Cette année, Memecoin a été au centre de l’attention du marché des crypto-monnaies et des écosystèmes blockchain. Depuis le début de l’année 2024, de nombreux memecoins et rampes de lancement de memecoins tels que Pump.Fun ont émergé dans l’écosystème Solana avec une croissance étonnante, attirant un grand nombre d’utilisateurs pour participer à l’émission et au trading de divers memecoins. Le trading de Memecoin dans d’autres écosystèmes blockchain est également extrêmement chaud, comme SunPump dans l’écosystème TRON, qui a réalisé un bénéfice net d’un million de dollars américains en seulement deux semaines et BNB Chain a lancé le « Meme Innovation War Round 3 ».

Le problème avec la folie des memecoins est que les utilisateurs doivent éviter divers risques potentiels de sécurité. Auparavant, Beosin a effectué une analyse détaillée de la sécurité des plateformes de lancement de memecoin, a averti des risques de centralisation des plates-formes de lancement telles que Dexx à l'avance, et a audité plusieurs plates-formes de lancement de memecoin telles que Tokr.fun, Pumpup et Pump404.

Aujourd'hui, nous allons analyser les risques courants et les méthodes malveillantes dans les memecoins d'un point de vue de sécurité, aidant les utilisateurs généraux à maîtriser certaines compétences pour identifier les risques liés aux memecoins et éviter les pertes financières.

Risque de centralisation

Récemment, l'incident Dexx a rappelé aux utilisateurs de faire attention au risque de centralisation des plateformes centralisées. Dans cette section, nous analyserons le plus grand lancement de memecoin actuel - Pump.Fun :

Grâce aux transactions on-chain, nous pouvons constater que l'adresse de contrat de base de Pump.Fun est 6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P. Le code du contrat n'est pas open source et est contrôlé par une adresse multi-signature (7gZufwwAo17y5kg8FMyJy2phgpvv9RSdzWtdXiWHjFr8).

Cependant, si vous vérifiez cette adresse multi-signature, elle est en réalité contrôlée par une seule adresse (4zJkeipCFGvfcJvKm4TY57ED9uEdL3sBRvs8TPdZKG5Q), ce qui pose un risque unique.

Le 17 mai, l'une des clés privées de Pump.Fun a été divulguée en raison de problèmes opérationnels, entraînant une perte de 1,9 million de dollars. La gestion des clés privées et l'application de multi-signatures sont particulièrement importantes pour prévenir les défaillances ponctuelles.

Lorsque Pump.Fun émet des memecoins, les utilisateurs doivent créer des jetons via $SOL dans le "pool interne". Le prix du jeton dans ce processus est déterminé par la courbe de liaison. Pour chaque memecoin, Pump.Fun créera un programme de courbe de liaison correspondant, dans lequel les champs de données sont les suivants :

Le tokenTotalSupply est fixé à 1 milliard , et les réserves virtuelles de Sol, les réserves virtuelles de jetons, les réserves de jetons réels et les réserves de Sol réels sont utilisées comme paramètres AMM pour calculer le prix du jeton. Lorsque d'autres utilisateurs émettent 800 millions de jetons dans le "pool interne", le champ "complet" devient vrai, et ensuite le memecoin est échangé publiquement dans le pool de liquidités créé sur Raydium.

En vérifiant les données de tout contrat memecoin émis par Pump.Fun, nous pouvons voir que l'adresse privilégiée de son autorité de mise à jour est Pump.fun Token Mint Authority (TSLvdd1pWpHVjahSpsvCXUbgwsL3JAcvokwaKt1eokM), qui est responsable de l'émission des tokens. Le champ “mint” est l'adresse du contrat memecoin correspondant et les informations sur les tokens.

Ces contrats memecoin n'ont pas de fonctions d'extension de jeton et sont les jetons SPL les plus simples.

Par conséquent, il n'y a pas d'adresse privilégiée qui puisse utiliser Permanent Delegate, TransferFee et d'autres fonctions dans l'extension de jeton pour faire du mal et causer des pertes aux utilisateurs lorsqu'ils participent aux échanges de memecoin.

$Cheems Controverse

Le 25 novembre, Binance a annoncé l'inscription des contrats $Cheems. Le prix de $Cheems a augmenté de 35% avant de chuter de plus de 60% en moins d'une minute, suscitant beaucoup de controverse dans la communauté.

En analysant la transaction du jeton $Cheems sur la chaîne, nous pouvons constater que l'adresse de la vente du jeton est 0xbb8365B1BA2462ffDce9C894Ada84478f474Fefc. L'adresse est analysée via Beosin KYT, et les résultats sont affichés dans la figure :

Le 25 novembre, l'adresse a vendu 331,2 milliards de $Cheems en 1 minute via Pancakeswap et l'agrégateur DEX OKX, et a obtenu 406,21 $BNB, puis a déposé tous les $BNB dans l'adresse sur Binance.

