Hogyan ellenőrizzük a tokeneket átverés esetén (1. rész)
A növekvő népszerűségével okos szerződések és decentralizált pénzügyi platformok DeFi, a blokklánc szféra egyre sebezhetőbbé válik a csalási sémák számára. A csalási funkciók okos szerződések sokféle formában jelenhetnek meg, a magas hozamokról szóló hamis ígéretekkel kezdve a rejtett kivonási mechanizmusokig.
Ebben a cikkben részletesen megvizsgáljuk azokat a fő funkciókat, amelyeket okos szerződések kezelésére használnak, például:
- Blacklist
- Proxy
- Pause
- AntiWhale
- Mint
- EnableTrading
- TransferLimits
Vizsgáljuk meg részletesen a fő veszélyeket, amelyekkel a felhasználók szembesülhetnek az okos szerződésekkel való interakció során.
Blacklist mechanizmus
A Blacklist funkciók az okos szerződésekben egy mechanizmus, amely lehetővé teszi a szerződés adminisztrátorainak, hogy feketelistára helyezzenek címeket. A szerződés tulajdonosa hozzáadhat címeket a feketelistához, ezáltal letilthatja azokat bizonyos műveletek végrehajtásától, például a tokenek eladásától vagy a szerződés bizonyos funkcióinak hívásától.
A BlackList funkciókkal rendelkező okos szerződések veszélyei:
Az okos szerződések, amelyek tartalmazzák a Blacklist funkciókat, bizonyos kockázatokat és problémákat hordoznak mind a projekt, mind annak felhasználói számára. Íme néhány a feketelisták funkcióihoz kapcsolódó veszély közül:
- Centralizált irányítás: A Blacklist funkciók gyakran centralizált irányítást biztosítanak a szerződés tulajdonosának vagy adminisztrátorainak.
- Feketelista visszaélés tisztességtelen gyakorlatokhoz: Az visszaélők (beleértve a szerződés tulajdonosát) felhasználhatják a feketelistát konkrét címek megcélzására. Ez tartalmazhatja a számlák befagyasztását vagy a számlák funkcióinak korlátozását indoklás nélkül.
- Átláthatóság hiánya: A feketelista funkciók létezése, különösen ha nem dokumentáltak, átláthatatlanságot eredményezhet. A felhasználók nem feltétlenül ismerik a feketelistázási kritériumokat vagy a feketelistázási eljárást.
- Biztonsági kockázatok: Ha a BlackList nincs biztonságosan megvalósítva, fennáll a sérülékenységek kockázata, amelyek lehetővé tehetik illetéktelen személyek számára a feketelista manipulálását, ami illetéktelen befagyasztáshoz vagy pénzátutaláshoz vezethet.
- Felhasználói bizalomvesztés: A feketelista funkciók léte alááshatja a felhasználói bizalmat, mivel az ő vagyonuk feketelistázható egyértelmű szabályok nélkül.
- Token elkobzás: A támadók feketelistát használhatnak arra, hogy meghatározott címekről elkobozzák a tokeneket vagy eszközöket indokolt indoklás nélkül. Ez jelentős pénzügyi veszteségeket okozhat.
Proxy mechanizmus
Ez a funkció egy mechanizmus, amely lehetővé teszi egy okos szerződés elérését egy másik okos szerződésen keresztül, amit „proxy szerződésnek” neveznek. Ez növeli a szerződés kezelésének képességét és frissíti a logikáját anélkül, hogy meg kellene változtatni a címeket vagy frissíteni kellene a szerződést magát. A proxyk használata bizonyos kockázatokkal jár.
A csalók gyakran sémákat használnak a proxy okos szerződésekben, hogy megtévesszék a felhasználókat. Ahhoz, hogy az ilyen fenyegetéseket felismerje, értenie kell a lehetséges kockázatokat és technikailag jártasnak kell lennie.
A proxy okos szerződések veszélyei:
- Illegális frissítések: A proxy szerződések lehetővé teszik a tulajdonos számára a háttérben lévő szerződés frissítését. Ha azonban ez a mechanizmus nem biztonságosan van megvalósítva, illetéktelen frissítésekhez vezethet, amelyek lehetővé teszik a támadók számára, hogy rosszindulatú kódot injektáljanak a szerződésbe.
