Este año, Memecoin ha sido el foco del mercado de criptomonedas y los ecosistemas blockchain. Desde el comienzo de 2024, han surgido muchos memecoins y plataformas de lanzamiento de memecoin como Pump.Fun en el ecosistema Solana con un crecimiento asombroso, atrayendo a una gran cantidad de usuarios para participar en la emisión y negociación de varios memecoins. El comercio de Memecoin en otros ecosistemas blockchain también está extremadamente activo, como SunPump en el ecosistema TRON, que obtuvo una ganancia neta de un millón de dólares en solo dos semanas y BNB Chain lanzó la “Meme Innovation War Round 3”.

El problema con la locura de memecoin es que los usuarios necesitan evitar varios riesgos potenciales de seguridad. Anteriormente, Beosin ha realizado un análisis detallado de la seguridad de los launchpads de memecoin, ha advertido sobre los riesgos de centralización de plataformas de lanzamiento como Dexx de antemano y ha auditado múltiples plataformas de lanzamiento de Memecoin como Tokr.fun, Pumpup y Pump404.

Hoy, analizaremos los riesgos comunes y los métodos maliciosos en memecoin desde una perspectiva de seguridad, ayudando a los usuarios en general a dominar algunas habilidades para identificar los riesgos relacionados con memecoin y evitar pérdidas financieras.

Riesgo de centralización

Recientemente, el incidente de Dexx recordó a los usuarios prestar atención al riesgo de centralización de las plataformas centralizadas. En esta sección, analizaremos el lanzamiento del memecoin más grande actual: Pump.Fun:

A través de transacciones en cadena, podemos encontrar que la dirección del contrato principal de Pump.Fun es 6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P. El código del contrato no es de código abierto y está controlado por una dirección de firma múltiple (7gZufwwAo17y5kg8FMyJy2phgpvv9RSdzWtdXiWHjFr8).

Sin embargo, si verifica esta dirección de múltiples firmas, en realidad está controlada por una sola dirección (4zJkeipCFGvfcJvKm4TY57ED9uEdL3sBRvs8TPdZKG5Q), lo que representa un riesgo de un solo punto.

El 17 de mayo, una de las claves privadas de Pump.Fun fue filtrada debido a problemas operativos, lo que resultó en una pérdida de $1.9 millones. La gestión de las claves privadas y la aplicación de firmas múltiples son particularmente importantes para prevenir fallos en un solo punto.

Cuando Pump.Fun emite memecoins, los usuarios necesitan acuñar tokens a través de $SOL en la 'piscina interna'. El precio del token en este proceso está determinado por la Curva de Vinculación. Para cada memecoin, Pump.Fun creará un programa de Curva de Vinculación correspondiente, en el que los campos de datos son los siguientes:

El tokenTotalSupply está establecido en 1 mil millones, y virtualSolReserves, virtualTokenReserves, realTokenReserves y realSolReserves se utilizan como parámetros AMM para calcular el precio del token. Cuando otros usuarios acuñan 800 millones de tokens en el "pool interno", el campo "completo" se convierte en verdadero, y luego el memecoin se negocia públicamente en el pool de liquidez creado en Raydium.

Al verificar los datos de cualquier contrato de memecoin emitido por Pump.Fun, podemos ver que la dirección privilegiada de su autoridad de actualización es la Autoridad de Acuñación de Tokens de Pump.fun (TSLvdd1pWpHVjahSpsvCXUbgwsL3JAcvokwaKt1eokM), que es responsable de acuñar tokens. El campo "mint" es la dirección correspondiente del contrato de memecoin e información del token.

Estos contratos de memecoin no tienen funciones de extensión de token y son los tokens SPL más simples.

Por lo tanto, no hay ninguna dirección privilegiada que pueda usar Permanent Delegate, TransferFee y otras funciones en la extensión del token para hacer el mal y causar pérdidas a los usuarios cuando participan en el comercio de memecoins.

$Cheems Controversy

El 25 de noviembre, Binance anunció la inclusión de contratos $Cheems. El precio de $Cheems subió un 35% y luego cayó más del 60% en menos de un minuto, lo que causó mucha controversia en la comunidad.

Al analizar la transacción del token $Cheems en la cadena, podemos encontrar que la dirección de venta del gran token es 0xbb8365B1BA2462ffDce9C894Ada84478f474Fefc. La dirección se analiza a través de Beosin KYT, y los resultados se muestran en la figura:

El 25 de noviembre, la dirección vendió 331.2 mil millones de $Cheems en 1 minuto a través de Pancakeswap y el agregador DEX de OKX, y obtuvo 406.21 $BNB y luego depositó todos los $BNB en la dirección en Binance.

