Comment vérifier si un jeton est frauduleux (partie 1)

Avec la popularité croissante des contrats intelligents et des plateformes financières décentralisées DeFi, la sphère de la blockchain devient de plus en plus vulnérable aux schémas d'escroquerie. Les fonctions d'escroquerie dans les contrats intelligents peuvent prendre de nombreuses formes, des fausses promesses de rendements élevés aux mécanismes de retrait cachés.

Dans cet article, nous examinerons les principales fonctions utilisées pour gérer les contrats intelligents, telles que :

1. Blacklist
2. Proxy
3. Pause
4. AntiWhale
5. Mint
6. EnableTrading
7. TransferLimits

Analysons en détail les principaux dangers auxquels les utilisateurs peuvent être confrontés lorsqu'ils interagissent avec un contrat intelligent.

Mécanisme de la liste noire (Blacklist)

Les fonctions de liste noire dans les contrats intelligents sont un mécanisme qui permet aux administrateurs du contrat d'ajouter des adresses à une liste noire. Un propriétaire de contrat intelligent peut ajouter des adresses à une liste noire, les empêchant d'effectuer certaines actions, comme les empêcher de vendre des tokens ou d'appeler certaines fonctions du contrat.

Les dangers des contrats intelligents avec des fonctions de liste noire (BlackList):

Les contrats intelligents qui incluent des fonctions de liste noire comportent certains risques et problèmes pour le projet et ses utilisateurs. Voici quelques dangers associés aux fonctions de liste noire :

1. Contrôle centralisé : Les fonctions de liste noire offrent souvent un contrôle centralisé au propriétaire du contrat ou aux administrateurs.


2. Abus de la liste noire pour des pratiques déloyales : Les abuseurs (y compris le propriétaire du contrat) peuvent utiliser la liste noire pour cibler des adresses spécifiques. Cela peut inclure la congélation ou la restriction des fonctionnalités des comptes sans raison valable.


3. Manque de transparence : L'existence de fonctions de liste noire, surtout si elles ne sont pas documentées, peut entraîner un manque de transparence. Les utilisateurs peuvent ne pas être informés des critères de liste noire ou de la procédure de liste noire.


4. Risques de sécurité : Si la liste noire n'est pas mise en œuvre de manière sécurisée, il existe un risque de vulnérabilités qui pourraient permettre à des personnes non autorisées de manipuler la liste noire, ce qui pourrait conduire à la congélation ou au transfert non autorisé de fonds.


5. Désaveu des utilisateurs : L'existence de fonctions de liste noire peut compromettre la confiance des utilisateurs car leurs avoirs peuvent être placés sur liste noire sans règles claires.


6. Confiscation de tokens : Les attaquants peuvent utiliser une liste noire pour confisquer des tokens ou des actifs provenant de certaines adresses sans justification appropriée. Cela peut entraîner des pertes financières importantes.

Mécanisme de proxy

Cette fonction est un mécanisme qui permet à un contrat intelligent d'être accédé par un autre contrat intelligent, appelé "contrat proxy". Cela améliore la capacité à gérer le contrat et à mettre à jour sa logique sans avoir à changer les adresses ou à mettre à jour le contrat lui-même. L'utilisation de proxies comporte certains risques.

Les fraudeurs utilisent souvent des schémas dans les contrats intelligents de proxy pour tromper les utilisateurs. Pour identifier de telles menaces, il est nécessaire de comprendre les risques potentiels et d'être techniquement compétent.

Les dangers des contrats intelligents de proxy :

1. Mises à jour non autorisées : Les contrats proxy permettent au propriétaire de mettre à jour le contrat sous-jacent. Cependant, si ce mécanisme n'est pas mis en œuvre de manière sécurisée, il peut entraîner des mises à jour non autorisées, permettant aux attaquants d'injecter un code malveillant dans le contrat.


2. Appels externes invalidés : Les programmeurs malveillants peuvent utiliser des appels externes à des contrats non fiables sans validation adéquate. Cela peut entraîner des vulnérabilités, y compris des attaques de réentrance, où des contrats malveillants invoquent à plusieurs reprises un contrat proxy, potentiellement épuisant ses fonds.


3. Manque de transparence : Le code source du contrat de gestion n'est généralement pas vérifié.


4. Projets fictifs : Les fraudeurs créent des projets fictifs promettant des fonctionnalités attractives telles que des rendements élevés ou des fonctionnalités uniques. Ils peuvent utiliser des contrats proxy pour créer l'apparence de légitimité tout en cachant une intention malveillante.