- Érvénytelen külső hívások: A rosszindulatú programozók külső hívásokat használhatnak nem megbízható szerződésekre valódi validáció nélkül. Ez sérülékenységeket eredményezhet, beleértve a reentrancy támadásokat, ahol a rosszindulatú szerződések ismételten meghívják a proxy szerződést, potenciálisan kimerítve annak alapjait.
- Átláthatóság hiánya: A kezelő szerződés forráskódja általában nem ellenőrizhető.
- Hamis projektek: A csalók hamis projekteket hoznak létre, amelyek vonzó jellemzőket ígérnek, például magas hozamokat vagy egyedi funkcionalitást. Proxy szerződéseket használhatnak annak látszatának megteremtésére, hogy legitim, miközben a rosszindulatú szándékot elrejtik.
- Ponzi sémák: A csalók Ponzi sémákat építenek proxy szerződéseken alapulva, amelyekkel magas hozamokat ígérnek a felhasználóknak. Az ilyen sémáknak frissíthető összetevői lehetnek, hogy fenntartsák a hihetőség látszatát.
- Klónozott szerződések: A csalók klónozzák a legitim projekteket, és sérülékenységeket vagy változásokat vezetnek be a klónozott szerződésbe. A gyanútlan felhasználók ilyen klónokkal interakcióba léphetnek, az eredeti verziók helyett.
Pause mechanizmus
Ez a funkció egy mechanizmus, amely lehetővé teszi a szerződés tulajdonosának, hogy ideiglenesen felfüggessze (kikapcsolja) és folytassa (bekapcsolja) a szerződés bizonyos funkcióit vagy jellemzőit (például kereskedelmet, token átutalásokat stb.). Ez alkalmazható a szerződés állapotának kezelésére bizonyos helyzetekben vagy a piaci körülmények változására való reagálásként, de ez az eszköz a csalók kezében valós veszélyt jelenthet az befektetők számára.
A smart szerződések Pause funkcióival kapcsolatos veszélyek:
- Illegális felfüggesztés: A csalók hozzáférhetnek a Pause funkciókhoz és megállíthatják a szerződést megfelelő engedély nélkül, ami vállalkozási zavart vagy pénzügyi veszteséget okozhat.
- Csaló késleltetések: A rosszindulatú szerződések kritikus tranzakciókat (például kivonásokat vagy átutalásokat) felfüggeszthetnek ideiglenes karbantartási vagy biztonsági intézkedések látszatában, miközben céljuk a felhasználók vagyonának hozzáférésének megtagadása.
- Álhírek a vészhelyzetekről: A csalók hamis vészhelyzeteket vagy sebezhetőségeket jelenthetnek be a szerződés felfüggesztésének igazolására, majd kihasználhatják a felhasználói alapokat a felfüggesztés idején.
- Biztonsági ürügy: A rosszindulatú szerződések azt állíthatják, hogy biztonsági sebezhetőséget fedeztek fel, ami miatt a felfüggesztési funkciót aktiválják. Valójában a csalók szándéka lehet a helyzet kihasználása.
- Vészhelyzet sémák: A csalók félelmet keltő nyelvezetet vagy forgatókönyveket használhatnak, például „betörési kísérlet” vagy „vészhelyzet” kijelentésével a felfüggesztés igazolására, amely alatt törvénytelen cselekményeket követhetnek el.
AntiWhale mechanizmus
Ez a funkció arra szolgál, hogy korlátozásokat vezessen be a token értékesítésekre, hogy megakadályozza a tömeges visszavonásokat vagy a manipulációt, amit "hullámoknak" neveznek - nagy mennyiségű tranzakciók egyéni résztvevőktől, amelyek hatással lehetnek a token árára és a piaci likviditásra. A korlátozásokat beállíthatják egyetlen tranzakcióban érintett tokenek számára, vagy az összes értékesített token teljes számára adott időszak alatt.
Az AntiWhale mechanizmus fő célja, hogy csökkentse a nagy értékű tranzakciók egyetlen címről vagy kis csoport címeiről (gyakran "bálnáknak" nevezve) történő hatását. Célja az is, hogy megakadályozza a tokenek túlzott koncentrációját egyetlen kézben, és harcoljon a piaci manipulációk vagy destabilizációk ellen.
