Jak sprawdzić, czy token jest fałszywy (część 1)

Wraz z rosnącą popularnością smart kontraktów i platform finansowych zdecentralizowanych DeFi, przestrzeń blockchain staje się coraz bardziej podatna na schematy oszustw. Funkcje oszustw w smart kontraktach mogą przybierać różne formy, od fałszywych obietnic wysokich zwrotów po ukryte mechanizmy wypłat.

W tym artykule przyjrzymy się głównym funkcjom używanym do zarządzania smart kontraktami, takim jak:

1. Blacklist
2. Proxy
3. Pause
4. AntiWhale
5. Mint
6. EnableTrading
7. TransferLimits

Dokładnie przeanalizujemy główne zagrożenia, z jakimi użytkownicy mogą się spotkać podczas interakcji ze smart kontraktem.

Mechanizm Blacklist

Funkcje Blacklist w smart kontraktach to mechanizm, który umożliwia administratorom kontraktów dodawanie adresów do czarnej listy. Właściciel smart kontraktu może dodać adresy do czarnej listy, uniemożliwiając im wykonanie określonych działań, takich jak sprzedaż tokenów lub wywołanie określonych funkcji kontraktu.

Zagrożenia związane z smart kontraktami posiadającymi funkcje Blacklist:

Smart kontrakty zawierające funkcje Blacklist niosą ze sobą pewne ryzyka i problemy zarówno dla projektu, jak i jego użytkowników. Oto niektóre z zagrożeń związanych z funkcjami czarnej listy:

1. Zcentralizowana kontrola: Funkcje Blacklist często zapewniają zcentralizowaną kontrolę właścicielowi kontraktu lub administratorom.


2. Wykorzystanie Blacklist do nieuczciwych praktyk: Osoby nadużywające (w tym właściciel kontraktu) mogą używać czarnej listy, aby skierować się przeciwko konkretnym adresom. Może to obejmować zamrażanie lub ograniczanie funkcji kont bez uzasadnienia.


3. Brak przejrzystości: Istnienie funkcji czarnej listy, zwłaszcza jeśli nie są udokumentowane, może prowadzić do braku przejrzystości. Użytkownicy mogą nie być świadomi kryteriów lub procedury dodawania do czarnej listy.


4. Ryzyko bezpieczeństwa: Jeśli Blacklist nie jest wdrożony w sposób bezpieczny, istnieje ryzyko wystąpienia podatności, które mogą umożliwić nieautoryzowanym osobom manipulowanie czarną listą, co mogłoby prowadzić do nieautoryzowanego zamrażania lub transferu środków.


5. Brak zaufania użytkowników: Istnienie funkcji czarnej listy może podważyć zaufanie użytkowników, ponieważ ich aktywa mogą zostać dodane do czarnej listy bez jasnych reguł.


6. Konfiskata tokenów: Atakujący mogą użyć czarnej listy do konfiskaty tokenów lub aktywów z określonych adresów bez właściwego uzasadnienia. Może to prowadzić do znacznych strat finansowych.

Mechanizm Proxy

Ta funkcja to mechanizm, który umożliwia dostęp do smart kontraktu poprzez inny smart kontrakt, zwany „kontraktem proxy”. Zwiększa to możliwość zarządzania kontraktem i aktualizowania jego logiki bez konieczności zmiany adresów lub aktualizacji samego kontraktu. Użycie proxy niesie pewne ryzyka.

Oszuści często używają schematów w proxy smart kontraktach, aby oszukać użytkowników. Aby zidentyfikować takie zagrożenia, musisz zrozumieć możliwe ryzyka i być technicznie obeznany.

Zagrożenia związane z proxy smart kontraktami:

1. Nieautoryzowane aktualizacje: Kontrakty proxy pozwalają właścicielowi na aktualizację podstawowego kontraktu. Jednakże, jeśli ten mechanizm nie jest wdrożony w sposób bezpieczny, może prowadzić do nieautoryzowanych aktualizacji, umożliwiających atakującym wstrzykiwanie złośliwego kodu do kontraktu.