Aunque muchos usuarios cuestionan si esta dirección es un "trading de información privilegiada", puede ser una dirección de dinero inteligente con múltiples transacciones de compra y venta:

Desde el 18 de noviembre, la dirección ha comenzado a construir una posición de $Cheems y ha estado vendiendo continuamente durante el proceso. El 18 de noviembre, la dirección compró por primera vez alrededor de 131 mil millones de $Cheems, y 4 horas después vendió 41.3 mil millones de $Cheems. El 21 de noviembre, la dirección también retiró 379.5 mil millones de $Cheems de la bolsa Gate.io, y 2 horas después vendió 175.8 mil millones de $Cheems en la cadena. El 22 y 23 de noviembre también hubo grandes compras y ventas parciales. El flujo general de fondos se muestra en la siguiente figura:

La dirección relevante en este incidente es

0xbb8365b1ba2462ffdce9c894ada84478f474fefc

0x0d0707963952f2fba59dd06f2b425ace40b492fe

0xbff62cee932fe7496a88c9193e9ba3fd5eeff46d

Además de los riesgos de la plataforma y el PVP en cadena, los usuarios también pueden encontrarse con estafas de “Pixiu” al operar con memecoins. Anteriormente, Beosin ha ayudado a los usuarios a comprender este tipo de estafa y las medidas preventivas mediante casos. A continuación, se presenta un resumen más completo de las estafas relacionadas con las memecoins:

Tokens falsos

Cada día se lanzan una gran cantidad de nuevos memecoins, y parece que hay oportunidades para enriquecerse en todas partes. De hecho, hay proyectos de imitación interminables y es difícil para los usuarios distinguir cuál es el token correcto para operar.

Muchos desplegadores de memecoin copiarán los nombres y logotipos de tokens de proyectos populares y crearán contratos de tokens con los mismos nombres. Los usuarios pueden ingresar por error a proyectos de imitación, e incluso a plataformas de estafas o trampas porque no verifican cuidadosamente las direcciones de contrato de los tokens, lo que resulta en la imposibilidad de vender los tokens.

Además, la disputa entre la comunidad cripto y el emisor del token sobre la capitalización de memecoin también ha llevado al aumento y caída de los precios de los tokens relacionados. Las recientes disputas y fluctuaciones de precios entre $NEIRO y $neiro, $ELIZA y $eliza muestran el extremadamente alto riesgo de memecoin. Los usuarios necesitan entender la información relevante sobre memecoin, los comentarios de la comunidad y tener cuidado con las partes del proyecto que manipulan el mercado a través de noticias.

Venta restringida

Cuando los usuarios compran memecoins, pueden haber encontrado estafas como honeypots, donde los tokens comprados no se pueden vender o son difíciles de vender. A continuación se presentan formas comunes en las que los estafadores restringen a los usuarios para vender a través de códigos de contrato:

(1) Lista negra/Lista blanca

El emisor del token puede configurar una función de lista negra/lista blanca en el contrato del token para restringir las transacciones de tokens. Por ejemplo, si se agrega una dirección de usuario a la lista negra, es posible que el usuario no pueda llamar a transferir() o transferirDesde() en el contrato del token para transferir tokens.

(2) Modificar saldo

El emisor del token también puede manipular el saldo del token del usuario a través de contratos inteligentes y cambiar el saldo del token del usuario a un valor extremadamente bajo. Si la actualización del saldo solo se registra dentro del contrato, la víctima aún puede ver los tokens que posee en el navegador de blockchain, pero en realidad no puede vender más tokens de los que registra el contrato. Si el saldo de la víctima se actualiza en la cadena, el usuario se dará cuenta de que el memecoin que compró ha disminuido o incluso tiene un saldo de 0.

El siguiente es un ejemplo de código de Solidity que establece el saldo de una dirección en la lista negra en 0:

Además del ecosistema de EVM, Solana también tiene una función similar para modificar saldos: la extensión de Delegado Permanente del programa de tokens:

El Delegado Permanente es la extensión oficial de la funcionalidad de token de Solana. Los administradores tienen derecho a transferir o destruir tokens en cualquier momento. Su propósito es aplicarse a algunos escenarios de aplicación, como el reciclaje de tokens y la supervisión de stablecoins. Al crear un token, el creador puede usar la instrucción createInitializePermanentDelegateInstruction para inicializar el Delegado Permanente.

