é mais provável que seja uma Morada de Dinheiro Inteligente com um histórico de atividades comerciais estratégicas:

• A partir de 18 de novembro, o endereço começou a acumular $Cheems e, durante o processo de acumulação, também vendeu periodicamente partes.

• Em 18 de novembro, o endereço comprou cerca de 131 biliões de $Cheems e, quatro horas depois, vendeu 41,3 biliões de $Cheems.

• Em 21 de novembro, retirou 379,5 bilhões de $Cheems da Gate.io e vendeu 175,8 bilhões de $Cheems duas horas depois na cadeia.

• Em 22 e 23 de novembro, houve operações adicionais de compra grande e venda parcial.

O fluxo geral de fundos é mostrado abaixo:

Diagrama de Fluxo de Fundos do Beosin KYT

Endereços envolvidos nesta controvérsia incluem:

• 0xbb8365B1BA2462ffdce9c894ada84478f474fefc

• 0x0d0707963952f2fba59dd06f2b425ace40b492fe

• 0xbff62cee932fe7496a88c9193e9ba3fd5eeff46d

Ao negociar memecoins, os utilizadores também podem encontrar tokens de scam "Pi Xiu" (scams "貔貅盘").
Anteriormente, a Beosin tinha ilustrado tais golpes com estudos de caso para ajudar os utilizadores a compreender e prevenir essas armadilhas. Aqui está uma análise mais abrangente dos golpes comuns de memecoin:

Tokens Falsos

Todos os dias, são lançados grandes números de novas memecoins em várias blockchains, criando a ilusão de oportunidades intermináveis para enriquecer.
Na realidade, os projetos falsificados são generalizados, tornando difícil para os utilizadores distinguir tokens reais dos falsos.

Muitos implementadores de memecoin copiam o nome e o símbolo de projetos já populares, criando novos contratos de token com nomes idênticos.
Se os utilizadores não verificarem cuidadosamente o endereço do contrato, podem comprar acidentalmente tokens falsificados — ou até mesmo tokens de esquemas fraudulentos — levando a situações em que os tokens não podem ser vendidos.

Além disso, as disputas dentro da comunidade cripto e entre os emissores de tokens sobre a formatação do nome da memecoin (capitalização) também causaram extrema volatilidade de preços.

Controvérsias recentes e flutuações de preços envolvendo $NEIRO vs. $neiro e $ELIZA vs. $eliza ilustram o alto risco associado às mememoedas.

Os utilizadores devem pesquisar as informações relevantes sobre memecoins, monitorizar o feedback da comunidade e manter-se alerta para possíveis manipulações de mercado pelas equipas do projeto através do controlo da informação.

Restrições de Venda

Durante a experiência de negociação de memecoin, os utilizadores podem encontrar golpes de “Pi Xiu” onde os tokens que compram ou não podem ser vendidos ou são extremamente difíceis de vender.
Aqui estão os métodos comuns que os golpistas usam através do código de contrato inteligente para restringir a venda:

(1) Mecanismos de Lista Negra / Lista Branca

Os emissores de tokens podem incorporar funções de lista negra ou lista branca nos contratos de tokens para restringir transferências de tokens.

Por exemplo, se o endereço de um utilizador for adicionado a uma lista negra, poderão ser impedidos de chamar funções como transfer() ou transferFrom() para mover tokens.

• Apenas endereços não listados estão autorizados a transferir tokens.

Apenas os endereços que não constam na lista negra podem ser usados para transferir tokens.

(2) Manipulação de Saldo

Os emissores também podem manipular os saldos dos tokens diretamente através do contrato inteligente, reduzindo drasticamente o saldo de tokens de um usuário.

• Se a alteração do saldo for registada apenas no armazenamento interno do contrato, a vítima continuará a ver o seu saldo original exibido nos exploradores de blockchain, mas na realidade não conseguirá vender mais do que o saldo manipulado.

• Se a atualização do saldo for confirmada na cadeia, o utilizador verá as suas participações em memecoin diminuir visivelmente - ou mesmo tornar-se zero.

