Hogyan ellenőrizzük a tokeneket átverés esetén (1. rész)

A növekvő népszerűségével okos szerződések és decentralizált pénzügyi platformok DeFi, a blokklánc szféra egyre sebezhetőbbé válik a csalási sémák számára. A csalási funkciók okos szerződések sokféle formában jelenhetnek meg, a magas hozamokról szóló hamis ígéretekkel kezdve a rejtett kivonási mechanizmusokig.

Ebben a cikkben részletesen megvizsgáljuk azokat a fő funkciókat, amelyeket okos szerződések kezelésére használnak, például:

1. Blacklist
2. Proxy
3. Pause
4. AntiWhale
5. Mint
6. EnableTrading
7. TransferLimits

Vizsgáljuk meg részletesen a fő veszélyeket, amelyekkel a felhasználók szembesülhetnek az okos szerződésekkel való interakció során.

Blacklist mechanizmus

A Blacklist funkciók az okos szerződésekben egy mechanizmus, amely lehetővé teszi a szerződés adminisztrátorainak, hogy feketelistára helyezzenek címeket. A szerződés tulajdonosa hozzáadhat címeket a feketelistához, ezáltal letilthatja azokat bizonyos műveletek végrehajtásától, például a tokenek eladásától vagy a szerződés bizonyos funkcióinak hívásától.

A BlackList funkciókkal rendelkező okos szerződések veszélyei:

Az okos szerződések, amelyek tartalmazzák a Blacklist funkciókat, bizonyos kockázatokat és problémákat hordoznak mind a projekt, mind annak felhasználói számára. Íme néhány a feketelisták funkcióihoz kapcsolódó veszély közül:

1. Centralizált irányítás: A Blacklist funkciók gyakran centralizált irányítást biztosítanak a szerződés tulajdonosának vagy adminisztrátorainak.


2. Feketelista visszaélés tisztességtelen gyakorlatokhoz: Az visszaélők (beleértve a szerződés tulajdonosát) felhasználhatják a feketelistát konkrét címek megcélzására. Ez tartalmazhatja a számlák befagyasztását vagy a számlák funkcióinak korlátozását indoklás nélkül.


3. Átláthatóság hiánya: A feketelista funkciók létezése, különösen ha nem dokumentáltak, átláthatatlanságot eredményezhet. A felhasználók nem feltétlenül ismerik a feketelistázási kritériumokat vagy a feketelistázási eljárást.


4. Biztonsági kockázatok: Ha a BlackList nincs biztonságosan megvalósítva, fennáll a sérülékenységek kockázata, amelyek lehetővé tehetik illetéktelen személyek számára a feketelista manipulálását, ami illetéktelen befagyasztáshoz vagy pénzátutaláshoz vezethet.


5. Felhasználói bizalomvesztés: A feketelista funkciók léte alááshatja a felhasználói bizalmat, mivel az ő vagyonuk feketelistázható egyértelmű szabályok nélkül.


6. Token elkobzás: A támadók feketelistát használhatnak arra, hogy meghatározott címekről elkobozzák a tokeneket vagy eszközöket indokolt indoklás nélkül. Ez jelentős pénzügyi veszteségeket okozhat.

Proxy mechanizmus

Ez a funkció egy mechanizmus, amely lehetővé teszi egy okos szerződés elérését egy másik okos szerződésen keresztül, amit „proxy szerződésnek” neveznek. Ez növeli a szerződés kezelésének képességét és frissíti a logikáját anélkül, hogy meg kellene változtatni a címeket vagy frissíteni kellene a szerződést magát. A proxyk használata bizonyos kockázatokkal jár.

A csalók gyakran sémákat használnak a proxy okos szerződésekben, hogy megtévesszék a felhasználókat. Ahhoz, hogy az ilyen fenyegetéseket felismerje, értenie kell a lehetséges kockázatokat és technikailag jártasnak kell lennie.

A proxy okos szerződések veszélyei:

1. Illegális frissítések: A proxy szerződések lehetővé teszik a tulajdonos számára a háttérben lévő szerződés frissítését. Ha azonban ez a mechanizmus nem biztonságosan van megvalósítva, illetéktelen frissítésekhez vezethet, amelyek lehetővé teszik a támadók számára, hogy rosszindulatú kódot injektáljanak a szerződésbe.


