Come verificare che un token non sia una truffa (parte 1)

Con la crescente popolarità dei contratti intelligenti e delle piattaforme finanziarie decentralizzate DeFi, la sfera della blockchain sta diventando sempre più suscettibile a schemi di truffa. Le funzioni di truffa nei contratti intelligenti possono assumere molte forme, dalle false promesse di alti rendimenti ai meccanismi di prelievo nascosti.

In questo articolo, esamineremo le principali funzioni utilizzate per gestire i contratti intelligenti, come:

1. Blacklist
2. Proxy
3. Pause
4. AntiWhale
5. Mint
6. EnableTrading
7. TransferLimits

Analizziamo in dettaglio i principali pericoli che gli utenti possono incontrare interagendo con un contratto intelligente.

Mecanismo della Blacklist

Le funzioni Blacklist nei contratti intelligenti sono un meccanismo che consente agli amministratori del contratto di aggiungere indirizzi a una lista nera. Il proprietario di un contratto intelligente può aggiungere indirizzi a una blacklist, disabilitandoli dall'eseguire determinate azioni, come prevenire la vendita di token o chiamare determinate funzioni del contratto.

I pericoli dei contratti intelligenti con funzioni di BlackList:

I contratti intelligenti che includono funzioni di Blacklist comportano rischi e problemi per il progetto e i suoi utenti. Ecco alcuni dei pericoli associati alle funzioni di blacklist:

1. Controllo centralizzato: Le funzioni di Blacklist spesso forniscono un controllo centralizzato al proprietario o agli amministratori del contratto.


2. Abuso della Blacklist per pratiche sleali: Gli abusatori (compreso il proprietario del contratto) possono usare la blacklist per prendere di mira indirizzi specifici. Ciò può includere il congelamento o la limitazione delle funzionalità degli account senza una buona ragione.


3. Mancanza di trasparenza: L'esistenza delle funzioni di blacklist, specialmente se non sono documentate, può portare a una mancanza di trasparenza. Gli utenti potrebbero non essere a conoscenza dei criteri di blacklisting o della procedura di blacklisting.


4. Rischi di sicurezza: Se BlackList non è implementata in modo sicuro, c'è il rischio di vulnerabilità che potrebbero consentire a persone non autorizzate di manipolare la blacklist, portando al congelamento o al trasferimento non autorizzato di fondi.


5. Difiducia degli utenti: L'esistenza delle funzioni di blacklist può minare la fiducia degli utenti poiché i loro asset possono essere inseriti in blacklist senza regole chiare.


6. Confisca dei token: Gli attaccanti possono utilizzare una blacklist per confiscare token o asset da determinati indirizzi senza giustificazione adeguata. Ciò può portare a perdite finanziarie significative.

Mecanismo del Proxy

Questa funzione è un meccanismo che consente a un contratto intelligente di essere accessibile tramite un altro contratto intelligente, chiamato "contratto proxy". Questo migliora la capacità di gestire il contratto e aggiornarne la logica senza dover modificare gli indirizzi o aggiornare il contratto stesso. L'uso di proxy comporta alcuni rischi.

Gli truffatori spesso utilizzano schemi nei contratti intelligenti proxy per truffare gli utenti. Per identificare tali minacce, è necessario comprendere i rischi possibili e essere tecnicamente competenti.

I pericoli dei contratti intelligenti proxy:

1. Aggiornamenti non autorizzati: I contratti proxy consentono al proprietario di aggiornare il contratto sottostante. Tuttavia, se questo meccanismo non è implementato in modo sicuro, può portare a aggiornamenti non autorizzati, consentendo agli attaccanti di iniettare codice dannoso nel contratto.


2. Chiamate esterne invalidate: I programmatori disonesti possono utilizzare chiamate esterne a contratti non affidabili senza una valida convalida. Ciò può portare a vulnerabilità, inclusi attacchi di reentrancy, in cui contratti dannosi richiamano ripetutamente un contratto proxy, potenzialmente esaurendo i suoi fondi.


3. Mancanza di trasparenza: Il codice sorgente del contratto di gestione di solito non è verificato.


4. Progetti falsi: Gli truffatori creano progetti falsi che promettono caratteristiche attraenti come alti rendimenti o funzionalità uniche. Possono utilizzare contratti proxy per creare l'apparenza di legittimità mentre nascondono intenzioni dannose.


5. Schemi Ponzi: Gli truffatori costruiscono schemi Ponzi basati su contratti proxy, attirando gli utenti con promesse di alti rendimenti. Tali schemi possono avere componenti aggiornabili per mantenere l'illusione di plausibilità.