2. Nieprawidłowe zewnętrzne wywołania: Złodzieje programują mogą używać zewnętrznych wywołań do niezaufanych kontraktów bez odpowiedniej walidacji. Może to prowadzić do podatności, w tym ataków reentrancy, gdzie złośliwe kontrakty wielokrotnie wywołują kontrakt proxy, potencjalnie wyczerpując jego środki.


3. Brak przejrzystości: Kod źródłowy kontraktu zarządzającego zazwyczaj nie jest weryfikowany.


4. Fałszywe projekty: Oszuści tworzą fałszywe projekty obiecujące atrakcyjne funkcje, takie jak wysokie zwroty lub unikalne funkcjonalności. Mogą używać proxy smart kontraktów, aby stworzyć pozory legalności, ukrywając złośliwe zamiary.


5. Schematy Ponzi: Oszuści budują schematy Ponzi oparte na proxy smart kontraktach, zwabiając użytkowników obietnicami wysokich zwrotów. Takie schematy mogą mieć aktualizowalne komponenty, aby utrzymać iluzję wiarygodności.


6. Klonowane kontrakty: Oszuści klonują legalne projekty i wprowadzają w nich podatności lub zmiany. Niepodejrzewający użytkownicy mogą interweniować z takimi klonami, myląc je z oryginałem.

Mechanizm Pause

Ta funkcja to mechanizm, który umoż liwia właścicielom kontraktów tymczasowe zawieszanie (wyłączanie) i wznowienie (włączanie) określonych funkcji lub cech kontraktu (takich jak handel, transfer tokenów, itp.). Może być używany do zarządzania stanem kontraktu w określonych sytuacjach lub w odpowiedzi na zmieniające się warunki rynkowe, ale narzędzie to w rękach oszustów może stanowić realne zagrożenie dla inwestorów.

Zagrożenia związane z smart kontraktami posiadającymi funkcje Pause:

1. Nieautoryzowane zawieszenie: Oszuści mogą przejąć kontrolę nad funkcjami Pause i zatrzymać kontrakt bez odpowiedniego zezwolenia, co może prowadzić do zakłóceń w biznesie lub strat finansowych.


2. Oszukańcze opóźnienia: Złośliwe kontrakty mogą zawiesić krytyczne transakcje, takie jak wypłaty lub transfery, pod przykrywką tymczasowego utrzymania lub środków bezpieczeństwa, mając na celu odmowę użytkownikom dostępu do ich aktywów.


3. Fałszywe alarmy o nagłych wypadkach: Oszuści mogą fałszywie zgłaszać nagłe wypadki lub podatności, aby uzasadnić zawieszenie kontraktu, a następnie wykorzystać fundusze użytkowników podczas przerwy.


4. Pretekst bezpieczeństwa: Złośliwe kontrakty mogą twierdzić, że odkryto podatność bezpieczeństwa, co powoduje aktywowanie funkcji zawieszenia. W rzeczywistości oszuści mogą mieć zamiar skorzystać z tej sytuacji.


5. Schematy nagłych wypadków: Oszuści mogą używać języka lub scenariuszy wywołujących strach, takich jak „próba włamania” lub „nagły wypadek”, aby uzasadnić zawieszenie, podczas którego mogą popełniać nielegalne czyny.

Mechanizm AntiWhale

Ta funkcja służy do narzucania limitów na sprzedaż tokenów w celu zapobiegania masowym wypłatom lub manipulacjom znanych jako „fale” - duże wolumeny transakcji od pojedynczych uczestników, które mogą wpływać na cenę tokena i płynność rynku. Limity mogą dotyczyć liczby tokenów w pojedynczej transakcji lub całkowitej liczby tokenów, które można sprzedać w określonym okresie czasu.

Głównym celem mechanizmu AntiWhale jest redukcja wpływu dużych transakcji z jednego adresu lub małej grupy adresów, często określanych jako „wieloryby”. Ma on na celu zapobieganie nadmiernej koncentracji tokenów w tych samych rękach oraz zwalczanie możliwej manipulacji lub destabilizacji rynku.

