Security Special Issue 02 | OKX Web3 & CertiK: MEME "Big Adventure" and Security "Truth"

introduction

OKX Web3wallet特别策划了《SafetySpecial Issues, focusing on different types of on-chainSafetyThrough the most real cases that happen to users,SafetyExperts or institutions in the field work together to share and answer questions from different perspectives, so as to sort out and summarize the safe transaction rules from the shallow to the deep, aiming to strengthen user security education while helping users learn to protect their private keys andwalletAsset security.

玩MEME就是一场大冒险

Rug Pull（撤池子）、貔貅盘、砸穿、被夹……诸多陷阱皆在前路

我一直是一名勇敢的冒险者，直到我的膝盖中了“一箭”

本期是安全特刊第02期，特邀行业知名安全机构CertiK与OKX Web3团队，从实操指南的角度出发，来分享常见的MEME链上交易安全风险和防范措施，希望可以对MEME用户有所帮助。

CertiK安全团队：CertiK由耶鲁大学和哥伦比亚大学的两位教授创立,利用目前最先进的形式化验证技术、AI审计技术以及安全专家人工审计，通过扫描及监控Blockchain协议和智能contract，保证其安全性。迄今为止，CertiK已获得了超过4000家企业客户的认可， 挖掘了近7万个代码漏洞，保护了超过4000亿美元的数字资产免受损失。

OKX Web3钱包安全团队：大家好，非常开心可以进行本次分享。OKX Web3钱包安全团队主要负责OKX Web3钱包的安全能力建设，提供产品安全、用户安全、交易安全等多重防护服务，7X24小时守护用户钱包安全的同时，为维护整个Blockchain安全生态贡献力量。

Q1：发生在身边的MEME风险真实案例

OKX Web3钱包安全团队：这类风险案例类型比较多。我们挑选了几个用户在交易MEME时，遭遇的比较经典的案例：

案例一：貔貅盘

用户A，在推特上看到某MEME讨论热度高，并在该MEME的推文评论中发现了Token地址，经过查看该MEME的交易数据后，发现其表现很好，于是进行了购买。随着该MEME价格不断上升，用户A想要卖出并锁定利润，但却却始终无法卖出。后经我们团队排查发现，该MEMEToken是貔貅盘，用户地址因为被拉黑所以无法卖出。

案例二：恶意Rug Pull

用户B，经常在某Telegram社群中发言并参加活动，被很多群友互加为通讯录好友。有一天，某群友私聊用户B并向他推荐某个MEME项目，并介绍称该项目十分火热、潜力巨大，随后立即提供了该MEMEToken地址。用户B有些心动，于是到某数据分析工具上进行查看，发现该MEME代币流动性LP已销毁且没有巨鲸持仓，由此认为该MEME项目比较可靠，进行了购买。但是到了第二天，用户B却突然发现，该MEME项目流动性已被耗尽。后经我们团队排查发现，该代币是恶意Rug Pull代币，其存在后门逻辑可以大量增发代币。

发生在MEME用户身上的风险案例层出不穷，我们希望可以通过接下来的对话，为用户可以提供一些安全参考指南，不构成任何投资建议，仅供大家进行学习和交流。

Q2：交易MEME时，EVM公链和Solana网络上的常见风险

CertiK安全团队：MEME风险分为两类：一类是链上风险场景、另外一类就是普遍风险，与Blockchain技术无关。

在介绍具体的链上风险场景之前，我们先来介绍普遍风险，这主要包括发币成本极低、代币价格易被操纵、项目高度中心化、投资者交易磨损大和Rugpull骗局5大类。

1、发币成本极低

通常而言，发布MEME项目的技术开发量极低甚至完全没有，以至于出现了像PandaTool这样的一键发币工具。正是由于极低的开发成本，使得项目方内部人员和早期投资人员获得代币的成本极低，再加上MEME项目本身并无实际基本面，一旦市场不再“FOMO”（Fear of Missing Out）时，就会导致这些极低成本的代币被迅速抛售，使得后来的投资者承担巨大的损失。

2、代币价格易被操纵

MEME的价格容易被操纵，一方面是由于其缺乏实质性技术支持、内在价值、以及发行门槛低，导致任何人都可以轻松创建和发行 MEME ，这使得市场上充斥着大量强投机性币种。

同时，MEME 通常依赖社交媒体和网络热度来推动其价格，而这些因素极易受到大户或有组织的群体操纵。这些投机者可以通过大量买入或卖出，以及制造虚假信息和市场噪音来操纵价格，造成价格剧烈波动，吸引更多散户投资者追涨杀跌，从而进一步加剧价格操纵的可能性。

