原文來源：OKX

引言

OKX Web3 錢包特別策劃了《安全特刊》欄目，針對不同類型的鏈上安全問題進行專期解答。透過最發生在用戶身邊最真實案例，與安全領域專家人士或機構共同聯合，由不同視角進行雙重分享與解答，從而由淺入深梳理並歸納安全交易規則，旨在加強用戶安全教育的同時，幫助用戶從自身開始學會保護私鑰以及錢包資產安全。

玩MEME 就是一場大冒險

Rug Pull（撤池子）、貔貅盤、砸穿、被夾...... 諸多陷阱皆在前路

我一直是個勇敢的冒險者，直到我的膝蓋中了「一箭」

本期是安全特刊第02 期，特邀業知名安全機構CertiK 與OKX Web3 團隊，從實作指南的角度出發，來分享常見的MEME 鏈上交易安全風險和防範措施，希望可以對MEME 用戶有所幫助。

CertiK 安全團隊：CertiK 由耶魯大學和哥倫比亞大學的兩位教授創立, 利用目前最先進的形式化驗證技術、AI 審計技術以及安全專家人工審計，透過掃描及監控區塊鏈協議和智能合約，保證其安全性。迄今為止，CertiK 已獲得了超過 4000 家企業客戶的認可，挖掘了近 7 萬個程式碼漏洞，保護了超過 4000 億美元的數位資產免受損失。

OKX Web3 錢包安全團隊：大家好，非常開心可以進行本次分享。 OKX Web3 錢包安全團隊主要負責 OKX Web3 錢包的安全能力建設，提供產品安全、用戶安全、交易安全等多重防護服務，7X24 小時守護用戶錢包安全的同時，為維護整個區塊鏈安全生態貢獻力量。

Q1：發生在身邊的MEME 風險真實案例

OKX Web3 錢包安全團隊：這類風險案例類型比較多。我們挑選了幾個使用者在交易 MEME 時，遭遇的比較經典的案例：

案例一：貔貅盤

使用者A，在推特上看到某MEME 討論熱度高，並在該MEME 的推文評論中發現了代幣地址，經過查看該MEME 的交易數據後，發現其表現很好，於是進行了購買。隨著該 MEME 價格不斷上升，用戶 A 想要賣出並鎖定利潤，但卻始終無法賣出。後經我們團隊追蹤發現，該 MEME 代幣是貔貅盤，用戶地址因為被封鎖所以無法賣出。

案例二：惡意Rug Pull

用戶B，常在某Telegram 社群中發言並參加活動，被很多群友互加為通訊錄好友。有一天，某群友私聊用戶 B 並向他推薦某個 MEME 項目，並介紹稱該項目十分火熱、潛力巨大，隨後立即提供了該 MEME 代幣地址。用戶 B 有些心動，於是到某數據分析工具上進行查看，發現該 MEME 代幣流動性 LP 已銷毀且沒有巨鯨持倉，由此認為該 MEME 項目比較可靠，進行了購買。但到了第二天，用戶 B 卻突然發現，這個 MEME 專案流動性已被耗盡。後經我們團隊排查發現，該代幣是惡意 Rug Pull 代幣，其存在後門邏輯可以大量增發代幣。

發生在MEME 使用者身上的風險案例層出不窮，我們希望可以透過接下來的對話，為使用者可以提供一些安全參考指南，不構成任何投資建議，僅供大家學習與交流。

Q2：當交易MEME 時，EVM 公鍊與Solana 網路上的常見風險

CertiK 安全團隊：MEME 風險分為兩類：一類是鏈上風險情境、另外一類就是普遍風險，與區塊鏈技術無關。

在介紹具體的鏈上風險場景之前，我們先來介紹普遍風險，這主要包括發幣成本極低、代幣價格易被操縱、項目高度中心化、投資者交易磨損大和Rugpull 騙局5 大類。

1、發幣成本極低

通常而言，發布MEME 專案的技術開發量極低甚至完全沒有，出現了像PandaTool 這樣的一鍵發幣工具。正是由於極低的開發成本，使得專案方內部人員和早期投資人員獲得代幣的成本極低，再加上MEME 專案本身並無實際基本面，一旦市場不再「FOMO」（Fear of Missing Out ）時，就會導致這些極低成本的代幣被迅速拋售，使得後來的投資者承擔巨大的損失。