2. Érvénytelen külső hívások: A rosszindulatú programozók külső hívásokat használhatnak nem megbízható szerződésekre valódi validáció nélkül. Ez sérülékenységeket eredményezhet, beleértve a reentrancy támadásokat, ahol a rosszindulatú szerződések ismételten meghívják a proxy szerződést, potenciálisan kimerítve annak alapjait.


3. Átláthatóság hiánya: A kezelő szerződés forráskódja általában nem ellenőrizhető.


4. Hamis projektek: A csalók hamis projekteket hoznak létre, amelyek vonzó jellemzőket ígérnek, például magas hozamokat vagy egyedi funkcionalitást. Proxy szerződéseket használhatnak annak látszatának megteremtésére, hogy legitim, miközben a rosszindulatú szándékot elrejtik.


5. Ponzi sémák: A csalók Ponzi sémákat építenek proxy szerződéseken alapulva, amelyekkel magas hozamokat ígérnek a felhasználóknak. Az ilyen sémáknak frissíthető összetevői lehetnek, hogy fenntartsák a hihetőség látszatát.


6. Klónozott szerződések: A csalók klónozzák a legitim projekteket, és sérülékenységeket vagy változásokat vezetnek be a klónozott szerződésbe. A gyanútlan felhasználók ilyen klónokkal interakcióba léphetnek, az eredeti verziók helyett.

Pause mechanizmus

Ez a funkció egy mechanizmus, amely lehetővé teszi a szerződés tulajdonosának, hogy ideiglenesen felfüggessze (kikapcsolja) és folytassa (bekapcsolja) a szerződés bizonyos funkcióit vagy jellemzőit (például kereskedelmet, token átutalásokat stb.). Ez alkalmazható a szerződés állapotának kezelésére bizonyos helyzetekben vagy a piaci körülmények változására való reagálásként, de ez az eszköz a csalók kezében valós veszélyt jelenthet az befektetők számára.

A smart szerződések Pause funkcióival kapcsolatos veszélyek:

1. Illegális felfüggesztés: A csalók hozzáférhetnek a Pause funkciókhoz és megállíthatják a szerződést megfelelő engedély nélkül, ami vállalkozási zavart vagy pénzügyi veszteséget okozhat.


2. Csaló késleltetések: A rosszindulatú szerződések kritikus tranzakciókat (például kivonásokat vagy átutalásokat) felfüggeszthetnek ideiglenes karbantartási vagy biztonsági intézkedések látszatában, miközben céljuk a felhasználók vagyonának hozzáférésének megtagadása.


3. Álhírek a vészhelyzetekről: A csalók hamis vészhelyzeteket vagy sebezhetőségeket jelenthetnek be a szerződés felfüggesztésének igazolására, majd kihasználhatják a felhasználói alapokat a felfüggesztés idején.


4. Biztonsági ürügy: A rosszindulatú szerződések azt állíthatják, hogy biztonsági sebezhetőséget fedeztek fel, ami miatt a felfüggesztési funkciót aktiválják. Valójában a csalók szándéka lehet a helyzet kihasználása.


5. Vészhelyzet sémák: A csalók félelmet keltő nyelvezetet vagy forgatókönyveket használhatnak, például „betörési kísérlet” vagy „vészhelyzet” kijelentésével a felfüggesztés igazolására, amely alatt törvénytelen cselekményeket követhetnek el.

AntiWhale mechanizmus

Ez a funkció arra szolgál, hogy korlátozásokat vezessen be a token értékesítésekre, hogy megakadályozza a tömeges visszavonásokat vagy a manipulációt, amit "hullámoknak" neveznek - nagy mennyiségű tranzakciók egyéni résztvevőktől, amelyek hatással lehetnek a token árára és a piaci likviditásra. A korlátozásokat beállíthatják egyetlen tranzakcióban érintett tokenek számára, vagy az összes értékesített token teljes számára adott időszak alatt.

Az AntiWhale mechanizmus fő célja, hogy csökkentse a nagy értékű tranzakciók egyetlen címről vagy kis csoport címeiről (gyakran "bálnáknak" nevezve) történő hatását. Célja az is, hogy megakadályozza a tokenek túlzott koncentrációját egyetlen kézben, és harcoljon a piaci manipulációk vagy destabilizációk ellen.