Bien que de nombreux utilisateurs se demandent si cette adresse est une "transaction d'initié", il peut s'agir d'une adresse intelligente avec plusieurs transactions d'achat et de vente :

Depuis le 18 novembre, l'adresse a commencé à constituer une position en $Cheems et a vendu de manière continue pendant le processus. Le 18 novembre, l'adresse a d'abord acheté environ 131 milliards de $Cheems, puis 4 heures plus tard, elle a vendu 41,3 milliards de $Cheems. Le 21 novembre, l'adresse a également retiré 379,5 milliards de $Cheems de la bourse Gate.io, puis 2 heures plus tard, elle a vendu 175,8 milliards de $Cheems en chaîne. Les 22 et 23 novembre, il y a également eu de gros achats et des ventes partielles. Le flux global des fonds est indiqué dans l'image ci-dessous.

L'adresse pertinente dans cet incident est

0xbb8365b1ba2462ffdce9c894ada84478f474fefc

0x0d0707963952f2fba59dd06f2b425ace40b492fe

0xbff62cee932fe7496a88c9193e9ba3fd5eeff46d

En plus des risques liés à la plateforme et au PVP on-chain, les utilisateurs peuvent également rencontrer des escroqueries "Pixiu" lorsqu'ils tradent des memecoins. Auparavant, Beosin a aidé les utilisateurs à comprendre ce type d'escroquerie et les mesures préventives avec des cas. Ce qui suit est un résumé plus complet des escroqueries liées aux memecoins :

Faux jetons

Un grand nombre de nouveaux memecoins sont lancés chaque jour, et il semble qu'il y ait des opportunités de devenir riche partout. En réalité, il y a d'innombrables projets d'imitation, et il est difficile pour les utilisateurs de distinguer le bon jeton à échanger.

De nombreux déploiements de memecoin copieront les noms et logos de jetons de projets populaires et créeront des contrats de jetons avec les mêmes noms. Les utilisateurs peuvent entrer par erreur dans des projets d'imitation, voire des plateformes d'escroquerie ou de pièges à miel car ils ne vérifient pas soigneusement les adresses de contrat des jetons, ce qui les empêche de vendre les jetons.

De plus, le différend entre la communauté crypto et l'émetteur de jetons concernant la capitalisation de memecoin a également entraîné une hausse et une baisse des prix des jetons associés. Les récents litiges et fluctuations de prix entre $NEIRO et $neiro, $ELIZA et $eliza montrent le risque extrêmement élevé de memecoin. Les utilisateurs doivent comprendre les informations pertinentes sur memecoin, les retours de la communauté et se méfier des projets qui manipulent le marché à travers les actualités.

Vente restreinte

Lorsque les utilisateurs achètent des memecoins, ils peuvent avoir rencontré des escroqueries telles que des honeypots, où les jetons achetés ne peuvent pas être vendus ou sont difficiles à vendre. Les escrocs restreignent souvent les utilisateurs à vendre via des codes de contrat de manière commune :

(1) Liste noire/Liste blanche

L'émetteur de jetons peut mettre en place une fonction de liste noire/liste blanche dans le contrat de jetons pour restreindre les transactions de jetons. Par exemple, si une adresse utilisateur est ajoutée à la liste noire, l'utilisateur ne pourra peut-être pas appeler transfer() ou transferFrom() dans le contrat de jetons pour transférer des jetons.

(2) Modifier le solde

L'émetteur de jetons peut également manipuler le solde de jetons de l'utilisateur via des contrats intelligents et modifier le solde de jetons de l'utilisateur à une valeur extrêmement basse. Si la mise à jour du solde n'est enregistrée que dans le contrat, la victime peut toujours voir les jetons qu'il détient sur le navigateur de la blockchain, mais il ne peut pas réellement vendre plus de jetons que ce que le contrat enregistre. Si le solde de la victime est mis à jour sur la chaîne, l'utilisateur constatera que le memecoin qu'il a acheté a diminué ou même qu'il a un solde de 0.

Voici un exemple de code Solidity qui définit le solde d'une adresse blacklistée à 0:

En plus de l'écosystème EVM, Solana dispose également d'une fonction similaire pour modifier les soldes - l'extension de délégué permanent du programme de jetons :

Le délégué permanent est l'extension officielle de la fonctionnalité des jetons de Solana. Les administrateurs ont le droit de transférer ou de détruire des jetons à tout moment. Son but est de s'appliquer à certains scénarios d'application, tels que le recyclage de jetons et la supervision des stablecoins. Lors de la création d'un jeton, le créateur peut utiliser l'instruction createInitializePermanentDelegateInstruction pour initialiser le délégué permanent.