Mechanizmy AntiWhale zazwyczaj ustawiają limity na wielkość lub wartość poszczególnych transakcji. Transakcje przekraczające ustalony próg skutkują nałożeniem ograniczeń, takich jak odrzucenie transakcji, wysokie opłaty lub inne mechanizmy redystrybucji.

Potencjalne ryzyka dla posiadaczy tokenów:

1. Ustawienie zbyt rygorystycznych limitów AntiWhale może być problemem dla użytkowników, którzy potrzebują dokonywać dużych transakcji.


2. Nadmierne poleganie na mechanizmie AntiWhale może nieumyślnie sprzyjać centralizacji, jeśli jest wdrażany bez uwzględnienia szerszego ekosystemu.

Mechanizm CoolDown

Mechanizm CoolDown został zaprojektowany, aby narzucić limity czasowe między kolejnymi transakcjami z tego samego adresu. Jego celem jest regulowanie częstotliwości transakcji i zapobieganie nadmiernym aktywnościom kupna lub sprzedaży w krótkich odstępach czasu.

CoolDown ustawia okresy oczekiwania między transakcjami, często oparte na czasie od ostatniej transakcji z danego adresu. Użytkownicy muszą poczekać, aż okres CoolDown upłynie, zanim rozpoczną nową transakcję.

Wykorzystanie mechanizmu CoolDown:

Oszuści mogą wykorzystać mechanizm CoolDown do oszukiwania użytkowników, opracowując strategie, które wykorzystują te ograniczenia. Przeanalizujmy główne ryzyka, jakie CoolDown stwarza dla inwestorów.

1. Wpływ na płynność: CoolDown może wpłynąć na płynność na zdecentralizowanych giełdach, zmniejszając częstotliwość transakcji. Może to prowadzić do zwiększenia różnicy między ceną kupna a sprzedaży i potencjalnie wpłynąć na ogólny stan handlu.


2. Nieprzewidziane konsekwencje: Aby uniknąć niepożądanych konsekwencji, limity CoolDown powinny być starannie skalibrowane. Na przykład zbyt krótkie ograniczenia mogą nieskutecznie zapobiegać manipulacjom, a zbyt długie mogą uniemożliwiać prawidłową aktywność handlową.


3. Okresy ICO lub sprzedaży tokenów: Podczas początkowych ofert tokenów (ICO) lub okresów sprzedaży tokenów mogą być nałożone ograniczenia, aby zapobiec wielokrotnym kolejnym transakcjom dużych uczestników.


4. Białe listy lub poziomy dostępu: CoolDown może być używany w połączeniu z adresami WhiteList lub systemami uprawnień warstwowych. Na przykład użytkownicy wyższego poziomu mogą mieć krótsze okresy oczekiwania niż wszyscy inni.

Główne różnice między funkcjami AntiWhale i CoolDown

Parametry	AntiWhale	CoolDown
Parametry: Wpływ	AntiWhale: Głównie wpływa na użytkowników z wysokimi wolumenami transakcji.	CoolDown: Dotyczy wszystkich użytkowników, niezależnie od wielkości transakcji.
Parametry: Dynamika rynku	AntiWhale: Skoncentrowany na rozwiązywaniu problemów koncentracji.	CoolDown: Celuje w regulowanie częstotliwości transakcji.
Parametry: Cele projektowe	AntiWhale: Celem jest dystrybucja tokenów i zapewnienie stabilności rynku.	CoolDown: Głównie ma na celu zapewnienie stabilności rynku i zapobieganie szybkiemu handlowi.

Pamiętaj, że oszuści stale udoskonalają swoje taktyki, dlatego ważne jest, aby być poinformowanym i zachować ostrożność - te strategie są kluczowe do ochrony twojej inwestycji w tokeny. Jeśli napotkasz coś podejrzanego lub masz jakiekolwiek wątpliwości, nie wahaj się skontaktować z nami o pomoc lub skonsultować się z ekspertami w tej dziedzinie.