3、项目高度中心化

MEME项目通常缺乏去中心化治理机制，决策权集中在少数开发者和核心团队手中，使得项目方向和管理易受个人利益驱动，增加了投资者的风险。在决策权中心化的基础上，还可能会产生代币contract和程序的控制权中心化、代币持有中心化、流动性控制中心化等种种中心化风险。

4、投资者交易磨损大

MEME交易磨损大，第一归因于其流动性差。由于市场上买卖MEME的参与者相对较少、交易量不足，这导致了买卖差价（即买价和卖价之间的差距）较大，使得交易成本增加。此外，流动性差的 MEME 币在大额交易时容易引起价格剧烈波动，进一步加大了交易风险和成本。投资者在买入或卖出时，往往需要承受更高的滑点和较大的价格影响，从而导致交易效率低下和交易成本上升。

第二则是归因于“交易税”机制。许多 MEME项目为了激励投资者持有或维持项目资金，通常会在每笔交易中收取一定比例的交易税。这些税费通常用于回购代币、奖励持有者或支持项目发展。然而，这种交易税增加了交易成本，使得频繁交易变得更加昂贵。交易者在每次买入或卖出时，都需要支付额外的税费，加剧了交易磨损，进一步降低了流动性。投资者在进行MEME交易时，必须承受更高的费用和风险。

5、Rugpull骗局

MEME容易成为 Rugpull 骗局的目标，原因在于其高度的匿名性、缺乏透明度和监管。以下是几种常见的 RugpuXiaobai Navigationll 方式及其现象：

1）流动性抽干（Liquidity Pull）：

方式：开发团队会在去中心化exchange（DEX）创建一个流动性池，将代币和主流cryptocurrency（如 ETH、USDT 等）添加到池中。吸引足够的投资者后，开发团队会突然撤出所有流动性，使得代币无法交易。

现象：投资者发现无法卖出代币，代币价格迅速归零，流动性池显示几乎没有资金残留。

2）开发者抛售（Developer Dumping）

方式：项目方或早期持有者持有大量代币，当市场需求被炒高后，他们会在短时间内抛售手中大部分或全部代币，造成价格暴跌。

现象：交易记录中出现巨额卖单，代币价格急剧下跌，市场信心崩溃，交易量迅速减少。

3）项目伪装（Fake Projects）：

方式：不法分子会创建一个虚假的MEME 币项目，编造虚假愿景和路线图，通过社交媒体和名人背书吸引投资者。一旦筹集到足够的资金，他们会关闭项目并卷款而逃。

现象：项目网站、社交媒体账户突然消失，开发团队无法联系，投资者账户中的代币价值迅速贬低。

4）contract漏洞（Contract Exploits）：

方式：开发团队故意在智能合约中留有后门或漏洞，使他们能够在特定条件下操纵合约，从而偷走投资者的资金。

现象：代币交易异常或突然停止，投资者无法转移或出售代币，合约地址显示大量资金被转移到未知账户。

5）假冒分叉（Fake Forks）：

方式：声称对原有代币进行升级或分叉，要求持有者将旧代币交换为新代币，实际上是为了收集并占有这些旧代币。

现象：旧代币失去价值，所谓的新代币无法在任何exchange交易，项目团队失联。

接下来，我们来介绍，用户在EVM系公链&Solana网络上，进行MEME交易时常见的链上风险。为了方便用户更直接的对比风险类型差异，我们通过表格的形式来分享。

图片来源：CertiK安全团队

OKX Web3钱包安全团队：EVM系公链与Solana是用户进行MEME交易的首选网络，两者在链上风险类型方面存在差异，这与两者的代币发行机制不同等因素有关。

第一，EVM系公链。由于EVM系公链代币发行自由度很高、且代币内容由开发者实现，当前在EVM系公链上进行MEME交易，常见链上风险主要包括2类：

（一）存在恶意逻辑的MEME

当市场出现火热的MEME时，会有各种伪造成热门MEME的恶意代币出现，这类型恶意代币通常会有较好的交易数据，引导用户误判进而交易到恶意代币，从而造成损失。当前常见的恶意代币主要有2类：