Dado que el Delegado Permanente tiene demasiada autoridad, algunos hackers utilizan esta extensión para emitir tokens, atraer a los usuarios para que compren sus tokens y luego obtener beneficios de ellos al destruirlos o transferirlos:

(3) Umbral de transacción

Después de que los usuarios compran ciertas memecoins, no pueden venderlas porque hay un umbral estricto de venta en el contrato: se requiere que los usuarios superen el número establecido de tokens (y este número de tokens supera con creces la cantidad de tokens del usuario) antes de poder vender o se debe deducir un impuesto de transacción alto.

Como se muestra en el ejemplo de código a continuación, el desarrollador del contrato puede cambiar el parámetro amountToBurn para establecer el impuesto a la transacción. Cuando el parámetro se establece en 2, se deducirá el 50% del monto del token de la transacción del usuario.

La extensión del token de Solana también tiene una función de TransferFee, que se utiliza para recolectar impuestos sobre cada transacción del token. Para configurar TransferFee, es necesario establecer los siguientes campos:

● Tarifa en puntos base: La tarifa cobrada por cada transferencia, en puntos base

● Tarifa máxima: El límite superior de la tarifa de transferencia

● Autoridad de tarifa de transferencia: puede modificar la dirección de la tarifa de transferencia

● Retirar con autoridad retenida: La dirección a la que se pueden transferir los tokens retenidos en la cuenta de tokens

Debido a la existencia de un límite en la comisión de transferencia, el método de establecer impuestos a las transacciones para implementar el disco Pi Xiu en Solana no es comúnmente utilizado. Es más común que los usuarios sufran pérdidas a través de transferencias de tokens o destrucción de tokens.

(4) Suspensión de la negociación

El emisor del token puede controlar el estado de pausa del contrato en el contrato para restringir la transacción del token. Una vez que el contrato entra en el estado de pausa, la función de transferencia del contrato no estará disponible y los usuarios no podrán comerciar.

Por ejemplo, en el ejemplo de código de Solidity a continuación, la transferencia solo llamará a _update para actualizar el saldo del usuario cuando el contrato no esté en un estado suspendido.

(5) Tiempo mínimo de retención

Después de que un usuario compre memecoin, debe mantenerlo durante un período mínimo de tiempo antes de poder volver a negociarlo. Sin embargo, este período lo establece el emisor del token y puede modificarse a voluntad. Pueden modificar el tiempo mínimo de retención a un valor muy alto para que los usuarios no puedan comerciar.

Por ejemplo, en el siguiente código Solidity de ejemplo, la transferencia debe cumplir con el tiempo de transferencia actual mayor o igual al último tiempo de actualización del usuario + el tiempo de retraso establecido en el contrato.

Tarifas únicas

Después de que los usuarios compren memecoin, no se cobrará ninguna tarifa al comerciar con otros usuarios. Sin embargo, al vender a través de DEX (como Uniswap), se cobrará una tarifa de manejo. Además de vender, también se verán afectados los ingresos de los usuarios que agreguen liquidez o participen en el staking.

Por ejemplo, en el ejemplo de código Solidity a continuación, las transacciones de tokens solo se gravarán cuando la dirección de destino sea una dirección de contrato.

O la tarifa de gestión no se descuenta del monto de la transferencia, sino que se reduce adicionalmente del saldo del remitente. Si este método no se maneja adecuadamente, afectará seriamente el precio en DEX y causará que el valor del token regrese a cero.

Emisión de tokens adicionales

Emitir tokens adicionales es una forma común de implementar Rug Pull. Debido a que el propietario del contrato de tokens o la dirección privilegiada tiene el derecho de acuñar monedas, pueden obtener ganancias emitiendo tokens adicionales y vendiéndolos. Este es un riesgo potencial común en el ecosistema de EVM, Solana y TON. A continuación se muestra la función de acuñación de un token Jetton de TON, que tiene un mecanismo de emisión adicional:

Distribución centralizada de tokens

El problema de la centralización en la distribución de tokens es un riesgo común en los proyectos de blockchain. La mayoría del suministro de tokens está controlado por el equipo del proyecto, lo que les permite manipular las decisiones clave en la gobernanza en cadena mediante votación con tokens o manipular los precios del mercado a través de transacciones a gran escala para afectar los activos de los usuarios.

