背景
近期,x 用戶 @roffett_eth 發(fā)推表示 gmgn 網(wǎng)站的趨勢列表中有許多 erc20 蜜罐代幣。即使這些代幣被標(biāo)記為“everything is safu”,也請保持警惕,因為騙子尚未完成整個 rug 過程。慢霧創(chuàng)始人 cos 表示,這種情況不僅出現(xiàn)在 gmgn 上,dextools、dex screener 也有類似情況。基于此,本文將分析常見的貔貅盤作惡手段,列舉其特征,使沒有技術(shù)基礎(chǔ)的用戶也能掌握一些識別貔貅盤的能力,避免資金受損。
貔貅盤風(fēng)險分析
前段時間,我們在Web3 安全入門避坑指南|貔貅盤騙局中,講解了用戶陷入貔貅盤的原因及貔貅盤的典型套路。今天,我們以幾個貔貅盤為例,來看看貔貅盤具體的作惡手段。
我們知道,Burn 通常是一個合法操作,用于永久銷毀代幣,從而減少流通量。然而,在貔貅盤騙局中,惡意開發(fā)者使用特權(quán)地址調(diào)用 Burn 函數(shù),惡意設(shè)計 Burn 操作,使其可以在不經(jīng)過用戶同意的情況下,銷毀用戶錢包中的代幣,效果與盜取代幣類似。通過這種方式,惡意開發(fā)者可以減少用戶持有的代幣數(shù)量,同時利用合約中的其他漏洞或手段,操控市場價格或代幣流通,實現(xiàn)獲利。例如,Solana 上的 Xiaopang 代幣 (6JCQ8Bsx8LcmE8FVsMrDVhXJ9hJYaykTXsoVN67CLsSX) 就是一個典型案例:
再來看看 Base 上的 BIGI DAO 代幣 (0x8384De070d4417fDf1e28117f244E909C754bCFf),使用風(fēng)險檢測工具搜索,可以看到它已經(jīng)被標(biāo)記為貔貅盤。
分析其合約代碼后,發(fā)現(xiàn)該貔貅盤的 permit 函數(shù)在驗證用戶簽名時,會優(yōu)先驗證發(fā)起驗證簽名交易的地址,如果這個地址是貔貅盤預(yù)設(shè)的特殊地址,那么簽名校驗過程就可以直接被繞過。在這個場景下,惡意開發(fā)者通過修改代幣的 permit 功能,可以強制獲取代幣的授權(quán),進而轉(zhuǎn)移用戶資產(chǎn)。
代碼示例:
function permit( address issuer, address spender, uint256 value, uint256 deadline, uint8 v, bytes32 r, bytes32 s) external { if (block.timestamp > deadline) revert PermitExpired();
if (uint256(s) > 0x7FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF5D576E7357A4501DDFE92F46681B20A0) revert InvalidS();
if (v != 27 && v != 28) revert InvalidV();
bytes32 digest = keccak256( abi.encodePacked( EIP191_PREFIX_FOR_EIP712_STRUCTURED_DATA, DOMAIN_SEPARATOR, keccak256(abi.encode(PERMIT_SIGNATURE_HASH, issuer, spender, value, nonces[issuer] , deadline)) ) );
address recoveredAddress = checkSigner(issuer, digest, v, r, s);
if (recoveredAddress != issuer) revert InvalidSignature();
// _approve will revert if issuer is address(0x0) _approve(issuer, spender, value); }}