2、代幣價格易被操縱

MEME 的價格容易被操縱，一方面是由於其缺乏實質技術支援、內在價值、以及發行門檻低，導致任何人都可以輕鬆創建和發行MEME，這使得市場上充斥著大量強投機性幣種。

同時，MEME 通常依賴社群媒體和網路熱度來推動其價格，而這些因素極易受到大戶或有組織的群體操縱。這些投機者可以透過大量買入或賣出，以及製造假訊息和市場噪音來操縱價格，造成價格劇烈波動，吸引更多散戶投資者追漲殺跌，進一步加劇價格操縱的可能性。

3、專案高度中心化

MEME 專案通常缺乏去中心化治理機制，決策權集中在少數開發者和核心團隊手中，使得專案方向和管理易受個人利益驅動，增加了投資者的風險。在決策權中心化的基礎上，也可能產生代幣合約和程序的控制權中心化、代幣持有中心化、流動性控制中心化等種種中心化風險。

4、投資者交易磨損大

MEME 交易磨損大，第一歸因於其流動性差。由於市場上買賣 MEME 的參與者相對較少、交易量不足，這導致了買賣差價（即買價和賣價之間的差距）較大，使得交易成本增加。此外，流動性差的 MEME 幣在大額交易時容易引起價格劇烈波動，進一步增加了交易風險和成本。投資者在買入或賣出時，往往需要承受更高的滑點和較大的價格影響，導致交易效率低下和交易成本上升。

第二則是歸因於「交易稅」機制。許多 MEME 專案為了激勵投資者持有或維持專案資金，通常會在每筆交易中收取一定比例的交易稅。這些稅費通常用於回購代幣、獎勵持有者或支持專案發展。然而，這種交易稅增加了交易成本，使得頻繁交易變得更加昂貴。交易者在每次買入或賣出時，都需要支付額外的稅費，加劇了交易磨損，進一步降低了流動性。投資者在進行 MEME 交易時，必須承受更高的費用和風險。

5、Rugpull 騙局

MEME 容易成為Rugpull 騙局的目標，原因在於其高度的匿名性、缺乏透明度和監管。以下是幾種常見的 Rugpull 方式及其現象：

1）流動性抽乾（Liquidity Pull）：

方式：開發團隊會在去中心化交易所（DEX）創造一個流動性池，將代幣和主流加密貨幣（如ETH、USDT 等）添加到池中。吸引足夠的投資者後，開發團隊會突然撤出所有流動性，使得代幣無法交易。

現象：投資人發現無法賣出代幣，代幣價格快速歸零，流動性池顯示幾乎沒有資金殘留。

2）開發者拋售（Developer Dumping）

方式：專案方或早期持有者持有大量代幣，當市場需求被炒高後，會在短時間內拋售手中大部分或全部代幣，造成價格暴跌。

現象：交易記錄中出現巨額賣單，代幣價格急劇下跌，市場信心崩潰，交易量迅速減少。

3）項目偽裝（Fake Projects）：

方式：不法分子會創造一個虛假的MEME 幣項目，編造虛假願景和路線圖，透過社群媒體和名人背書吸引投資者。一旦籌集到足夠的資金，他們會關閉項目並捲款而逃。

現象：專案網站、社群媒體帳號突然消失，開發團隊無法聯繫，投資人帳號中的代幣價值迅速貶低。

4）合約漏洞（Contract Exploits）：

方式：開發團隊故意在智能合約中留有後門或漏洞，使他們能夠在特定條件下操縱合約，從而偷走投資者的資金。

現象：代幣交易異常或突然停止，投資者無法轉移或出售代幣，合約地址顯示大量資金被轉移到未知帳戶。

5）假分叉（Fake Forks）：

方式：聲稱對原有代幣進行升級或分叉，要求持有者將舊代幣交換為新代幣，實際上是為了收集並佔有這些舊代幣。

現象：舊代幣失去價值，所謂的新代幣無法在任何交易所交易，專案團隊失聯。

接下來，我們來介紹，使用者在 EVM 系公鏈&Solana 網路上，進行 MEME 交易時常見的鏈上風險。為了方便使用者更直接的對比風險類型差異，我們透過表格的形式來分享。