1、貔貅盘：是指只能买入不能卖出的代币。这类型恶意代币通常通过设置100%税率或者特殊转账限制逻辑，导致用户无法卖出代币。

2、恶意rug pull代币：是指存在隐藏增发逻辑的代币。这类型恶意代币通过隐藏增发逻辑，然后增发代币来耗尽代币流动性。

（二）项目方作恶

当前项目方作恶也主要包括2种类型：特权函数作恶、直接砸盘。

1）特权函数作恶：项目方通过特权函数，如mint函数，增发代币砸盘。

2）直接砸盘：项目方直接使用持有代币砸盘。

第二，Solana链。值得注意的是，Solana网络发行代币是通过固定官方渠道，因此在Solana链上进行MEME交易时，常见的链上风险主要来自项目方作恶。

（一）特权函数作恶

项目方通过特权函数，如mint函数来增发代币砸盘；或者通过冻结指令，来冻结用户地址，从而达到类似貔貅盘的目的，让用户无法卖出。

（二）直接砸盘

项目方直接使用持有代币砸盘。值得提醒的是，部分恶意MEME项目方会通过分发持有代币。来躲过代币集中持有的审查。

Q3：哪些维度或者工具，可以初步过滤风险性极高的MEME项目

CertiK安全团队：这里不构成任何投资建议，仅仅是介绍一些我们个人常用的几个工具，不能100%帮用户过滤风险，仅为用户初步判断一个MEME是否存较高风险提供参考。

1）dune.com：一个数据分析平台，可以自定义query来对代币的链上数据进行分析和监控，比较灵活，但使用相对复杂，需要一定的学习成本。

2）Dextools.io：一个代币信息集成平台，可以查看一些代币基础信息，如市值，流动性情况，持有人数量，代币分布等，同时也可以进行一些简单的安全风险筛选。

3）Skyknight MemScan：CertiK推出的新平台，为评估MEME的安全状态提供了解决方案。该平台提供即时的洞察和链上行为分析，包括合约铸币分析、交易控制检测、所有权集中分析、流动性控制评估等等。

OKX Web3钱包安全团队：没有可以100%过滤风险的方式和方法，但是从代Binance全和项目健康度的角度出发，我们为用户提供几个可以初步过滤掉风险性极高的MEME项的维度。需要注意的是，用户不能仅仅依据以下维度就判断项目的安全性。

1）智能合约安全性：可以通过辅助工具验证是否存在源码级别的安全问题。这些工具可以检查项目代码中是否存在恶意逻辑，并识别代码本身的安全漏洞。此外，还需评估合约的权限控制，确保合约所有者的权限不过大，避免其能够随意增发或销毁代币。

2）代币分配和持有分布：通过区块链浏览器查看代币持有者的分布情况，避免参与代币持有过于集中的项目，因为这些项目容易受到操控，且有较高rugpull风险

3）流动性和交易活动：观察代币的交易量和价格波动情况，低交易量和高波动性可能意味着项目不稳定或存在操控风险。

4）Community和开发团队活动：项目团队是否公开透明，包括团队成员的背景、经验和社交媒体活动。

当前，OKX Web3钱包也为用户提供了过滤风险代币的能力，从代码安全，交易安全等多层面过滤掉了可能导致用户受损的代币，提供各维度代币信息的同时，为用户MEME安全交易体验护航。

Q4：作为MEME代币早期流通场所，Launchpad平台以及DEX当前存在哪些局限性或者风险？

CertiK安全团队：首先，Launchpad平台和DEX必须具备强大的技术支持，以应对MEME项目的交易响应速度和交易规模。此外，流动性也是至关重要的一环，相关平台需要监控任何可能影响流动性安全的事件。最后，关于MEME的合规风险，平台方必须理解并落实相关的监管政策和要求，以减少可能面临的法律风险。

OKX Web3钱包安全团队：接下来，我们对Launchpad平台以及DEX当前存在哪些局限性或者风险分别进行介绍。

对于Launchpad平台而言，主要包含三点：

第一，平台上推出的项目质量参差不齐，尽管一些Launchpad平台会进行审查和尽职调查，但仍有可能未能完全识别出高风险或低质量的项目。

第二，资金管理风险，Launchpad平台通常会集中管理大量用户资金，这些资金如果管理不当或被恶意挪用，可能导致用户资金损失。此外，平台可能缺乏足够的保障措施来保护用户资金安全。