5. Systèmes de Ponzi : Les escrocs construisent des systèmes de Ponzi basés sur des contrats proxy, attirant les utilisateurs avec des promesses de rendements élevés. De tels schémas peuvent avoir des composants mis à jour pour maintenir l'illusion de plausibilité.


6. Contrats clonés : Les escrocs clonent des projets légitimes et introduisent des vulnérabilités ou des modifications dans le contrat cloné. Les utilisateurs non avertis peuvent interagir avec de tels clones, les confondant avec l'original.

Mécanisme de pause (Pause)

Cette fonction est un mécanisme qui permet aux propriétaires de contrats de suspendre temporairement (désactiver) et de reprendre (activer) certaines fonctions ou caractéristiques du contrat (comme le trading, les transferts de tokens, etc.). Cela peut être utilisé pour gérer l'état du contrat dans certaines situations ou en réponse aux conditions changeantes du marché, mais cet outil entre les mains de fraudeurs peut représenter une véritable menace pour les investisseurs.

Les dangers des contrats intelligents avec des fonctions de pause (Pause) :

1. Pause non autorisée : Les fraudeurs peuvent prendre le contrôle des fonctions de pause et arrêter le contrat sans autorisation adéquate, ce qui peut entraîner une interruption des activités ou des pertes financières.


2. Délais trompeurs : Les contrats malveillants peuvent suspendre des transactions critiques, telles que des retraits ou des transferts, sous prétexte de maintenance temporaire ou de mesures de sécurité, tout en ayant l'intention de priver les utilisateurs de leurs actifs.


3. Faux motifs d'urgence : Les fraudeurs peuvent prétendre faussement à des urgences ou à des vulnérabilités pour justifier une pause de contrat, puis exploiter les fonds des utilisateurs pendant la pause.


4. Prétexte de sécurité : Les contrats malveillants peuvent prétendre qu'une vulnérabilité de sécurité a été découverte, entraînant l'activation de la fonction de suspension. En réalité, les fraudeurs peuvent avoir l'intention de profiter de la situation.


5. Schemes d'urgence : Les fraudeurs peuvent utiliser un langage ou des scénarios alarmistes, tels que prétendre à une "tentative de cambriolage" ou une "urgence", pour justifier une pause pendant laquelle ils peuvent commettre des actes illégaux.

Mécanisme AntiWhale

Cette fonction est utilisée pour imposer des limites aux ventes de tokens afin de prévenir les retraits de masse ou la manipulation connue sous le nom de "vagues" - de grands volumes de transactions de la part de participants individuels qui peuvent affecter le prix des tokens et la liquidité du marché. Des limites peuvent être fixées sur le nombre de tokens dans une seule transaction ou sur le nombre total de tokens pouvant être vendus sur une période donnée.

Le but principal du mécanisme AntiWhale est de réduire l'impact des transactions importantes provenant d'une seule adresse ou d'un petit groupe d'adresses, souvent appelés "baleines". Il vise à éviter une concentration excessive des tokens entre les mêmes mains et à lutter contre une possible manipulation ou déstabilisation du marché.

Les mécanismes AntiWhale fixent généralement des limites sur la taille ou la valeur des transactions individuelles. Les transactions dépassant un seuil défini entraînent l'imposition de restrictions telles que le rejet de transaction, des frais élevés ou d'autres mécanismes de redistribution.

Risques potentiels pour les détenteurs de tokens :

1. Fixer des limites AntiWhale trop strictes peut poser problème aux utilisateurs ayant besoin de grandes transactions.


2. Une dépendance excessive au mécanisme AntiWhale peut involontairement favoriser la centralisation s'il est mis en œuvre sans tenir compte de l'écosystème global.

Mécanisme de refroidissement (CoolDown)

Le mécanisme de refroidissement est conçu pour imposer des délais entre les transactions consécutives provenant de la même adresse. Son objectif est de réguler la fréquence des transactions et de prévenir une activité d'achat ou de vente excessive sur de courtes périodes.

Les délais de refroidissement fixent des périodes d'attente entre les transactions, souvent basées sur le temps écoulé depuis la dernière transaction effectuée depuis une adresse particulière. Les utilisateurs doivent attendre que la période de refroidissement expire avant de pouvoir démarrer une nouvelle transaction.

Utilisation du mécanisme de refroidissement :

Les fraudeurs peuvent utiliser le mécanisme de refroidissement pour tromper les utilisateurs en élaborant des stratégies qui exploitent ces limitations. Examinons les principaux risques que le CoolDown pose aux investisseurs.

1. Impact sur la liquidité : Le CoolDown peut affecter la liquidité sur les échanges décentralisés en réduisant la fréquence des transactions. Cela pourrait entraîner une augmentation des écarts entre les prix d'achat et de vente et potentiellement affecter l'état général du trading.