Az AntiWhale mechanizmusok általában korlátozásokat állítanak be egyedi tranzakciók méretére vagy értékére. A beállított küszöbértéket meghaladó tranzakciók korlátozásokkal járnak, például tranzakció elutasítással, magas díjakkal vagy más újraelosztási mechanizmusokkal.

Potenciális kockázatok a token tulajdonosok számára:

1. Túl szigorú AntiWhale korlátozások beállítása problémát jelenthet azok számára, akiknek szükségük van nagy értékű tranzakciókra.


2. Az AntiWhale mechanizmus túlzott kihasználása esetén véletlenül központosítást segíthet elő, ha figyelmen kívül hagyják a szélesebb ökoszisztéma figyelembevételét.

CoolDown mechanizmus

A CoolDown mechanizmus arra szolgál, hogy időkorlátokat vezessen be egymást követő tranzakciók között ugyanattól a címtől. Célja a tranzakciók gyakoriságának szabályozása, és az, hogy megakadályozza a rövid időközönkénti túlzott vásárlási vagy eladási tevékenységet.

A CoolDown időtartamokat állít be a tranzakciók közötti várakozási időkre, gyakran azzal a megkötéssel, hogy az utolsó tranzakció óta eltelt idő alapján. A felhasználóknak várniuk kell, amíg lejár a CoolDown időszak, mielőtt új tranzakciót indítanának.

A CoolDown mechanizmus felhasználása:

A csalók kihasználhatják a CoolDown mechanizmust a felhasználók átverésére, olyan stratégiákkal, amelyek kihasználják a korlátozásokat. Tekintsük át a CoolDown által a befektetők számára jelentett fő kockázatokat.

1. Hatás a likviditásra: A CoolDown befolyásolhatja a likviditást a decentralizált tőzsdéken a tranzakciók gyakoriságának csökkentésével. Ez növelheti az ajánlat-kérelem közötti különbséget, és potenciálisan hatással lehet az általános kereskedési állapotra.


2. Véletlen következmények: A nem kívánt következmények elkerülése érdekében a CoolDown korlátozásokat gondosan kell beállítani. Például túl rövid korlátozások esetén hatástalan lehet a manipuláció megakadályozása, túl hosszú korlátozások pedig megakadályozhatják a jogos kereskedési tevékenységet.


3. ICO vagy token értékesítési időszakok: Kezdeti token kibocsátások (ICO-k) vagy token értékesítési időszakok során korlátozásokat lehet bevezetni, hogy megakadályozzák a nagy résztvevőket abban, hogy többszörös egymást követő tranzakciókat hajtsanak végre.


4. Fehérlista vagy hozzáférési szintek: A CoolDown-t használhatják Fehérlista címekkel vagy lépcsős jogosultsági rendszerekkel együtt. Például a magasabb szintű felhasználóknak lehet rövidebb várakozási időjük, mint az összes többi.

Fő különbségek az AntiWhale és CoolDown funkciók között

Paraméterek	AntiWhale	CoolDown
Paraméterek: Beavatkozás	AntiWhale: Alapvetően azokat a felhasználókat érinti, akik magas tranzakciós volumenekkel rendelkeznek.	CoolDown: Minden felhasználóra vonatkozik, függetlenül a tranzakció méretétől.
Paraméterek: Piaci dinamika	AntiWhale: A koncentrációs problémák megoldására összpontosít.	CoolDown: A tranzakciók gyakoriságának szabályozására irányul.
Paraméterek: Projekt céljai	AntiWhale: A cél a tokenek elosztása és a piac stabilitásának biztosítása.	CoolDown: Főként a piaci stabilitás biztosítására és a gyors kereskedés megakadályoz ására irányul.

Ne felejtse, hogy a csalók folyamatosan fejlesztik taktikáikat, ezért fontos tájékozottnak lenni és óvatosnak lenni - ezek alapvető stratégiák a token befektetésének védelmében. Ha gyanús dolgokba ütközik, vagy kétségei vannak, ne habozzon fordulni hozzánk segítségért, vagy konzultáljon szakértőkkel a területen.