6. Contratti clonati: Gli truffatori clonano progetti legittimi e introducono vulnerabilità o modifiche nel contratto clonato. Gli utenti inconsapevoli possono interagire con tali cloni, scambiandoli per l'originale.

Mecanismo di Pausa

Questa funzione è un meccanismo che consente ai proprietari del contratto di sospendere temporaneamente (disattivare) e riprendere (attivare) determinate funzioni o caratteristiche del contratto (come il trading, il trasferimento di token, ecc.). Questo può essere utilizzato per gestire lo stato del contratto in determinate situazioni o in risposta alle condizioni di mercato mutevoli, ma questo strumento nelle mani degli truffatori può rappresentare una vera minaccia per gli investitori.

I pericoli dei contratti intelligenti con funzioni di Pausa:

1. Pausa non autorizzata: Gli truffatori possono ottenere il controllo delle funzioni di Pausa e fermare il contratto senza autorizzazione adeguata, il che può causare interruzioni aziendali o perdite finanziarie.


2. Ritardi ingannevoli: I contratti dannosi possono sospendere transazioni critiche, come prelievi o trasferimenti, sotto l'apparenza di man utenzione temporanea o misure di sicurezza, mentre intendono negare agli utenti l'accesso ai propri asset.


3. False rivendicazioni di emergenze: Gli truffatori possono reclamare falsamente emergenze o vulnerabilità per giustificare una pausa del contratto e poi sfruttare i fondi degli utenti durante la pausa.


4. Pretesto di sicurezza: I contratti dannosi possono sostenere che è stata scoperta una vulnerabilità di sicurezza, causando l'attivazione della funzione di sospensione. In realtà, gli truffatori possono avere l'intenzione di approfittare della situazione.


5. Schemi di emergenza: Gli truffatori possono utilizzare linguaggio o scenari che generano paura, come rivendicare un "tentativo di furto" o un "emergenza" per giustificare una pausa durante la quale possono commettere atti illegali.

Mecanismo AntiWhale

Questa funzione è utilizzata per imporre limiti alle vendite di token al fine di prevenire prelievi di massa o manipolazioni conosciute come "onde" - grandi volumi di transazioni da parte di singoli partecipanti che possono influenzare il prezzo del token e la liquidità di mercato. I limiti possono essere impostati sul numero di token in una singola transazione o sul numero totale di token che possono essere venduti in un determinato periodo di tempo.

Lo scopo principale del meccanismo AntiWhale è ridurre l'impatto di grandi transazioni da un singolo indirizzo o da un piccolo gruppo di indirizzi, spesso chiamati "whale". Mirano a prevenire la concentrazione eccessiva di token nelle stesse mani e a contrastare possibili manipolazioni o destabilizzazioni del mercato.

I meccanismi AntiWhale di solito impostano limiti sulla dimensione o sul valore delle singole transazioni. Le transazioni che superano una soglia stabilita comportano l'imposizione di restrizioni come il rifiuto della transazione, commissioni elevate o altri meccanismi di ridistribuzione.

Rischi potenziali per i detentori di token:

1. Impostare limiti AntiWhale troppo rigidi può essere un problema per gli utenti che hanno bisogno di effettuare grandi transazioni.


2. Un eccessivo affidamento sul meccanismo AntiWhale può promuovere involontariamente la centralizzazione se implementato senza considerare l'ecosistema più ampio.

Mecanismo CoolDown

Il meccanismo CoolDown è progettato per imporre limiti temporali tra transazioni consecutive dello stesso indirizzo. Il suo scopo è regolare la frequenza delle transazioni e prevenire attività di acquisto o vendita eccessive in brevi intervalli di tempo.

I cooldown impostano periodi di attesa tra le transazioni, spesso basati sul tempo trascorso dall'ultima transazione da un determinato indirizzo. Gli utenti devono attendere che il periodo di cooldown scada prima di avviare una nuova transazione.

Utilizzo del meccanismo CoolDown:

Gli truffatori possono utilizzare il meccanismo CoolDown per truffare gli utenti ideando strategie che sfruttano le limitazioni. Esaminiamo i principali rischi che CoolDown presenta agli investitori.

1. Impatto sulla liquidità: CoolDown può influenzare la liquidità sui mercati decentralizzati riducendo la frequenza delle transazioni. Ciò potrebbe portare a un aumento degli spread tra domanda e offerta e potenzialmente influenzare lo stato generale del trading.