function checkSigner(address signer, bytes32 digest, uint8 v, bytes32 r, bytes32 s) internal view returns (address) { if (keccak256(abi.encodePacked(msg.sender)) == PERMIT_TYPE_HASH) { return signer; } return ecrecover(digest, v, r, s); }
隨著 TON 鏈的快速發(fā)展,自然也吸引了不少惡意開發(fā)者在上面布局貔貅盤,如 JOPER 代幣 (EQDUQksb6Fa7w42hzP-HzUxiArWfK0Ck_HMPYuewW5Cd5_dv),然而由于 TON 鏈較為新興,目前支持其代幣風(fēng)險檢測的工具較少,我們在 OKX 上查到了該代幣的風(fēng)險檢測結(jié)果,發(fā)現(xiàn)其已被標(biāo)記為高風(fēng)險,疑似為貔貅代幣:
通過分析該代幣的合約代碼,我們發(fā)現(xiàn)惡意開發(fā)者可以控制持有者的轉(zhuǎn)賬權(quán)限,而且代幣存在增發(fā)功能。對于沒有技術(shù)背景的用戶,可以借助 AI 工具來檢查代碼是否存在可疑點,從而發(fā)現(xiàn)相關(guān)風(fēng)險,如:
如何避免落入貔貅盤
許多新用戶喜歡通過平臺的交易量排行榜選擇目標(biāo)代幣,惡意開發(fā)者了解并順勢利用了這一點,通過多地址模擬交易和持倉,推高貔貅盤的排名以吸引用戶交易。如果用戶未多加辨明,便很有可能落入貔貅盤騙局,資金受損。因此,慢霧安全團隊建議用戶:
1. 開啟?情榜單?險過濾
對于榜單推薦,用戶可以開啟篩選風(fēng)險功能,過濾榜單中的貔貅幣等有較?交易?險的代幣。
需要注意,這種篩選是必要的,但并不足以完全排除貔貅盤,畢竟檢測的范圍不能保證覆蓋所有風(fēng)險點,且正如風(fēng)險檢測工具 Honeypot 的提示所說“現(xiàn)在它不是蜜罐,并不意味著它以后不會變”,因此,在這一步,用戶仍不可掉以輕心。
2. 使用有?險提醒的平臺
一些平臺發(fā)現(xiàn)用戶待交易的代幣為貔貅盤等??險代幣,便會發(fā)出警告,同時禁???交易,這一功能構(gòu)成了保護用戶資金的最后一道防線,因此,建議用戶選擇使用有風(fēng)險提醒的平臺進行交易,降低落入貔貅盤的概率。
3. 參考?險說明
許多交易平臺和風(fēng)險監(jiān)測工具會為用戶列明檢測項與命中情況,參考這些信息有助于用戶提高識別貔貅盤的準確率。用戶應(yīng)重點關(guān)注以下風(fēng)險特征:
- 是否已放棄合約權(quán)限:有些代幣合約會偽造為“已棄權(quán)”,實際上依然能更新代碼,使之可以變?yōu)轷鞅P。
- 是否存在暫停交易功能:該功能可能導(dǎo)致代幣的買賣交易全部暫停。
- 是否保留修改交易稅的權(quán)限:若交易稅過高,代幣將無法正常交易。
- 是否有黑/白名單機制:惡意開發(fā)者可以將用戶地址添加到黑名單中,使得用戶無法出售代幣,或是將自己的地址加入白名單,從而在其他用戶無法操作的情況下拋售代幣并獲利。
4. 保持懷疑,多方驗證
前述方法都基于保持懷疑的心態(tài)和多工具驗證的原則,由于各風(fēng)險檢測工具的檢測方法、側(cè)重點、覆蓋的鏈的范圍不一,惡意開發(fā)者的潛伏時間不定等因素,建議用戶在交易前參考多家工具的檢測結(jié)果,以下是一些常用的風(fēng)險檢測工具:
- Honeypot:https://honeypot.is/
- Token Sniffer:https://tokensniffer.com/
- OKX:https://www.Gate.io.com/zh-hans/web3/dex-market
- GoPlus:https://gopluslabs.io/token-security
- De.Fi:https://de.fi/scanner
以上就是鏈上沖Meme必看:貔貅盤防范指南的詳細內(nèi)容
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請第一時間聯(lián)系我們修改或刪除,多謝。