Az AntiWhale mechanizmusok általában korlátozásokat állítanak be egyedi tranzakciók méretére vagy értékére. A beállított küszöbértéket meghaladó tranzakciók korlátozásokkal járnak, például tranzakció elutasítással, magas díjakkal vagy más újraelosztási mechanizmusokkal.
Potenciális kockázatok a token tulajdonosok számára:
- Túl szigorú AntiWhale korlátozások beállítása problémát jelenthet azok számára, akiknek szükségük van nagy értékű tranzakciókra.
- Az AntiWhale mechanizmus túlzott kihasználása esetén véletlenül központosítást segíthet elő, ha figyelmen kívül hagyják a szélesebb ökoszisztéma figyelembevételét.
CoolDown mechanizmus
A CoolDown mechanizmus arra szolgál, hogy időkorlátokat vezessen be egymást követő tranzakciók között ugyanattól a címtől. Célja a tranzakciók gyakoriságának szabályozása, és az, hogy megakadályozza a rövid időközönkénti túlzott vásárlási vagy eladási tevékenységet.
A CoolDown időtartamokat állít be a tranzakciók közötti várakozási időkre, gyakran azzal a megkötéssel, hogy az utolsó tranzakció óta eltelt idő alapján. A felhasználóknak várniuk kell, amíg lejár a CoolDown időszak, mielőtt új tranzakciót indítanának.
A CoolDown mechanizmus felhasználása:
A csalók kihasználhatják a CoolDown mechanizmust a felhasználók átverésére, olyan stratégiákkal, amelyek kihasználják a korlátozásokat. Tekintsük át a CoolDown által a befektetők számára jelentett fő kockázatokat.
- Hatás a likviditásra: A CoolDown befolyásolhatja a likviditást a decentralizált tőzsdéken a tranzakciók gyakoriságának csökkentésével. Ez növelheti az ajánlat-kérelem közötti különbséget, és potenciálisan hatással lehet az általános kereskedési állapotra.
- Véletlen következmények: A nem kívánt következmények elkerülése érdekében a CoolDown korlátozásokat gondosan kell beállítani. Például túl rövid korlátozások esetén hatástalan lehet a manipuláció megakadályozása, túl hosszú korlátozások pedig megakadályozhatják a jogos kereskedési tevékenységet.
- ICO vagy token értékesítési időszakok: Kezdeti token kibocsátások (ICO-k) vagy token értékesítési időszakok során korlátozásokat lehet bevezetni, hogy megakadályozzák a nagy résztvevőket abban, hogy többszörös egymást követő tranzakciókat hajtsanak végre.
- Fehérlista vagy hozzáférési szintek: A CoolDown-t használhatják Fehérlista címekkel vagy lépcsős jogosultsági rendszerekkel együtt. Például a magasabb szintű felhasználóknak lehet rövidebb várakozási időjük, mint az összes többi.
Fő különbségek az AntiWhale és CoolDown funkciók között
Paraméterek | AntiWhale | CoolDown |
Paraméterek: Beavatkozás | AntiWhale: Alapvetően azokat a felhasználókat érinti, akik magas tranzakciós volumenekkel rendelkeznek. | CoolDown: Minden felhasználóra vonatkozik, függetlenül a tranzakció méretétől. |
Paraméterek: Piaci dinamika | AntiWhale: A koncentrációs problémák megoldására összpontosít. | CoolDown: A tranzakciók gyakoriságának szabályozására irányul. |
Paraméterek: Projekt céljai | AntiWhale: A cél a tokenek elosztása és a piac stabilitásának biztosítása. | CoolDown: Főként a piaci stabilitás biztosítására és a gyors kereskedés megakadályoz ására irányul. |
Ne felejtse, hogy a csalók folyamatosan fejlesztik taktikáikat, ezért fontos tájékozottnak lenni és óvatosnak lenni - ezek alapvető stratégiák a token befektetésének védelmében. Ha gyanús dolgokba ütközik, vagy kétségei vannak, ne habozzon fordulni hozzánk segítségért, vagy konzultáljon szakértőkkel a területen.