Aqui está um exemplo de código Solidity que define o saldo de um endereço em lista negra como zero:

Fora do ecossistema EVM, a Solana também tem uma característica de manipulação de saldo semelhante através de extensões de Delegado Permanente:

• O Delegado Permanente é uma extensão oficial do token Solana que concede aos administradores a autoridade de transferir ou queimar tokens a qualquer momento.

• Foi originalmente projetado para casos de uso específicos como recuperação de token ou supervisão de conformidade de stablecoin.

• Durante a criação de tokens, um criador pode inicializar o Delegado Permanente através do comando createInitializePermanentDelegateInstruction.

No entanto, como as permissões do Delegado Permanente são tão abrangentes, alguns atores maliciosos exploram essa funcionalidade:

• Eles emitem tokens,

• Atrair utilizadores para comprar,

• Em seguida, transfira ou destrua tokens detidos pelo usuário para obter lucro.

Exemplo: Usando Delegado Permanente para queimar os tokens de um usuário.

Usar Delegado Permanente para destruir tokens

(3) Limites de Transação

Outra razão pela qual os utilizadores podem encontrar-se incapazes de vender mememoedas é a presença de limiares de transação severos codificados no contrato:

• O contrato inteligente pode exigir que os usuários detenham uma quantidade de tokens muito superior à que realmente possuem para executar uma venda.

• Ou pode impor impostos de transação extremamente altos.

Por exemplo, no trecho de código seguinte, o programador do contrato ajusta o parâmetro amountToBurn para manipular o imposto sobre transações:

• Quando o parâmetro é definido como 2, impõe efetivamente um imposto de 50% sobre cada transação do utilizador.

Nas extensões de token da Solana, também existe uma funcionalidade de Taxa de Transferência, que permite a aplicação de um imposto sobre cada transação de token.
Configurar a Taxa de Transferência requer a definição dos seguintes campos:

• Taxa em pontos base: A taxa cobrada por cada transferência, medida em pontos base.

• Taxa máxima: O limite da taxa de transação.

• Autoridade da taxa de transferência: O endereço autorizado a modificar a TransferFee.

• Retirar autoridade retida: O endereço autorizado a transferir tokens retidos de contas de tokens.

Uma vez que existe um limite máximo de taxas, é relativamente raro que a Solana utilize taxas de transação excessivas para criar golpes de Pi Xiu. Em vez disso, as perdas são mais frequentemente causadas por transferências de tokens ou destruição de tokens.

(4) Pausa de Transação

Os emissores de tokens podem implementar uma função de pausa em todo o contrato para restringir a negociação.
Uma vez que o contrato entra num estado de pausa, as funções de transferência do token ficam completamente desativadas, impedindo qualquer negociação adicional.

Por exemplo, no excerto de código Solidity abaixo, as transferências de tokens só podem ocorrer se o contrato não estiver em pausa:

(5) Tempo Mínimo de Manutenção

Após comprar um memecoin, os utilizadores podem ser obrigados a mantê-lo por um período mínimo antes de poderem negociá-lo.
Este período de retenção é arbitrariamente definido pelo emissor do token, e eles podem modificá-lo a qualquer momento.
Ao definir um tempo de espera extremamente longo, os utilizadores podem ser eficazmente aprisionados e impedidos de vender.

Exemplo de trecho de Solidity:

Mecanismos de Taxa Únicos

Após um usuário comprar memecoin, não serão cobradas taxas de manuseio ao negociar com outros usuários. Quando é vendido através de DEX (como Uniswap), serão cobradas taxas de manuseio. Além da venda, a renda do usuário proveniente da adição de liquidez ou participação em staking também será afetada.

Por exemplo, no exemplo de código Solidity abaixo, a transferência só cobrará transações de token se o endereço de destino for o endereço do contrato.

Ou a taxa de manuseamento não é deduzida do montante da transferência, mas reduz adicionalmente o saldo do remetente. Uma vez que este método não seja tratado adequadamente, afetará seriamente o preço na DEX, fazendo com que o valor do token retorne a 0.