第三，市场操纵，项目方或大资金玩家可能会在Launchpad推出后进行价格操纵，造成市场波动剧烈，影响散户投资者。

对于DEX而言，局限相对更多一些

第一，流动性不足，新上架的MEME通常在DEX上流动性较差，容易导致交易滑点大和价格剧烈波动。

第二，智能合约漏洞，DEX依赖智能合约进行交易，这些合约如果存在漏洞，可能被黑客利用，造成资金损失。

第三，交易费用高，尤其是在以太坊等网络上，交易费用（Gas费）可能非常高，影响小额交易者的成本效益。

第四，恶意项目方，任何人都可以部署代币并上线DEX交易，有的项目方可能会在合约中故意留下后门函数，使得项目方可以任意操纵代币余额或者导致用户无法卖出代币。

第五，用户体验问题，DEX的操作对于普通用户来说相对复杂，涉及钱包连接、Gas费设置等，对入门用户来说体验可能不如中心化交易所（CEX）。

Q5：追问一下，Telegram 机器人代表了cryptocurrency领域基于意图交互的实际表现之一，这是否代表了未来DEX的发展趋势？

CertiK安全团队：Telegram bot机器人可以显著降低交易门槛，并自动化交易中的部分步骤，使非专业人员能够更方便地进行加密货币交易。然而，必须特别关注这些机器人的具体安全风险。建议对任何与钱包交互的第三方dApp进行全面的安全尽职调查，以确保其安全性。

OKX Web3钱包安全团队：Telegram机器人在加密货币领域的应用展现了基于意图交互的巨大潜力。这种趋势有望通过优化用户体验、增强交易便利性和安全性、扩展金融服务生态系统以及技术创新，推动去中心化交易所（DEX）的未来发展。

1、提升用户体验

简化操作：Telegram机器人通过自然语言处理，使用户能够使用简单的聊天命令进行交易，简化了复杂的操作流程。

自动交易：用户可以设定自动交易规则，如止损点和止盈点，减少人工操作的风险和时间成本。

2、增强去中心化交易

无缝集成：机器人通过API接口与去中心化交易所（DEX）集成，隐藏了复杂的交易操作，降低了用户的学习成本。

实时操作：机器人可以实时监控市场动态，并即时通知用户，使其能够迅速做出交易决策并执行交易。

3、提高安全性

智能合约：机器人利用智能合约确保交易的透明和安全，减少了人为干预和欺诈的可能性。

去中心化：尽管机器人可能是中心化的，但实际交易在去中心化的环境中进行，提高了交易的安全性和透明度。

4、扩展生态系统

多功能平台：Telegram机器人不仅限于交易，还可以扩展至资产管理、借贷、质押等金融服务，提供一站式的金融解决方案。

增强Community互动：通过Telegram平台，机器人能促进用户交流和Community建设，增加用户参与度。

5、技术和市场驱动

创新推动：人工智能和区块链技术的进步将使机器人应用越来越智能和高效，推动更多去中心化应用和服务的出现。

市场接受度：用户对简化和自动化服务的需求日益增长，推动更多DEX采用机器人服务以提升竞争力。

Q6：针对高频工具之一，如各类TG的BOT机器人当前存在的安全风险

CertiK安全团队：随着加密货币市场的发展，Telegram BOT机器人在交易和信息获取中变得越来越普遍。然而，这些高频使用的工具也带来了显著的安全风险，使用者在使用时应特别注意以下几个方面。

首先，许多Telegram BOT机器人未经安全审计或代码公开，可能存在恶意代码或漏洞。这些恶意BOT可能会steal取使用者的私钥、身份信息或其他敏感数据。此外，恶意BOT可能会伪装成合法的服务，通过钓鱼攻击诱导使用者输入他们的私钥或助记词，从而steal取资金。因此，使用者应确保只使用官方推荐或经过验证的BOT，避免点击不明链接或输入敏感信息。

其次，某些BOT可能要求过多的权限，如访问使用者的联系人、文件或其他私密信息。使用时应谨慎授予权限，确保BOT只获得其正常运行所需的最低权限。同时，BOT与Telegram服务器之间的通讯可能被中间人攻击截获，导致资料外泄或篡改。使用者应确保使用加密通讯的BOT，并检查其安全通讯协议的实施情况。

第三，许多Telegram BOT提供自动化交易功能，但如果这些BOT的交易逻辑有漏洞，可能导致严重的财务损失。使用者应在使用此类功能前进行充分的测试，并监控交易行为以防止异常情况。此外，BOT开发者可能收集并储存大量使用者数据，一旦这些数据被泄露或滥用，使用者隐私将受到严重威胁。使用者应选择有良好信誉和隐私权政策的BOT，并定期查看其隐私权保护措施。

最后，过度依赖某些BOT进行交易或管理资产，可能导致在BOT服务中断或关闭时，使用者无法正常进行操作。因此，使用者应避免对单一BOT的过度依赖，并准备备份方案。通过了解和防范这些风险，使用者可以更安全地使用Telegram BOT机器人，保护自己的资产和隐私安全。