圖片來源：CertiK 安全團隊

OKX Web3 錢包安全團隊：EVM 系公鏈與Solana 是用戶進行MEME 交易的首選網絡，兩者在鏈上風險類型方面存在差異，這與兩者的代幣發行機制不同等因素有關。

第一，EVM 係公鏈。由於EVM 系公鏈代幣發行自由度很高、且代幣內容由開發者實現，目前在EVM 系公鏈上進行MEME 交易，常見鏈上風險主要包括2 類：

（一）存在惡意邏輯的MEME

當市場出現火熱的MEME 時，會有各種偽造成熱門MEME的惡意代幣出現，這類型惡意代幣通常會有較好的交易數據，引導用戶誤判進而交易到惡意代幣，造成損失。目前常見的惡意代幣主要有 2 類：

1、貔貅盤：是指只能買進不能賣出的代幣。這類型惡意代幣通常透過設定 100% 稅率或特殊轉帳限制邏輯，導致用戶無法賣出代幣。

2、惡意 rug pull 代幣：是指存在隱藏增發邏輯的代幣。這類型惡意代幣透過隱藏增發邏輯，然後增發代幣來耗盡代幣流動性。

（二）項目方作惡

目前項目方作惡也主要包括2 種類型：特權函數作惡、直接砸盤。

1）特權函數作惡：項目方透過特權函數，如 mint 函數，增發代幣砸盤。

2）直接砸盤：專案方直接使用持有代幣砸盤。

第二，Solana 鏈。值得注意的是，Solana 網路發行代幣是透過固定官方管道，因此在 Solana 鏈上進行 MEME 交易時，常見的鏈上風險主要來自於專案方作惡。

（一）特權函數作惡

項目方透過特權函數，如mint 函數來增發代幣砸盤；或透過凍結指令，來凍結用戶地址，從而達到類似貔貅盤的目的，讓用戶無法賣出。

（二）直接砸盤

專案方直接使用持有代幣砸盤。值得提醒的是，部分惡意 MEME 項目方會透過分發持有代幣。來躲過代幣集中持有的審查。

Q3：哪些維度或工具，可以初步過濾風險性極高的MEME 項目

CertiK 安全團隊：這裡不構成任何投資建議，僅僅是介紹一些我們個人常用的幾個工具，不能100% 幫用戶過濾風險，僅為用戶初步判斷一個MEME 是否存較高風險提供參考。

1）dune.com：一個資料分析平台，可以自訂query 來對代幣的鏈上資料進行分析和監控，比較靈活，但使用相對複雜，需要一定的學習成本。

2）Dextools.io：一個代幣資訊整合平台，可以查看一些代幣基礎信息，如市值，流動性情況，持有人數量，代幣分佈等，同時也可以進行一些簡單的安全風險篩選。

3）Skyknight MemScan：CertiK 推出的新平台，為評估 MEME 的安全狀態提供了解決方案。該平台提供即時的洞察和鏈上行為分析，包括合約鑄幣分析、交易控制檢測、所有權集中分析、流動性控制評估等等。

OKX Web3 錢包安全團隊：沒有可以100% 過濾風險的方式和方法，但從代幣安全和專案健康度的角度出發，我們為用戶提供幾個可以初步過濾掉風險性極高的MEME 項的維度。需要注意的是，使用者不能僅依據以下維度就判斷項目的安全性。