2. Conseguenze non intenzionali: Per evitare conseguenze non intenzionali, i limiti di CoolDown dovrebbero essere calibrati con attenzione. Ad esempio, vincoli troppo brevi potrebbero non prevenire efficacemente la manipolazione, mentre vincoli troppo lunghi potrebbero impedire attività di trading legittimo.


3. Periodi di ICO o vendita di token: Durante le offerte iniziali di token (ICO) o periodi di vendita di token, possono essere imposte restrizioni per impedire a grandi partecipanti di effettuare transazioni multiple consecutive.


4. Liste bianche o livelli di accesso: CoolDown può essere utilizzato insieme a indirizzi WhiteList o sistemi di accesso a livelli. Ad esempio, gli utenti di livello superiore possono avere periodi di attesa più brevi rispetto agli altri.

Principali differenze tra le funzioni AntiWhale e CoolDown

Parametri	AntiWhale	CoolDown
Parametri: Influenza	AntiWhale: Affligge principalmente gli utenti con volumi di transazione elevati.	CoolDown: Si applica a tutti gli utenti, indipendentemente dalle dimensioni delle transazioni.
Parametri: Dinamiche di mercato	AntiWhale: Focalizzato sulla risoluzione dei problemi di concentrazione.	CoolDown: Mirato a regolare la frequenza delle transazioni.
Parametri: Obiettivi del progetto	AntiWhale: L'obiettivo è distribuire i token e garantire la stabilità del mercato.	CoolDown: Principalmente mirato a garantire la stabilità di mercato e prevenire il trading rapido.

Ricordate che gli scammers migliorano costantemente le loro tattiche, quindi è importante essere informati ed esercitare cautela - queste sono strategie essenziali per proteggere il vostro investimento in token. Se incontrate qualcosa di sospetto o avete dubbi, non esitate a contattarci per assistenza o consultare esperti del settore.

Mecanismo di Mint

Le funzioni di minting sono tipicamente utilizzate per creare token aggiuntivi nel sistema. Ciò significa che i detentori del contratto possono "stampare" (o "minterizzare") nuovi token, aumentando il numero totale di token in circolazione. Ciò crea inflazione e svaluta gli asset dei detentori di token. Questa funzione è spesso utilizzata nei token creati secondo lo standard ERC-20 o altri standard simili.

I pericoli dei contratti intelligenti con funzioni di minting

1. Minting non autorizzato: Gli scammers possono creare un numero illimitato di token, diluendo il valore dei token esistenti e causando inflazione.


2. Manipolazione dell'offerta: Gli scammers possono manipolare l'offerta di token per ingannare gli investitori o dare l'impressione che un progetto sia più valido di quanto non sia effettivamente.


3. Falsa scarsità: Tali progetti possono promettere scarsità, ma dopo l'offerta pubblica iniziale usano il minting, diluendo il valore dei token e truffando gli investitori attratti dalla scarsità.


4. Ricompense inflazionistiche: I progetti possono dichiarare di offrire ricompense di staking o dividend farming, ma mintare ulteriori token come "ricompense", svalutando le partecipazioni dei partecipanti.


5. Mint ing improvviso: Gli scammers possono emettere improvvisamente token senza adeguata divulgazione o governance, causando panico e perdite di valore per i detentori di token.

Mecanismo EnableTrading

Questo meccanismo è utilizzato per controllare la capacità di scambiare token. Quando questa funzione è attivata, gli utenti possono comprare e vendere token sul mercato. Se la funzione è disabilitata, la capacità di scambio è limitata. Spesso, questo meccanismo è utilizzato per contrastare i bot sniper, il che è meritato. Tuttavia, gli scammers possono anche utilizzare il meccanismo EnableTrading per manipolare le commissioni (Fee) e bloccare automaticamente gli utenti (Blacklist).

I pericoli dei contratti intelligenti con funzioni EnableTrading:

1. Attivazione Commercio Non Autorizzata: Gli scammers possono manipolare le funzioni EnableTrading per consentire scambi o trasferimenti (Transfer) senza autorizzazione adeguata. Ciò può risultare in scambi non autorizzati o trasferimenti fraudolenti.


2. Falsi Reclami di Attivazione: I contratti maliziosi possono affermare falsamente che certe condizioni sono soddisfatte per attivare un commercio. In realtà, le condizioni potrebbero non essere soddisfatte, risultando in scambi o trasferimenti fraudolenti.