Mint mechanizmus
A mint funkciókat általában arra használják, hogy új tokeneket hozzanak létre a rendszerben. Ez azt jelenti, hogy a szerződés tulajdonosai "nyomtathatnak" (vagy "építhetnek") új tokeneket, növelve ezzel a forgalomban lévő tokenek teljes számát. Ezzel inflációt és a token tulajdonosok eszközeinek értékcsökkenését okozhatják. Ez a funkció gyakran használatos az ERC-20 szabvány vagy más hasonló szabványok alapján létrehozott tokenekben.
A smart kontraktusok veszélyei a nyomtatási funkciókkal
- Engedély nélküli bányászat: Csalók korlátlan számú token létrehozásával csökkenthetik a meglévő tokenek értékét, és inflációt okozhatnak.
- Kínálat manipulálása: Csalók manipulálhatják a token kínálatát azáltal, hogy megtévesztik a befektetőket, vagy azt az érzetet keltik, hogy egy projekt értékesebb, mint amilyen valójában.
- Hamis ritkaság: Ezen projektek ígérhetnek ritkaságot, de az első nyilvános kibocsátás után nyomtatással növelhetik a tokenek mennyiségét, csökkentve a tokenek értékét, és becsapva azokat a befektetőket, akik a ritkaságon vonzódtak a projekthez.
- Inflációs jutalmak: Projektek állíthatják, hogy stake-elési vagy osztalékfizetési jutalmakat kínálnak, miközben további tokeneket nyomtatnak "jutalomként", csökkentve a résztvevők állományát.
- Hirtelen nyomtatás: Csalók hirtelen kiadhatnak tokeneket megfelelő nyilvánossági tájékoztatás vagy irányítás nélkül, pánikot és értékvesztést okozva a token tulajdonosok számára.
EnableTrading mechanizmus
Ez a mechanizmus arra szolgál, hogy ellenőrizze a tokenekkel való kereskedés képességét. Amikor ez a funkció aktív, a felhasználók vásárolhatnak és eladhatnak tokeneket a piacon. Ha a funkció letiltva van, korlátozott a kereskedési lehetőség. Gyakran ezt a mechanizmust használják az éleslövész robotok ellen, ami teljesen érthető. Azonban a csalók is használhatják az EnableTrading mechanizmust arra, hogy manipulálják a jutalékokat (Díj) és automatikusan blokkolják a felhasználókat (Feketelista).
A smart kontraktusok veszélyei az EnableTrading funkciókkal:
- Engedély nélküli kereskedési aktiválás: Csalók manipulálhatják az EnableTrading funkciókat, hogy engedély nélkül engedélyezzék a kereskedést vagy átutalásokat (Átutalás). Ez engedély nélküli kereskedést vagy csaló átutalásokat eredményezhet.
- Hamis aktiválási állítások: Rosszindulatú szerződések hamisan állíthatják, hogy bizonyos feltételek teljesülnek a kereskedés aktiválásához. Valóságban ezek a feltételek nem teljesülhetnek, ami csaló kereskedésekhez vagy átutalásokhoz vezethet.
- Késleltetett aktiválás: Rosszindulatú szerződések engedélyezhetik a kereskedés aktiválását, de jelentős késedelmekkel, ami arra késztetheti a felhasználókat, hogy higgyék, hogy a kereskedési funkció ideiglenesen letiltva van.
TransferLimits mechanizmus
A Transfer Limits használatával a szerződés tulajdonosai döntésük szerint korlátozhatják a tokenek kereskedelmét/átutalását bizonyos időkorlátok között. Csalók ezt a mechanizmust olyan forgatókönyvekben használhatják, ahol egy felhasználó korlátlan számú tokeneket vásárolhat, de csak kis részüket adhatja el (és nem mindig és időbeli késedelmekkel). Ezért rendkívül fontos egyedi esetekben megérteni a Transfer Limits szerkezetét.
A smart kontraktusok veszélyei a TransferLimits funkciókkal:
- Gyakran a transfer limites smart kontraktusok korlátozásokat állítanak be azon tokenek számára, amelyeket bizonyos idő alatt vagy bizonyos feltételek mellett lehet átutalni. Habár ezek a funkciók legitim célokat szolgálhatnak, például nagy mennyiségű token dumpolás megakadályozása vagy a transzfer arányának ellenőrzése, potenciális kockázatokkal is járnak.