1）智慧合約安全性：可以透過輔助工具驗證是否存在原始碼層級的安全性問題。這些工具可以檢查專案程式碼中是否存在惡意邏輯，並識別程式碼本身的安全漏洞。此外，還需評估合約的權限控制，確保合約所有者的權限不過大，避免其能夠隨意增發或銷毀代幣。

2）代幣分配與持有分佈：透過區塊鏈瀏覽器查看代幣持有者的分佈情況，避免參與代幣持有過於集中的項目，因為這些項目容易受到操控，且有較高rugpull 風險

3）流動性和交易活動：觀察代幣的交易量和價格波動情況，低交易量和高波動性可能意味著專案不穩定或有操控風險。

4）社群與開發團隊活動：專案團隊是否公開透明，包括團隊成員的背景、經驗和社群媒體活動。

當前，OKX Web3 錢包也為用戶提供了過濾風險代幣的能力，從代碼安全，交易安全等多層面過濾掉了可能導致用戶受損的代幣，提供各維度代幣資訊的同時，為用戶MEME 安全交易體驗護航。

Q4：作為MEME 代幣早期流通場所，Launchpad 平台以及DEX 目前有哪些限製或風險？

CertiK 安全團隊：首先，Launchpad 平台和DEX 必須具備強大的技術支持，以應對MEME 專案的交易響應速度和交易規模。此外，流動性也是至關重要的一環，相關平台需要監控任何可能影響流動性安全的事件。最後，關於 MEME 的合規風險，平台方必須瞭解並落實相關的監管政策和要求，以減少可能面臨的法律風險。

OKX Web3 錢包安全團隊：接下來，我們將 Launchpad 平台以及 DEX 目前有哪些限製或風險分別進行介紹。

對於Launchpad 平台而言，主要包含三點：

第一，平台上推出的專案品質參差不齊，儘管有些Launchpad 平台會進行審查和盡職調查，但仍有可能未能完全識別出高風險或低品質的專案。

第二，資金管理風險，Launchpad 平台通常會集中管理大量用戶資金，這些資金如果管理不當或被惡意挪用，可能導致用戶資金損失。此外，平台可能缺乏足夠的保障措施來保護用戶資金安全。

第三，市場操縱，專案方或大資金玩家可能會在 Launchpad 推出後進行價格操縱，造成市場波動劇烈，影響散戶投資者。

對於DEX 而言，限制相對較多

第一，流動性不足，新上架的MEME 通常在DEX 上流動性較差，容易導致交易滑點大且價格劇烈波動。

第二，智慧合約漏洞，DEX 依賴智慧合約進行交易，這些合約如果有漏洞，可能被駭客利用，造成資金損失。

第三，交易費用高，尤其是在以太坊等網路上，交易費用（Gas 費）可能非常高，影響小額交易者的成本效益。

第四，惡意項目方，任何人都可以部署代幣並上線DEX 交易，有的項目方可能會在合約中故意留下後門函數，使得專案方可以任意操縱代幣餘額或導致用戶無法賣出代幣。

第五，使用者體驗問題，DEX 的操作對於一般使用者來說相對複雜，涉及錢包連線、Gas 費用設定等，對入門使用者來說體驗可能不如中心化交易所（CEX）。

Q5：追問一下，Telegram 機器人代表了加密貨幣領域基於意圖互動的實際表現之一，這是否代表了未來 DEX 的發展趨勢？

CertiK 安全團隊：Telegram bot 機器人可以大幅降低交易門檻，並自動化交易中的部分步驟，使非專業人員能夠更方便地進行加密貨幣交易。然而，必須特別注意這些機器人的具體安全風險。建議對任何與錢包互動的第三方 dApp 進行全面的安全盡職調查，以確保其安全性。

OKX Web3 錢包安全團隊：Telegram 機器人在加密貨幣領域的應用展現了基於意圖互動的巨大潛力。這種趨勢有望透過優化用戶體驗、增強交易便利性和安全性、擴展金融服務生態系統以及技術創新，推動去中心化交易所（DEX）的未來發展。