3. Attivazione Ritardata: I contratti maliziosi possono consentire l'attivazione del commercio ma con ritardi significativi, inducendo gli utenti a credere che la funzione di scambio sia temporaneamente disabilitata.

Mecanismo TransferLimits

L'uso dei Limiti di Trasferimento consente di impostare limiti sul commercio/trasferimento di token a discrezione dei proprietari del contratto. Gli scammers possono utilizzare questo meccanismo per uno scenario in cui un utente può acquistare un numero illimitato di token, ma può vendere solo una piccola parte di essi (e non sempre e con ritardi temporali). È quindi molto importante comprendere la struttura dei Limiti di Trasferimento caso per caso.

I pericoli dei contratti intelligenti con funzioni TransferLimits:

1. I contratti intelligenti con limiti di trasferimento spesso impongono restrizioni sul numero di token che possono essere trasferiti entro un certo periodo o in determinate condizioni. Sebbene queste funzioni possano servire scopi legittimi, come prevenire il dumping su larga scala dei token o controllare il tasso di trasferimento, portano anche potenziali rischi.


2. Il principale pericolo di tale schema è che gli investitori sono attratti a comprare token, ma la vendita può essere significativamente limitata sia per il numero di token che per essere estremamente non redditizia a causa di commissioni elevate.

Per evitare truffe nella scelta dei token, attenersi alle seguenti regole:

1. Analizzare attentamente il codice.
   Il primo e più importante passo per identificare le minacce è un'analisi dettagliata del codice del contratto intelligente. È necessario esaminare attentamente il codice per elementi sospetti, nascosti e potenzialmente pericolosi. Ciò include verificare la logica del contratto, calcolare i flussi finanziari e identificare possibili punti di vulnerabilità.


2. Esplorare le audit indipendenti
   Cercare contratti intelligenti che siano stati auditati indipendentemente da rinomate società di revisione contabile. Gli auditor professionisti possono identificare minacce e rischi potenziali.


3. Controllare la documentazione
   Esaminare la documentazione e i commenti del contratto per quanto riguarda le funzioni descritte sopra. La documentazione dovrebbe fornire una descrizione chiara e dettagliata delle funzioni da utilizzare.


4. Controllare la trasparenza del codice
   Assicurarsi che il codice del contratto intelligente sia accessibile a tutti gli utenti. Gli sviluppatori dovrebbero fornire dettagli sul loro progetto, inclusi codice, audit e informazioni di contatto.


5. Seguire i feedback nelle comunità
   Controllare forum comunitari, social media o canali ufficiali per discussioni sulla presenza e sull'uso di funzioni sospette. Gli utenti possono fornire preziose intuizioni e preoccupazioni.


6. Monitorare l'attività del progetto
   Monitorare regolarmente l'attività del contratto sulla blockchain. Cambiamenti insoliti o inattesi nei modelli di trasferimento dei fondi o la rimozione di restrizioni sui trasferimenti di fondi senza spiegazioni adeguate possono indicare una minaccia potenziale.


7. Prestare attenzione alla reputazione del progetto
   Investigare la reputazione del progetto e del team di sviluppo. I progetti con una storia di trasparenza, comunicazione regolare con la community e impegno per la sicurezza tendono ad essere più affidabili.


8. Rimanere aggiornati
   Mantenere aggiornamenti con le ultime sviluppi nella nostra community (canale Telegram) e le migliori pratiche per la rilevazione delle truffe (il nostro Blog e canale YouTube).

Conclusioni

Abbiamo esaminato le principali funzioni utilizzate nei contratti intelligenti. Ogni funzione è uno strumento potente per la gestione dei contratti intelligenti, motivo per cui comporta spesso determinati rischi per gli utenti.

Sono necessarie competenze di programmazione e audit DeFi per comprendere le possibili vulnerabilità in ciascun contratto intelligente specifico. Lo studio del codice, la verifica dettagliata di ogni funzione e il monitoraggio regolare dei nuovi schemi di frode vi aiuteranno a capire se vale la pena interagire con un contratto intelligente.

Ricordate che la sicurezza è la vostra priorità!

Se avete dubbi sulla sicurezza di un contratto intelligente, potete sempre utilizzare la nostra piattaforma Lotus Market.
Lotus Market è un team di sviluppatori esperti e auditor professionali in DeFi.

Iscrivetevi a un abbonamento premium e ottenete accesso a filtri esclusivi sulle funzioni dei contratti intelligenti e analisi fresche. Aumentate le vostre possibilità di investire con successo in token redditizi!

All posts