Étant donné que le Délégué Permanent a trop d'autorité, certains hackers utilisent cette extension pour émettre des jetons, attirer les utilisateurs à acheter leurs jetons, puis en profiter en les détruisant ou en les transférant:

(3) Seuil de transaction

Après avoir acheté certaines memecoins, les utilisateurs ne peuvent pas les vendre car il existe un seuil de vente strict dans le contrat: les utilisateurs doivent dépasser le nombre de jetons défini (et ce nombre de jetons dépasse largement les avoirs en jetons de l'utilisateur) avant de pouvoir vendre ou une taxe de transaction élevée doit être déduite.

Comme le montre l'exemple de code ci-dessous, le développeur du contrat peut modifier le paramètre amountToBurn pour définir la taxe de transaction. Lorsque le paramètre est défini sur 2, 50% du montant des jetons sera déduit de la transaction de l'utilisateur.

L'extension de jeton de Solana dispose également d'une fonction TransferFee, qui est utilisée pour collecter des taxes sur chaque transaction du jeton. Pour configurer TransferFee, vous devez définir les champs suivants:

● Frais en points de base : Les frais facturés pour chaque transfert, en points de base

● Frais maximum : La limite supérieure des frais de transfert

● Autorité des frais de transfert : peut modifier l'adresse de frais de transfert

● Retrait avec autorité retenue: L'adresse vers laquelle les jetons retenus dans le compte de jetons peuvent être transférés

En raison de l'existence d'un plafond de frais de transfert, la méthode de fixation des taxes de transaction pour mettre en œuvre le disque Pi Xiu dans Solana n'est pas couramment utilisée. Il est plus courant que les utilisateurs subissent des pertes par des transferts de jetons ou une destruction de jetons.

(4) Suspension of Trading

L'émetteur du jeton peut contrôler l'état de pause du contrat dans le contrat pour restreindre la transaction du jeton. Une fois que le contrat entre dans l'état de pause, la fonction de transfert du contrat ne sera pas disponible et les utilisateurs ne pourront pas échanger.

Par exemple, dans l'exemple de code Solidity ci-dessous, le transfert appellera uniquement _update pour mettre à jour le solde de l'utilisateur lorsque le contrat n'est pas dans un état suspendu.

(5) Temps de détention minimum

Après qu'un utilisateur achète memecoin, il doit le conserver pendant une période minimale avant de pouvoir le trader à nouveau. Cependant, cette période est définie par l'émetteur du jeton et peut être modifiée à volonté. Ils peuvent modifier le temps de conservation minimum à une valeur très élevée afin que les utilisateurs ne puissent pas trader.

Par exemple, dans l'exemple de code Solidity suivant, le transfert doit satisfaire le temps de transfert actuel supérieur ou égal au dernier temps de mise à jour de l'utilisateur + le temps de retard défini dans le contrat.

Frais uniques

Après l'achat de memecoin par les utilisateurs, aucuns frais ne seront facturés lors des échanges avec d'autres utilisateurs. Cependant, lors de la vente via DEX (comme Uniswap), des frais de traitement seront facturés. En plus de la vente, les revenus des utilisateurs ajoutant de la liquidité ou participant à la mise en jeu seront également affectés.

Par exemple, dans l'exemple de code Solidity ci-dessous, les transactions de jetons seront taxées uniquement lorsque l'adresse de destination est une adresse de contrat.

Ou bien les frais de traitement ne sont pas déduits du montant de transfert, mais sont réduits en plus de la balance de l'expéditeur. Si cette méthode n'est pas gérée correctement, cela aura un impact sérieux sur le prix dans le DEX et entraînera une valeur du jeton à zéro.

Émission de jetons supplémentaires

Émettre des jetons supplémentaires est un moyen courant de mettre en œuvre un Rug Pull. Parce que le propriétaire du contrat de jeton ou l'adresse privilégiée a le droit de frapper des pièces, ils peuvent réaliser un profit en émettant des jetons supplémentaires et en les vendant. C'est un risque potentiel courant dans l'écosystème EVM, Solana et TON. Voici la fonction de frappe d'un jeton Jetton de TON, qui possède un mécanisme d'émission supplémentaire :

Distribution centralisée de jetons

Le problème de la centralisation de la distribution de jetons est un risque courant dans les projets blockchain. La plupart de l'offre de jetons est contrôlée par l'équipe du projet, qui peut manipuler les décisions clés dans la gouvernance on-chain grâce aux votes de jetons ou manipuler les prix du marché grâce à des transactions à grande échelle pour affecter les actifs des utilisateurs.