1、提升使用者體驗

簡化操作：Telegram 機器人透過自然語言處理，使使用者能夠使用簡單的聊天指令進行交易，簡化了複雜的操作流程。

自動交易：使用者可以設定自動交易規則，如停損點和止盈點，減少人工操作的風險和時間成本。

2、增強去中心化交易

無縫整合：機器人透過API 介面與去中心化交易所（DEX）集成，隱藏了複雜的交易操作，降低了用戶的學習成本。

即時操作：機器人可以即時監控市場動態，並即時通知用戶，使其能夠迅速做出交易決策並執行交易。

3、提高安全性

智能合約：機器人利用智慧合約確保交易的透明與安全，減少了人為幹預和詐欺的可能性。

去中心化：儘管機器人可能是中心化的，但實際交易在去中心化的環境中進行，提高了交易的安全性和透明度。

4、擴展生態系

多功能平台：Telegram 機器人不只限於交易，還可擴展至資產管理、借貸、質押等金融服務，提供一站式的金融解決方案。

增強社群互動：透過 Telegram 平台，機器人能促進使用者溝通和社群建設，增加使用者參與度。

5、科技與市場驅動

創新推動：人工智慧與區塊鏈技術的進步將使機器人應用越來越聰明和高效，推動更多去中心化應用和服務的出現。

市場接受度：使用者對簡化和自動化服務的需求日益增長，推動更多 DEX 採用機器人服務以提升競爭力。

Q6：針對高頻工具之一，如各類TG 的BOT 機器人目前存在的安全風險

CertiK 安全團隊：隨著加密貨幣市場的發展，Telegram BOT 機器人在交易和資訊取得中變得越來越普遍。然而，這些高頻使用的工具也帶來了顯著的安全風險，使用者在使用時應特別注意以下幾個方面。

首先，許多 Telegram BOT 機器人未經安全審計或程式碼公開，可能存在惡意程式碼或漏洞。這些惡意 BOT 可能會竊取使用者的私鑰、身分資訊或其他敏感資料。此外，惡意 BOT 可能會偽裝成合法的服務，透過釣魚攻擊誘導用戶輸入他們的私鑰或助記詞，從而竊取資金。因此，使用者應確保只使用官方推薦或經過驗證的 BOT，避免點擊不明連結或輸入敏感資訊。

其次，某些 BOT 可能要求過多的權限，例如存取使用者的聯絡人、文件或其他私密資訊。使用時應謹慎授予權限，確保 BOT 只獲得其正常運作所需的最低權限。同時，BOT 與 Telegram 伺服器之間的通訊可能會被中間人攻擊截獲，導致資料外洩或竄改。使用者應確保使用加密通訊的 BOT，並檢查其安全通訊協議的實施情況。

第三，許多 Telegram BOT 提供自動化交易功能，但如果這些 BOT 的交易邏輯有漏洞，可能導致嚴重的財務損失。用戶應在使用此類功能前進行充分的測試，並監控交易行為以防止異常情況。此外，BOT 開發者可能會收集並儲存大量用戶數據，一旦這些數據被洩露或濫用，用戶隱私將受到嚴重威脅。使用者應選擇有良好信譽和隱私權政策的 BOT，並定期查看其隱私權保護措施。

最後，過度依賴某些 BOT 進行交易或管理資產，可能導致在 BOT 服務中斷或關閉時，使用者無法正常操作。因此，使用者應避免對單一 BOT 的過度依賴，並準備備份方案。透過了解和防範這些風險，使用者可以更安全地使用 Telegram BOT 機器人，保護自己的資產和隱私安全。

OKX Web3 錢包安全團隊：類似TG 的BOT 機器人在提供便利服務的同時也帶來了很大的風險隱患，接下來，我們舉例說明。

第一，私鑰的中心化託管風險。多數 Telegram 機器人需要託管用戶的私鑰，以便於主動簽署和發送交易。這意味著用戶的私鑰儲存在第三方伺服器上，增加了被盜或濫用的風險。