OKX Web3钱包安全团队：类似TG的BOT机器人在提供便捷服务的同时也带来了很大的风险隐患，接下来，我们举例说明。

第一，私钥的中心化托管风险。多数Telegram 机器人需要托管用户的私钥，以便于主动签名和发送交易。这意味着用户的私钥存储在第三方服务器上，增加了被steal或滥用的风险。

第二，钓鱼风险。通过Telegram 机器人发送的钓鱼链接可能诱导用户点击，导致账户信息或私钥被窃取。此外，聊天窗口中的人工诱导（例如假冒客服）可能会骗取用户的助记词或其他敏感信息。

第三，木马风险。某些机器人可能通过发送恶意软件（木马）或恶意SDK 的方式，感染用户的设备，危及整个系统的安全。

总计，用户在使用各类BOT机器人时候，需要谨慎辨别，不要随意点击陌生链接，也不要泄漏自己的私钥。

Q7：用户交易MEME的操作误区与风险防范

CertiK安全团队：首先，对于任何与自己钱包交互的dApp，包括交易平台和Telegram bot，用户都应进行安全尽职调查。选择经过安全审计的dApp可以降低操作中被攻击的风险，并确保自己的私钥和身份信息的安全。当前，CertiK通过提供dApp的渗透测试服务，帮助用户以减少风险。

其次，MEME的交易高度依赖于交易的响应速度和频率，因此选择一个稳定且交易费用合理的平台至关重要。在进行交易时，尽量选择那些安全、稳定、快速且交易费用较低的平台，以获得更好的交易体验。比如，上面提及的CertiK推出的MemeScan平台，可以提供即时的安全状态信息，包括MEME的链上行为分析。例如，合约可增发新币、交易可被暂停或被限制、少数地址控制大部分token、少数地址控制大部分流动性等，希望可以对用户安全交易提供些许帮助。

OKX Web3钱包安全团队：考虑到安全性，用户在进行MEME交易时，需要知晓安全操作和风险防范，以确保交易的正确性和安全性。

第一，要选择正确的交易平台。用户应该选择信誉良好且安全性高的加密货币交易所，尽量避免使用未经过验证或不知名的交易平台，可能会面临资产被盗的风险。对于链上交易，要确认项目方的官网，合约的正确性。

第二，开启更高安全性的认证方式。为了更加安全，用户可以在所有交易平台和钱包中启用双因素认证，使用Google Authenticator或其他安全应用程序。尽量避免使用短信验证，因为它容易受到SIM卡交换攻击的影响。

第三，使用安全性高的钱包。用户尽量使用经过验证的钱包进行交易，并确保安全备份助记词或私钥，存放在安全的地方，避免电子备份。不备份私钥或助记词，设备丢失或损坏时将无法恢复资产。

第四，防范钓鱼。用户需要时刻验证交易用的url，确保其为官方链接。在遇到问题时确保联系到的是官方的客服，不要理会Telegram、Discord等群组中的私信，永远不要点来路不明的链接，签署不知道内容的签名和展示私钥。

第五，安全的网络环境，用户应该在可信的操作系统下进行操作，尽量不要使用公共无线网络。

最后，感谢大家看完OKX Web3钱包《安全特刊》栏目的第02期，当前我们正在紧锣密鼓地准备第03期内容，不仅有真实的案例、风险识别、还有安全操作干货，敬请期待！

Disclaimer:

This article is for reference only and is not intended to provide (i) investment advice or investment recommendations; (ii) an offer or solicitation to buy, sell or hold digital assets; or (iii) financial, accounting, legal or tax advice. Holding digital assets (including stablecoins and NFTs) involves high risks and may fluctuate significantly or even become worthless. You should carefully consider whether trading or holding digital assets is suitable for you based on your financial situation. Please be responsible for understanding and complying with local applicable laws and regulations.

The article comes from the Internet:Security Special Issue 02 | OKX Web3 & CertiK: MEME "Big Adventure" and Security "Truth"

相关推荐: Masa 的「AI+Crypto」指南：2024 CoinList 首个 AI 项目的数据「卖水人」

主网上线在即，Masa 能否凭借去中心化的「数据网络 +LLM」撬动 AI+Crypto 的未来？ 作者：小白导航 coderworld 引入 加密项目千千万，AI 热度占一半。 作为贯穿全年的热门叙事，AI 无时无刻不在引导着加密市场的注意力和交易决策。 据…