2. Conséquences involontaires : Pour éviter des conséquences involontaires, les limites de CoolDown doivent être soigneusement calibrées. Par exemple, des contraintes trop courtes peuvent inefficacement prévenir la manipulation, tandis que des contraintes trop longues peuvent empêcher l'activité de trading légitime.


3. Périodes d'ICO ou de vente de tokens : Lors des offres initiales de tokens (ICO) ou des périodes de vente de tokens, des restrictions peuvent être imposées pour empêcher les gros participants d'effectuer plusieurs transactions consécutives.


4. Listes blanches ou niveaux d'accès : Le CoolDown peut être utilisé en conjonction avec des adresses en liste blanche ou des systèmes d'attribution de niveaux. Par exemple, les utilisateurs de niveau supérieur peuvent avoir des périodes d'attente plus courtes que les autres.

Principales différences entre les fonctions AntiWhale et CoolDown

Paramètres	AntiWhale	CoolDown
Paramètres : Influence	AntiWhale : Affecte principalement les utilisateurs avec des volumes de transactions élevés.	CoolDown : S'applique à tous les utilisateurs, quel que soit la taille de la transaction.
Paramètres : Dynamique du marché	AntiWhale : Axé sur la résolution des problèmes de concentration.	CoolDown : Visant à réguler la fréquence des transactions.
Paramètres : Objectifs du projet	AntiWhale : Le but est de distribuer les tokens et d'assurer la stabilité du marché.	CoolDown : Principalement destiné à assurer la stabilité du marché et à prévenir le trading rapide.

N'oubliez pas que les escrocs améliorent constamment leurs tactiques, il est donc important d'être informé et de faire preuve de prudence - ces stratégies sont essentielles pour protéger votre investissement en tokens. Si vous rencontrez quelque chose de suspect ou si vous avez des doutes, n'hésitez pas à nous contacter pour obtenir de l'aide ou à consulter des experts dans le domaine.

Mécanisme de création de tokens (Mint)

Les fonctions de création de tokens sont généralement utilisées pour créer des tokens supplémentaires dans le système. Cela signifie que les détenteurs de contrat peuvent "imprimer" (ou "créer") de nouveaux tokens, augmentant ainsi le nombre total de tokens en circulation, créant de l'inflation et dévaluant les actifs des détenteurs de tokens. Cette fonction est souvent utilisée dans les tokens créés selon la norme ERC-20 ou d'autres normes similaires.

Les dangers des contrats intelligents avec des fonctions de création de tokens (Mint)

1. Création de tokens non autorisée : Les escrocs peuvent créer un nombre illimité de tokens, diluant ainsi la valeur des tokens existants et provoquant de l'inflation.


2. Manipulation de l'offre : Les fraudeurs peuvent manipuler l'offre de tokens pour tromper les investisseurs ou donner l'impression qu'un projet est plus précieux qu'il ne l'est réellement.


3. Fausse rareté : Ces projets peuvent promettre la rareté, mais après l'offre publique initiale, ils peuvent utiliser la création de tokens, diluant ainsi la valeur des tokens et trompant les investisseurs attirés par la rareté.


4. Récompenses inflationnistes : Les projets peuvent prétendre offrir des récompenses de jalonnement ou de dividendes, mais créer des tokens supplémentaires comme "récompenses", dévaluant ainsi les avoirs des participants.


5. Création soudaine de tokens : Les escrocs peuvent soudainement émettre des tokens sans une divulgation ou une gouvernance appropriée, provoquant la panique et la perte de valeur pour les détenteurs de tokens.

Mécanisme EnableTrading

Ce mécanisme est utilisé pour contrôler la capacité de négocier des tokens. Lorsque cette fonction est activée, les utilisateurs peuvent acheter et vendre des tokens sur le marché. Si la fonction est désactivée, la capacité de négociation est limitée. Souvent, ce mécanisme est utilisé pour lutter contre les robots snipers, ce qui est bien mérité. Cependant, les escrocs peuvent également utiliser le mécanisme EnableTrading pour manipuler les commissions (Frais) et bloquer automatiquement les utilisateurs (Liste noire).

Les dangers des contrats intelligents avec des fonctions EnableTrading :

1. Activation de la négociation non autorisée : Les fraudeurs peuvent manipuler les fonctions EnableTrading pour permettre la négociation ou les transferts sans autorisation appropriée. Cela peut entraîner des échanges non autorisés ou des transferts frauduleux.


2. Faux avis d'activation : Les contrats malveillants peuvent prétendre faussement que certaines conditions sont remplies pour activer une transaction. En réalité, les conditions peuvent ne pas être remplies, ce qui entraîne des transactions ou des transferts frauduleux.