Mechanizm Mint

Funkcje mint są zazwyczaj używane do tworzenia dodatkowych tokenów w systemie. Oznacza to, że posiadacze kontraktów mogą „drukować” (lub „wydobywać”) nowe tokeny, zwiększając całkowitą liczbę tokenów w obiegu. Może to prowadzić do inflacji i obniżenia wartości aktywów posiadaczy tokenów. Ta funkcja jest często stosowana w tokenach tworzonych zgodnie ze standardem ERC-20 lub innymi podobnymi standardami.

Zagrożenia związane z smart kontraktami posiadającymi funkcje minting:

1. Nieautoryzowane wydobywanie: O szuści mogą tworzyć nieograniczoną liczbę tokenów, rozcieńczając wartość istniejących tokenów i powodując inflację.


2. Manipulowanie podażą: Oszuści mogą manipulować podażą tokenów, aby wprowadzić inwestorów w błąd lub stworzyć wrażenie, że projekt jest bardziej wartościowy, niż jest w rzeczywistości.


3. Fałszywa rzadkość: Takie projekty mogą obiecywać rzadkość, ale po ofercie publicznej używać mintingu, co prowadzi do rozrzedzenia wartości tokenów i oszukiwania inwestorów, którzy byli przyciągnięci rzekomą rzadkością.


4. Inflacyjne nagrody: Projekty mogą twierdzić, że oferują nagrody za staking lub farming dividend, ale mintować dodatkowe tokeny jako „nagrody”, obniżając wartość posiadanych przez uczestników aktywów.


5. Nagłe mintowanie: Oszuści mogą nagle emitować tokeny bez odpowiedniego ujawnienia lub zarządzania, co powoduje panikę i utratę wartości dla posiadaczy tokenów.

Mechanizm EnableTrading

Ten mechanizm służy do kontrolowania możliwości handlu tokenami. Po aktywacji tej funkcji użytkownicy mogą kupować i sprzedawać tokeny na rynku. Jeśli funkcja jest wyłączona, możliwość handlu jest ograniczona. Często mechanizm ten jest używany do zwalczania botów snajperskich, co jest zasłużone. Jednak oszuści mogą również używać mechanizmu EnableTrading do manipulowania prowizjami (opłatami) oraz automatycznego blokowania użytkowników (Blacklist).

Zagrożenia związane z smart kontraktami posiadającymi funkcje EnableTrading:

1. Nieautoryzowane aktywowanie handlu: Oszuści mogą manipulować funkcjami EnableTrading, aby umożliwić handel lub transfery (Transfer) bez odpowiedniej autoryzacji. Może to prowadzić do nieautoryzowanych transakcji lub oszustwowych transferów.


2. Fałszywe roszczenia o aktywację: Złośliwe kontrakty mogą fałszywie twierdzić, że spełnione są określone warunki, aby aktywować handel. W rzeczywistości warunki mogą nie być spełnione, co prowadzi do oszustwowych transakcji lub transferów.


3. Opóźnione aktywacje: Złośliwe kontrakty mogą umożliwiać aktywację handlu, ale z znacznymi opóźnieniami, co prowadzi użytkowników do przekonania, że funkcja handlu jest tymczasowo wyłączona.

Mechanizm TransferLimits

Używanie limitów transferów pozwala na ustanowienie ograniczeń dotyczących handlu/przekazywania tokenów (transfer) według uznania właścicieli kontraktów. Oszuści mogą wykorzystać ten mechanizm do scenariusza, w którym użytkownik może kupić nieograniczoną liczbę tokenów, ale może sprzedać tylko ich małą część (i nie zawsze oraz z opóźnieniami czasowymi). Dlatego bardzo ważne jest zrozumienie struktury limitów transferów w każdym przypadku.

Zagrożenia związane z smart kontraktami posiadającymi funkcje TransferLimits:

1. Smart kontrakty z limitem transferów często nakładają ograniczenia na liczbę tokenów, które mogą być przekazywane w określonym czasie lub przy określonych warunkach. Chociaż te funkcje mogą służyć celom legitimizującym, takim jak zapobieganie masowemu zrzucaniu tokenów lub kontrolowanie tempa transferu, niosą one także potencjalne ryzyka.