Como se muestra en el código de Solidity a continuación, cuando se implementa el token, la cantidad total de todos los tokens se asignará al implementador del contrato.

Actualización del proxy

El modo de actualización de proxy utilizado en los contratos de tokens es un modo de diseño común de contratos inteligentes. Puede realizar la actualización de la lógica a través de contratos de proxy sin cambiar la estructura de datos de los contratos de almacenamiento. Aunque este modo brinda flexibilidad, también tiene algunos riesgos y peligros potenciales. El emisor del token puede cambiar la lógica del contrato a voluntad, lo que resulta en la pérdida o el robo de los activos del titular del token.

Como se muestra en el código de Solidity a continuación, el Administrador del contrato puede modificar la dirección de la implementación del contrato. Una vez que se modifica a un contrato incorrecto o incluso a un contrato malicioso, esto conducirá a la pérdida o robo de los activos del usuario.

¿Cómo evitar estafas?

Hay un sinfín de estafas en la locura de Memecoin. Si los usuarios no tienen cuidado, es probable que caigan en estafas relacionadas y pierdan sus fondos. Por lo tanto, el equipo de seguridad de Beosin recomienda a los usuarios:

1. Se racional sobre el efecto de hacerse rico rápidamente de Memecoin y el efecto de publicidad de KOL. Después de que un nuevo token se liste en DEX, los usuarios deben mantenerse racionales, evitar el FOMO y evitar seguir ciegamente la tendencia.

2. No confíes en la "información privilegiada" o "información confidencial". Estos son generalmente estafas que establecen trampas para atraer a los usuarios a asumir riesgos e invertir sin evaluar e investigar la información.

3. Antes de comprar tokens, los usuarios deben verificar los siguientes puntos clave:

● ¿El contrato del token es de código abierto?

● ¿Hay un informe de auditoría?

● ¿Hay un mecanismo de lista negra/lista blanca?

● ¿Existe un impuesto sobre transacciones? ¿Cómo se recauda el impuesto sobre transacciones?

● ¿Hay un mecanismo de pausa?

● Si existen mecanismos especiales como la limitación del volumen de transacción, el monto mínimo de tenencia, el tiempo mínimo de tenencia, etc.

● ¿Son demasiado altas las funciones que el propietario del contrato puede llamar?

● Si el contrato utiliza el modo de proxy

● Cómo gestionar los derechos del propietario del contrato, ya sea sobrefirmar o renunciar

Beosin ha realizado previamente auditorías de seguridad detalladas en múltiples plataformas de lanzamiento de memecoin y contratos de tokens, incluyendo Tokr.fun, Pumpup y Pump404, para garantizar la seguridad de sus códigos de contrato, la corrección de la lógica de implementación comercial y la seguridad de los fondos del proyecto y los usuarios.

1. Muchas plataformas de trading y herramientas de monitoreo de riesgos listarán elementos de detección de contratos de token para los usuarios. Referenciar esta información ayudará a los usuarios a mejorar la precisión en la identificación de estafas. Los usuarios pueden consultar los resultados de detección de múltiples herramientas de seguridad antes de operar. A continuación se presentan las herramientas de detección de riesgos comúnmente utilizadas:

● Honeypot: https://honeypot.is/

● Token Sniffer: https://tokensniffer.com/

● OKX: https://www.okx.com/es/web3/dex-market

● GoPlus: https://gopluslabs.io/token-security

● De.Fi: https://de.fi/scanner

● Alerta Beosin: https://chromewebstore.google.com/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji

Resumen

En este artículo, resumimos las formas comunes de estafas relacionadas con memecoin. A partir de esto, podemos ver que aunque memecoin está llena de oportunidades y posibilidades, también está acompañada de varias trampas. Los usuarios deben mantener un alto grado de vigilancia y precaución en las transacciones de memecoin para reducir el riesgo de pérdida de capital. En el mundo de Web3, la seguridad siempre es lo primero.

Descargo de responsabilidad:

1. Este artículo se reproduce de [ Beosin]. Todos los derechos de autor pertenecen al autor original [Beosin]. Si hay objeciones a esta reimpresión, por favor contacte al Gate Learnequipo y lo resolverán rápidamente.
2. Renuncia de responsabilidad: Las opiniones expresadas en este artículo son únicamente las del autor y no constituyen ningún consejo de inversión.
3. Las traducciones del artículo a otros idiomas son realizadas por el equipo de Gate Learn. A menos que se mencione, está prohibido copiar, distribuir o plagiar los artículos traducidos.