Comme le montre le code Solidity ci-dessous, lorsque le jeton est déployé, le montant total de tous les jetons sera alloué au déploiement du contrat.

Mise à niveau du proxy

Le mode de mise à niveau du proxy utilisé dans les contrats de jetons est un mode de conception de contrat intelligent courant. Il peut réaliser la mise à niveau de la logique à travers des contrats de proxy sans changer la structure de données des contrats de stockage. Bien que ce mode apporte de la flexibilité, il comporte également certains risques et dangers potentiels. L'émetteur du jeton peut changer la logique du contrat à sa guise, ce qui entraîne la perte ou le vol des actifs du détenteur du jeton.

Comme indiqué dans le code Solidity ci-dessous, l'administrateur du contrat peut modifier l'adresse de l'implémentation du contrat. Une fois qu'elle est modifiée vers un contrat incorrect ou même un contrat malveillant, cela entraînera la perte ou le vol des actifs de l'utilisateur.

Comment éviter les escroqueries?

Il y a d'innombrables escroqueries dans la folie des Memecoins. Si les utilisateurs ne font pas attention, ils sont susceptibles de tomber dans des escroqueries connexes et de perdre leurs fonds. Par conséquent, l'équipe de sécurité Beosin recommande aux utilisateurs de :

1. Soyez rationnel quant à l'effet de s'enrichir rapidement avec Memecoin et l'effet de publicité des KOL. Après qu'un nouveau jeton est répertorié sur DEX, les utilisateurs doivent rester rationnels, éviter la FOMO et ne pas suivre aveuglément la tendance.

2. Ne faites pas confiance aux « informations internes » ou aux « informations confidentielles ». Ce sont généralement des escroqueries qui posent des pièges pour attirer les utilisateurs à prendre des risques et à investir sans vérifier et rechercher les informations.

3. Avant d'acheter des jetons, les utilisateurs doivent vérifier les points clés suivants :

● Le contrat de jeton est-il open source?

● Y a-t-il un rapport d'audit?

● Y a-t-il un mécanisme de liste noire/liste blanche ?

● Y a-t-il une taxe sur les transactions ? Comment est collectée la taxe sur les transactions ?

● Y a-t-il un mécanisme de pause ?

● S'il existe des mécanismes spéciaux tels que la limitation du volume de transactions, le montant minimal de détention, la durée minimale de détention, etc.

● Les fonctions que le propriétaire du contrat peut appeler sont-elles trop nombreuses ?

● Que le contrat utilise le mode proxy

● Comment gérer les droits de propriétaire du contrat, qu'il s'agisse de les sur-signer ou de les abandonner

Beosin a précédemment effectué des audits de sécurité détaillés sur plusieurs plates-formes de lancement de memecoin et contrats de jetons, y compris Tokr.fun, Pumpup et Pump404, pour assurer la sécurité de leurs codes de contrat, la correction de la logique de mise en œuvre commerciale et la sécurité des fonds de projet et des utilisateurs.

1. De nombreuses plateformes de trading et des outils de suivi des risques répertorieront des éléments de détection de contrat de jetons pour les utilisateurs. En se référant à ces informations, les utilisateurs pourront améliorer la précision de l'identification des arnaques. Les utilisateurs peuvent se référer aux résultats de détection de plusieurs outils de sécurité avant de trader. Voici les outils de détection de risques couramment utilisés :

● Honeypot: https://honeypot.is/

● Token Sniffer :https://tokensniffer.com/

● OKX :https://www.okx.com/zh-hans/web3/dex-market

● GoPlus: https://gopluslabs.io/token-security

● De.Fi: https://de.fi/scanner

● Alerte Beosin: https://chromewebstore.google.com/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji

Résumé

Dans cet article, nous résumons les moyens courants d'escroqueries liées aux memecoins. De cela, nous pouvons voir que bien que les memecoins regorgent d'opportunités et de possibilités, ils sont également accompagnés de divers pièges. Les utilisateurs doivent faire preuve d'une grande vigilance et prudence dans les transactions de memecoins afin de réduire le risque de perte en capital. Dans le monde de Web3, la sécurité passe toujours avant tout.

Avertissement :

1. Cet article est repris de [memecoinBeosin]. Tous les droits d'auteur appartiennent à l'auteur original [Beosin]. Si des objections existent à cette réimpression, veuillez contacter le Gate Learnl'équipe et ils le prendront en charge rapidement.
2. Clause de non-responsabilité: Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent pas des conseils en matière d'investissement.
3. Les traductions de l'article dans d'autres langues sont réalisées par l'équipe de Gate Learn. Sauf mention contraire, il est interdit de copier, distribuer ou plagier les articles traduits.