Redução adicional no saldo do endereço de origem

Cunhagem de Token

A criação de tokens é uma forma comum de executar um rug pull.

Se o proprietário do contrato ou um endereço privilegiado tiver direitos de cunhagem, poderão emitir tokens adicionais e vendê-los para obter lucro.

Este é um risco frequente em todo o ecossistema EVM, Solana e TON.

Aqui está um exemplo de uma função de cunhagem de um token Jetton na TON que inclui capacidades de cunhagem.

Alocação Centralizada de Tokens

A distribuição centralizada de tokens é um grande risco quando uma equipa de projeto controla a maior parte do fornecimento de tokens.

• Eles podem manipular decisões de governança através de votação com tokens.

• Eles também podem mover o mercado ao realizar grandes compras ou vendas.

Exemplo: Em Solidity, todos os tokens podem ser atribuídos ao endereço do deployer aquando da criação do contrato:

Atualizações do Proxy

Usar contratos proxy é um design comum de contrato inteligente que permite que a lógica seja atualizada sem alterar a estrutura de armazenamento.
Embora isso aumente a flexibilidade, também introduz riscos sérios:

• Os emissores podem modificar arbitrariamente a lógica do contrato,

• Potencialmente levando a perda ou roubo dos ativos dos detentores de tokens.

Exemplo: Em Solidity, um administrador pode atualizar o endereço lógico:

Como manter-se seguro?

Com scams generalizados durante a febre das memecoins, os utilizadores devem estar especialmente vigilantes.
A equipa de segurança Beosin recomenda:

1. Mantenha-se racional
   Tenha cuidado com as narrativas de "ficar rico rapidamente" de memecoin e o entusiasmo dos influenciadores.
   Mantenha-se racional após o lançamento de um novo token em uma DEX - evite FOMO e seguir cegamente.

2. Não confie em "Dicas Internas" ou "Notícias Confidenciais"
   Estas são frequentemente armadilhas projetadas para atrair os utilizadores para investimentos arriscados sem a devida pesquisa.

3. Antes de comprar qualquer token, verifique estes pontos-chave:

   • O contrato do token é de código aberto?
   • Tem um relatório de auditoria?
   • Usa mecanismos de lista negra/lista branca?
   • Existem impostos sobre transações? Como são eles recolhidos?
   • Existe um mecanismo de pausa?
   • Existem restrições especiais (por exemplo, tempo mínimo de retenção, limites de montante de transferência)?
   • Que funções pode o proprietário do contrato chamar? Os privilégios são muito altos?
   • O contrato utiliza um padrão de proxy?
   • Como é gerida a autoridade do proprietário do contrato (multisig ou renunciada)?

4. Utilize Ferramentas de Detecção de Risco
   Muitas plataformas e ferramentas fornecem verificações de contrato automatizadas.
   Sempre consulte várias fontes antes de negociar.
   Ferramentas recomendadas:

   • Honeypot
   • Token Sniffer
   • Mercado OKX Web3 DEX
   • GoPlus
   • De.Fi Scanner
   • Extensão do Chrome Beosin Alert

Resumir

Neste artigo, resumimos as práticas maliciosas comuns no mundo das memecoins.

Apesar das oportunidades e entusiasmo, as mememoedas vêm com uma variedade de armadilhas.

Os utilizadores devem permanecer altamente vigilantes e cautelosos ao negociar memecoins para minimizar o risco de perda financeira.

No mundo do Web3, a segurança vem sempre em primeiro lugar.

Aviso legal:

1. Este artigo é uma reedição de [ForesightNews], com direitos autorais pertencentes ao autor original [Beosin].
   Se houver alguma objeção à reimpressão, entre em contato com oGate Learnequipa para tratamento rápido.

2. Aviso Legal: As opiniões expressas neste artigo são exclusivamente do autor e não constituem aconselhamento de investimento.

3. Outras versões deste artigo em outras línguas foram traduzidas pela equipe do Gate Learn. Copiar, distribuir ou plagiar o artigo traduzido sem mencionarGate.ioé proibido.