- Az ilyen séma fő veszélye az, hogy a befektetők vonzódnak a tokenek vásárlásához, de az eladás jelentősen korlátozott lehet a tokenek számára, vagy rendkívül nem jövedelmező lehet magas jutalékok miatt.
Ahhoz, hogy elkerüljük a csalásokat a tokenek kiválasztásakor, tartsuk be az alábbi szabályokat:
-
Alaposan elemzés a kódot.
Az első és legfontosabb lépés a fenyegetések azonosításában egy részletes elemzés a smart kontraktus kódjának. Szükséges alaposan átvizsgálni a kódot, hogy gyanús, rejtett és potenciálisan veszélyes elemeket azonosítsunk. Ide tartozik a kontraktus logikájának ellenőrzése, pénzáramlások kiszámítása és a sebezhetőségi pontok azonosítása. -
Független auditok felfedezése
Keressen olyan smart kontraktusokat, amelyeket független könyvvizsgáló vállalatok ellenőriztek. A szakmai könyvvizsgálók azonosíthatják a potenciális veszélyeket és kockázatokat. -
Dokumentáció ellenőrzése
Vizsgálja meg a dokumentációt és a kontraktus megjegyzéseit, hogy említést találjon az fent leírt funkciókról. A dokumentációnak világos és részletes leírást kell nyújtania a használt funkciókról. -
A kód átláthatóságának ellenőrzése
Győződjön meg arról, hogy a smart kontraktus kódja minden felhasználó számára nyitott. A fejlesztőknek részletes információkat kell nyújtaniuk a projektjükről, beleértve a kódot, az auditokat és az elérhetőségi információkat. -
Kövesse a közösségi visszajelzéseket
Ellenőrizze a közösségi fórumokat, közösségi médiát vagy hivatalos csatornákat, hogy megbeszéléseket találjon a gyanús funkciók jelenlétéről és használatáról. A felhasználók értékes betekintést és aggodalmakat nyújthatnak. -
Figyelje a projekt tevékenységét
Rendszeresen kövesse nyomon a kontraktus tevékenységét a blokkláncban. Szokatlan vagy váratlan változások a pénzügyi áramlási mintákban, vagy a pénzügyi átutalási korlátok feloldása indokolatlan magyarázat nélkül, potenciális fenyegetést jelezhetnek. -
Figyelje a projekt hírnevét
Vizsgálja meg a projekt és fejlesztőcsapat hírnevét. A projektek, amelyek átlátható történettel, rendszeres kommunikációval a közösséggel és elkötelezettséggel a biztonság iránt, általában megbízhatóbbak. -
Maradjon naprakész
Kövesse a legfrissebb fejleményeket közösségünkben (Telegram csatorna) és a legjobb gyakorlatokat a csalások felismerésére (Blogunk és YouTube csatornánk).
Következtetések
Áttekintettük a smart kontraktusokban használt fő funkciókat. Minden funkció egy erőteljes eszköz a smart kontraktusok kezelésére, ezért gyakran bizonyos kockázatokkal jár a felhasználók számára.
A DeFi programozási és auditálási készségek szükségesek annak megértéséhez, hogy az adott smart kontraktusban milyen lehetséges sebezhetőségek vannak. A kód tanulmányozása, részletes auditálása, az egyes funkciók alapos elemzése és az új csalási séma rendszeres figyelése segít megérteni, érdemes-e interakcióba lépni egy smart kontraktussal.
Ne feledje, hogy a biztonság az elsődleges szempont!
Ha bármilyen kétsége merülne fel a smart kontraktus biztonságával
kapcsolatban, mindig használhatja Lotus Market platformunkat.
A Lotus Market egy tapasztalt fejlesztőkből és profi auditorokból álló DeFi
csapat.
Regisztráljon prémium előfizetésre, és hozzáférést kapjon exkluzív szűrőkhöz a smart kontraktusok funkcióihoz és friss analitikákhoz. Növelje az esélyeit a nyereséges tokenekbe történő sikeres befektetéshez!
All posts