3. Activation retardée : Les contrats malveillants peuvent permettre l'activation de la négociation mais avec des retards significatifs, amenant les utilisateurs à croire que la fonction de négociation est temporairement désactivée.

Mécanisme TransferLimits

L'utilisation des Limites de transfert permet de fixer des limites sur le commerce/le transfert de tokens à la discrétion des propriétaires de contrats. Les escrocs peuvent utiliser ce mécanisme dans un scénario où un utilisateur peut acheter un nombre illimité de tokens, mais peut en vendre seulement une petite partie (et pas toujours et avec des délais). Il est donc très important de comprendre la structure des Limites de transfert cas par cas.

Les dangers des contrats intelligents avec des fonctions TransferLimits :

1. Les contrats intelligents avec des limites de transfert imposent souvent des restrictions sur le nombre de tokens pouvant être transférés dans un certain laps de temps ou dans certaines conditions. Bien que ces fonctions puissent servir des objectifs légitimes, tels que prévenir le déversement massif de tokens ou contrôler le taux de transfert, elles comportent également des risques potentiels.


2. Le principal danger de ce schéma est que les investisseurs sont attirés pour acheter des tokens, mais la vente peut être considérablement limitée soit par le nombre de tokens, soit être extrêmement peu rentable en raison de commissions élevées.

Pour éviter de vous faire escroquer lors du choix des tokens, respectez les règles suivantes :

1. Analysez le code en profondeur.
   La première et la plus importante étape pour identifier les menaces est une analyse détaillée du code du contrat intelligent. Il est nécessaire d'examiner minutieusement le code pour repérer les éléments suspects, cachés et potentiellement dangereux. Cela inclut la vérification de la logique du contrat, le calcul des flux financiers et l'identification des points de vulnérabilité possibles.


2. Explorez les audits indépendants.
   Recherchez les contrats intelligents qui ont été audités de manière indépendante par des cabinets comptables réputés. Les auditeurs professionnels peuvent identifier les menaces et les risques potentiels.


3. Vérifiez la documentation.
   Examinez la documentation et les commentaires du contrat pour y trouver mention des fonctions décrites ci-dessus. La documentation doit fournir une description claire et détaillée des fonctions à utiliser.


4. Vérifiez la transparence du code.
   Assurez-vous que le code du contrat intelligent est ouvert à tous les utilisateurs. Les développeurs doivent fournir des détails sur leur projet, y compris le code, les audits et les informations de contact.


5. Suivez les retours dans les communautés.
   Consultez les forums communautaires, les médias sociaux ou les canaux officiels pour voir s'il y a des discussions sur la présence et l'utilisation de fonctions suspectes. Les utilisateurs peuvent fournir des informations et des préoccupations précieuses.


6. Surveillez l'activité du projet.
   Surveillez régulièrement l'activité du contrat sur la blockchain. Des changements inhabituels ou inattendus dans les schémas de transfert de fonds ou la levée de restrictions sur les transferts de fonds sans explication adéquate peuvent indiquer une menace potentielle.


7. Prêtez attention à la réputation du projet.
   Renseignez-vous sur la réputation du projet et de son équipe de développement. Les projets ayant une histoire de transparence, une communication régulière avec la communauté et un engagement en matière de sécurité sont généralement plus dignes de confiance.


8. Restez à jour.
   Tenez-vous au courant des derniers développements dans notre communauté (chaîne Telegram) et des meilleures pratiques de détection des fraudes (notre blog et chaîne YouTube).

Conclusion

Nous avons examiné les principales fonctions utilisées dans les contrats intelligents. Chaque fonction est un outil puissant pour gérer les contrats intelligents, c'est pourquoi elle comporte souvent certains risques pour les utilisateurs.

La programmation et l'audit DeFi nécessitent de comprendre les vulnérabilités potentielles de chaque contrat intelligent spécifique. L'étude du code, l'audit détaillé, l'analyse détaillée de chaque fonction et la surveillance régulière des nouveaux schémas de fraude vous aideront à comprendre s'il est judicieux d'interagir avec un contrat intelligent.

N'oubliez pas que la sécurité est votre priorité !

Si vous avez des doutes concernant la sécurité d'un contrat intelligent, vous pouvez toujours utiliser notre plateforme Lotus Market.
Lotus Market est une équipe de développeurs expérimentés et d'auditeurs professionnels en DeFi.

Inscrivez-vous à un abonnement premium et accédez à des filtres exclusifs sur les fonctions des contrats intelligents et à des analyses fraîches. Augmentez vos chances d'investir avec succès dans des tokens rentables !

All posts