Mint mechanizmus

A mint funkciókat általában arra használják, hogy új tokeneket hozzanak létre a rendszerben. Ez azt jelenti, hogy a szerződés tulajdonosai "nyomtathatnak" (vagy "építhetnek") új tokeneket, növelve ezzel a forgalomban lévő tokenek teljes számát. Ezzel inflációt és a token tulajdonosok eszközeinek értékcsökkenését okozhatják. Ez a funkció gyakran használatos az ERC-20 szabvány vagy más hasonló szabványok alapján létrehozott tokenekben.

A smart kontraktusok veszélyei a nyomtatási funkciókkal

1. Engedély nélküli bányászat: Csalók korlátlan számú token létrehozásával csökkenthetik a meglévő tokenek értékét, és inflációt okozhatnak.


2. Kínálat manipulálása: Csalók manipulálhatják a token kínálatát azáltal, hogy megtévesztik a befektetőket, vagy azt az érzetet keltik, hogy egy projekt értékesebb, mint amilyen valójában.


3. Hamis ritkaság: Ezen projektek ígérhetnek ritkaságot, de az első nyilvános kibocsátás után nyomtatással növelhetik a tokenek mennyiségét, csökkentve a tokenek értékét, és becsapva azokat a befektetőket, akik a ritkaságon vonzódtak a projekthez.


4. Inflációs jutalmak: Projektek állíthatják, hogy stake-elési vagy osztalékfizetési jutalmakat kínálnak, miközben további tokeneket nyomtatnak "jutalomként", csökkentve a résztvevők állományát.


5. Hirtelen nyomtatás: Csalók hirtelen kiadhatnak tokeneket megfelelő nyilvánossági tájékoztatás vagy irányítás nélkül, pánikot és értékvesztést okozva a token tulajdonosok számára.

EnableTrading mechanizmus

Ez a mechanizmus arra szolgál, hogy ellenőrizze a tokenekkel való kereskedés képességét. Amikor ez a funkció aktív, a felhasználók vásárolhatnak és eladhatnak tokeneket a piacon. Ha a funkció letiltva van, korlátozott a kereskedési lehetőség. Gyakran ezt a mechanizmust használják az éleslövész robotok ellen, ami teljesen érthető. Azonban a csalók is használhatják az EnableTrading mechanizmust arra, hogy manipulálják a jutalékokat (Díj) és automatikusan blokkolják a felhasználókat (Feketelista).

A smart kontraktusok veszélyei az EnableTrading funkciókkal:

1. Engedély nélküli kereskedési aktiválás: Csalók manipulálhatják az EnableTrading funkciókat, hogy engedély nélkül engedélyezzék a kereskedést vagy átutalásokat (Átutalás). Ez engedély nélküli kereskedést vagy csaló átutalásokat eredményezhet.


2. Hamis aktiválási állítások: Rosszindulatú szerződések hamisan állíthatják, hogy bizonyos feltételek teljesülnek a kereskedés aktiválásához. Valóságban ezek a feltételek nem teljesülhetnek, ami csaló kereskedésekhez vagy átutalásokhoz vezethet.


3. Késleltetett aktiválás: Rosszindulatú szerződések engedélyezhetik a kereskedés aktiválását, de jelentős késedelmekkel, ami arra késztetheti a felhasználókat, hogy higgyék, hogy a kereskedési funkció ideiglenesen letiltva van.

TransferLimits mechanizmus

A Transfer Limits használatával a szerződés tulajdonosai döntésük szerint korlátozhatják a tokenek kereskedelmét/átutalását bizonyos időkorlátok között. Csalók ezt a mechanizmust olyan forgatókönyvekben használhatják, ahol egy felhasználó korlátlan számú tokeneket vásárolhat, de csak kis részüket adhatja el (és nem mindig és időbeli késedelmekkel). Ezért rendkívül fontos egyedi esetekben megérteni a Transfer Limits szerkezetét.

A smart kontraktusok veszélyei a TransferLimits funkciókkal:

1. Gyakran a transfer limites smart kontraktusok korlátozásokat állítanak be azon tokenek számára, amelyeket bizonyos idő alatt vagy bizonyos feltételek mellett lehet átutalni. Habár ezek a funkciók legitim célokat szolgálhatnak, például nagy mennyiségű token dumpolás megakadályozása vagy a transzfer arányának ellenőrzése, potenciális kockázatokkal is járnak.