2. Głównym zagrożeniem takiego schematu jest to, że inwestorzy są przyciągani do zakupu tokenów, ale sprzedaż może być znacznie ograniczona, zarówno ilością tokenów, jak i bardzo wysokimi opłatami.

Aby uniknąć oszustw przy wyborze tokenów, trzymaj się następujących zasad:

1. Dokładnie przeanalizuj kod.
   Pierwszym i najważniejszym krokiem w identyfikacji zagrożeń jest szczegółowa analiza kodu smart kontraktu. Konieczne jest dokładne zbadanie kodu pod kątem podejrzanych, ukrytych i potencjalnie niebezpiecznych elementów. Obejmuje to sprawdzanie logiki kontraktu, obliczanie przepływów finansowych oraz identyfikację możliwych punktów słabości.


2. Sprawdź niezależne audyty.
   Szukaj smart kontraktów, które zostały niezależnie zweryfikowane przez renomowane firmy audytorskie. Profesjonalni audytorzy mogą zidentyfikować potencjalne zagrożenia i ryzyka.


3. Sprawdź dokumentację.
   Przejrzyj dokumentację i komentarze kontraktu, aby znaleźć wzmianki o powyższych funkcjach. Dokumentacja powinna zawierać klarowny i szczegółowy opis funkcji do użycia.


4. Sprawdź przejrzystość kodu.
   Upewnij się, że kod smart kontraktu jest otwarty dla wszystkich użytkowników. Developerzy powinni udostępniać szczegóły dotyczące swojego projektu, w tym kodu, audytów i informacji kontaktowych.


5. Śledź opinie społeczności.
   Sprawdzaj fora społecznościowe, media społecznościowe lub oficjalne kanały w poszukiwaniu dyskusji na temat obecności i użycia podejrzanych funkcji. Użytkownicy mogą dostarczyć cenne wskazówki i obawy.


6. Monitoruj aktywność projektu.
   Regularnie monitoruj aktywność kontraktu na blockchainie. Nietypowe lub niespodziewane zmiany w wzorcach transferu środków lub zniesienie ograniczeń na transfery bez odpowiedniego wyjaśnienia mogą wskazywać na potencjalne zagrożenie.


7. Zwróć uwagę na reputację projektu.
   Sprawdź reputację projektu i jego zespół deweloperski. Projekty o historii transparentności, regularnej komunikacji z społecznością i zaangażowaniu w zapewnienie bezpieczeństwa są zazwyczaj bardziej godne zaufania.


8. Bądź na bieżąco.
   Śledź najnowsze wydarzenia w naszej społeczności (kanał Telegram) oraz najlepsze praktyki wykrywania oszustw (nasz Blog i kanał YouTube).

Wnioski

Przeanalizowaliśmy główne funkcje używane w smart kontraktach. Każda funkcja jest potężnym narzędziem do zarządzania smart kontraktami, dlatego często wiąże się z pewnymi ryzykami dla użytkowników.

Do zrozumienia możliwych zagrożeń w każdym konkretnym smart kontrakcie niezbędne są umiejętności programowania i audytowania DeFi. Studiowanie kodu, szczegółowe audyty, analiza szczegółowych funkcji oraz regularne monitorowanie nowych schematów oszustw pomogą Ci zrozumieć, czy warto mieć do czynienia z danym smart kontraktem.

Pamiętaj, że bezpieczeństwo jest Twoim priorytetem!

Jeśli masz wątpliwości co do bezpieczeństwa smart kontraktu, zawsze możesz skorzystać z naszej platformy Lotus Market.
Lotus Market to zespół doświadczonych deweloperów i profesjonalnych audytorów DeFi.

Zapisz się na subskrypcję premium i uzyskaj dostęp do ekskluzywnych filtrów dotyczących funkcji smart kontraktów oraz świeżych analiz. Zwiększ swoje szanse na skuteczne inwestowanie w zyskowne tokeny!

All posts