第二，釣魚風險。透過 Telegram 機器人發送的釣魚連結可能誘導用戶點擊，導致帳戶資訊或私鑰被竊取。此外，聊天視窗中的人工誘導（例如假貨客服）可能會騙取用戶的助記詞或其他敏感資訊。

第三，木馬風險。某些機器人可能透過發送惡意軟體（木馬）或惡意 SDK 的方式，感染使用者的設備，危及整個系統的安全。

總計，使用者在使用各類 BOT 機器人時候，需要謹慎辨別，不要隨意點擊陌生鏈接，也不要洩漏自己的私鑰。

Q7：使用者交易MEME 的操作迷思與風險防範

CertiK 安全團隊：首先，對於任何與自己錢包互動的dApp，包括交易平台和Telegram bot，使用者都應進行安全盡職調查。選擇經過安全審計的 dApp 可以降低操作中被攻擊的風險，並確保自己的私鑰和身分資訊的安全。目前，CertiK 透過提供 dApp 的滲透測試服務，幫助使用者以減少風險。

其次，MEME 的交易高度依賴交易的反應速度和頻率，因此選擇一個穩定且交易費用合理的平台至關重要。在進行交易時，盡量選擇那些安全、穩定、快速且交易費用較低的平台，以獲得更好的交易體驗。例如，上面提及的 CertiK 推出的 MemeScan 平台，可以提供即時的安全狀態信息，包括 MEME 的鏈上行為分析。例如，合約可增發新幣、交易可被暫停或被限制、少數地址控制大部分 token、少數地址控制大部分流動性等，希望可以對用戶安全交易提供些許幫助。

OKX Web3 錢包安全團隊：考慮到安全性，使用者在進行MEME 交易時，需要知曉安全操作和風險防範，以確保交易的正確性和安全性。

第一，要選擇正確的交易平台。用戶應選擇信譽良好且安全性高的加密貨幣交易所，盡量避免使用未經驗證或未知的交易平台，可能會面臨資產被盜的風險。對於鏈上交易，要確認專案方的官網，合約的正確性。

第二，開啟更高安全性的認證方式。為了更加安全，用戶可以在所有交易平台和錢包中啟用雙重認證，使用 Google Authenticator 或其他安全應用程式。盡量避免使用簡訊驗證，因為它容易受到 SIM 卡交換攻擊的影響。

第三，使用高安全性的皮夾。用戶盡量使用經過驗證的錢包進行交易，並確保安全備份助記詞或私鑰，存放在安全的地方，避免電子備份。不備份私鑰或助記詞，設備遺失或損壞時將無法恢復資產。

第四，防範釣魚。用戶需要時時驗證交易用的 url，確保其為官方連結。在遇到問題時確保聯繫到的是官方的客服，不要理會 Telegram、Discord 等群組中的私信，永遠不要點來路不明的鏈接，簽署不知道內容的簽名和展示私鑰。

第五，安全的網路環境，使用者應該在可信任的作業系統下操作，盡量不要使用公共無線網路。

最後，感謝大家看完OKX Web3 錢包《安全特刊》欄目的第02 期，當前我們正在緊鑼密鼓地準備第03 期內容，不僅有真實的案例、風險識別、還有安全操作乾貨，敬請期待！

免責聲明：

本文僅供參考，本文無意提供 (i) 投資建議或投資推薦；(ii) 購買、出售或持有數位資產的要約或招攬；或 (iii) 財務、會計、法律或稅務建議。持有的數位資產（包括穩定幣和 NFTs）涉及高風險，可能會大幅波動，甚至變得毫無價值。您應根據自己的財務狀況仔細考慮交易或持有數位資產是否適合您。請您自行負責了解並遵守當地有關適用的法律和法規。

本文來自投稿，不代表 BlockBeats 觀點。

欢迎加入律动 BlockBeats 官方社群：

Telegram 订阅群：https://t.me/theblockbeats

Telegram 交流群：https://t.me/BlockBeats_App

Twitter 官方账号：https://twitter.com/BlockBeatsAsia