2. Az ilyen séma fő veszélye az, hogy a befektetők vonzódnak a tokenek vásárlásához, de az eladás jelentősen korlátozott lehet a tokenek számára, vagy rendkívül nem jövedelmező lehet magas jutalékok miatt.

Ahhoz, hogy elkerüljük a csalásokat a tokenek kiválasztásakor, tartsuk be az alábbi szabályokat:

1. Alaposan elemzés a kódot.
   Az első és legfontosabb lépés a fenyegetések azonosításában egy részletes elemzés a smart kontraktus kódjának. Szükséges alaposan átvizsgálni a kódot, hogy gyanús, rejtett és potenciálisan veszélyes elemeket azonosítsunk. Ide tartozik a kontraktus logikájának ellenőrzése, pénzáramlások kiszámítása és a sebezhetőségi pontok azonosítása.


2. Független auditok felfedezése
   Keressen olyan smart kontraktusokat, amelyeket független könyvvizsgáló vállalatok ellenőriztek. A szakmai könyvvizsgálók azonosíthatják a potenciális veszélyeket és kockázatokat.


3. Dokumentáció ellenőrzése
   Vizsgálja meg a dokumentációt és a kontraktus megjegyzéseit, hogy említést találjon az fent leírt funkciókról. A dokumentációnak világos és részletes leírást kell nyújtania a használt funkciókról.


4. A kód átláthatóságának ellenőrzése
   Győződjön meg arról, hogy a smart kontraktus kódja minden felhasználó számára nyitott. A fejlesztőknek részletes információkat kell nyújtaniuk a projektjükről, beleértve a kódot, az auditokat és az elérhetőségi információkat.


5. Kövesse a közösségi visszajelzéseket
   Ellenőrizze a közösségi fórumokat, közösségi médiát vagy hivatalos csatornákat, hogy megbeszéléseket találjon a gyanús funkciók jelenlétéről és használatáról. A felhasználók értékes betekintést és aggodalmakat nyújthatnak.


6. Figyelje a projekt tevékenységét
   Rendszeresen kövesse nyomon a kontraktus tevékenységét a blokkláncban. Szokatlan vagy váratlan változások a pénzügyi áramlási mintákban, vagy a pénzügyi átutalási korlátok feloldása indokolatlan magyarázat nélkül, potenciális fenyegetést jelezhetnek.


7. Figyelje a projekt hírnevét
   Vizsgálja meg a projekt és fejlesztőcsapat hírnevét. A projektek, amelyek átlátható történettel, rendszeres kommunikációval a közösséggel és elkötelezettséggel a biztonság iránt, általában megbízhatóbbak.


8. Maradjon naprakész
   Kövesse a legfrissebb fejleményeket közösségünkben (Telegram csatorna) és a legjobb gyakorlatokat a csalások felismerésére (Blogunk és YouTube csatornánk).

Következtetések

Áttekintettük a smart kontraktusokban használt fő funkciókat. Minden funkció egy erőteljes eszköz a smart kontraktusok kezelésére, ezért gyakran bizonyos kockázatokkal jár a felhasználók számára.

A DeFi programozási és auditálási készségek szükségesek annak megértéséhez, hogy az adott smart kontraktusban milyen lehetséges sebezhetőségek vannak. A kód tanulmányozása, részletes auditálása, az egyes funkciók alapos elemzése és az új csalási séma rendszeres figyelése segít megérteni, érdemes-e interakcióba lépni egy smart kontraktussal.

Ne feledje, hogy a biztonság az elsődleges szempont!

Ha bármilyen kétsége merülne fel a smart kontraktus biztonságával kapcsolatban, mindig használhatja Lotus Market platformunkat.
A Lotus Market egy tapasztalt fejlesztőkből és profi auditorokból álló DeFi csapat.

Regisztráljon prémium előfizetésre, és hozzáférést kapjon exkluzív szűrőkhöz a smart kontraktusok funkcióihoz és friss analitikákhoz. Növelje az esélyeit a nyereséges tokenekbe történő sikeres befektetéshez!

All posts