Forstå honeypots, rug pulls og risici i smart contracts
Hver dag lanceres hundredvis af nye tokens på Ethereum, BNB Smart Chain, Base og andre EVM-blockchains. Mange er legitime projekter, men et betydeligt antal indeholder ondsindet kode, der er designet til at stjæle investorers midler. Honeypot-tokens, rug pulls og svindelkontrakter er stadig de mest almindelige trusler i decentral finans (DeFi) og forårsager tab for milliarder hvert år.
En honeypot-token er en smart contract, der er bygget til at lade investorer købe, men forhindre dem i at sælge. Kontraktkoden indeholder skjulte funktioner, som blokerer salgstransaktioner, pålægger 100 % gebyrer ved overførsler eller begrænser salg til kun whitelisted adresser. Udadtil ser tokenen ud til at blive handlet normalt på decentraliserede børser, men den, der køber, opdager, at tokenen i praksis er låst permanent.
Almindelige honeypot-teknikker i Solidity-kode
Svindlere bruger stadig mere avancerede metoder til at skjule ondsindet logik i smart contracts. De mest almindelige honeypot-teknikker omfatter:
- Blacklister for overførsler — Kontrakten opretholder en skjult mapping af adresser. Når du køber, bliver din adresse stille og roligt føjet til en blacklist, der blokerer alle udgående overførsler.
- Dynamisk gebyrmanipulation — Salgsgebyret starter på 0 % for at virke sikkert, men ejeren kalder en funktion efter lanceringen for at sætte det til 99 % eller 100 %, hvilket gør salg værdiløst.
- Maksgrænser for transaktioner — Kontrakten sætter et maksimalt salgsbeløb til en ekstremt lille værdi (eller nul), hvilket i praksis forhindrer meningsfulde salg.
- Kapring af godkendelser — Kontrakten tilsidesætter ERC-20-standardens
approve-funktion for i hemmelighed at tilbagekalde eller omdirigere token-godkendelser, hvilket bryder DEX-salg. - Betingede logiske bomber — Salgsbegrænsninger aktiveres først, når et bestemt bloknummer, tidsstempel eller antal indehavere er nået, hvilket får tidlige tests til at virke sikre.
Sådan fungerer rug pulls: hvad du skal kigge efter
Et rug pull er bredere end en honeypot. Det dækker enhver mekanisme, der gør det muligt for den, der har deployet kontrakten, at tømme værdi fra investorerne. I modsætning til honeypots, som låser tokens i wallets, trækker rug pulls aktivt likviditet ud eller får tokenprisen til at kollapse. Vigtige indikatorer i smart contract-kode omfatter:
- Ikke-frasagt ejerskab — Hvis kontraktejeren ikke har frasagt sig ejerskabet, bevarer vedkommende administratorfunktioner, som når som helst kan ændre gebyrer, sætte handel på pause, blacklist’e adresser eller hæve midler.
- Skjulte mint-funktioner — Funktioner, der gør det muligt for ejeren at skabe ubegrænset mange nye tokens. Når de bliver brugt, sender den massive stigning i udbuddet prisen tæt på nul.
- Ulåst likviditet — Hvis likviditetspuljens LP-tokens ikke er låst i en timelock-kontrakt, kan deployeren straks fjerne al likviditet fra DEX-paret og efterlade tokenen umulig at handle.
- Mønstre for proxy-opgraderinger — Opgraderbare proxy-kontrakter gør det muligt for udvikleren helt at udskifte kontraktens logik efter lancering. En kontrakt, der ser sikker ud, kan blive ondsindet med én enkelt transaktion.
- Afhængigheder af eksterne kald — Kontrakten kalder en ekstern adresse, som kontrolleres af udvikleren. Den eksterne kontrakt kan returnere forskellige værdier over tid og dermed stille ændre tokenens adfærd.
Hvorfor mønstermatching fejler mod moderne svindel
Traditionelle token-scannere er afhængige af mønstermatching — at sammenligne kontraktkode med en database over kendte ondsindede mønstre. Det fanger enkle svindler, men moderne svindlere skriver bevidst deres kode for at omgå disse kontroller. De omdøber funktioner, splitter ondsindet logik op i flere interne kald, bruger assembly-blokke til at skjule operationer og forvrænger variabelnavne.
AI-analyse funktion for funktion løser dette ved faktisk at læse og forstå, hvad hver funktion gør, uanset hvordan koden er skrevet. I stedet for at spørge "matcher funktionsnavnet et kendt svindelmønster?" spørger den "hvad gør denne funktion faktisk, når den kører?" Det opfanger nye exploit-teknikker, skjult logik og specialskrevne bagdøre, som ingen mønsterdatabase har set før. Læs hvordan vores scanner fungerer.
Forstå pointene i din gennemgangsrapport
Hver gennemgang af en smart contract genererer fire nøglepoint på en skala fra 1 til 10:
- Sikkerhedsscore — Måler kontraktens overordnede sikkerhed: administratorrettigheder, adgangskontrol, validering af input og beskyttelse mod almindelige angrebsvektorer som reentrancy og heltalsoverløb.
- Tokenomics-score — Evaluerer tokenens økonomiske design: gebyrstrukturer, udbudsmekanik, fair distribution og om tokenomics-modellen er bæredygtig eller designet til at gavne insiders.
- Likviditetsscore — Vurderer likviditetens sundhed: poolstørrelse i forhold til markedsværdi, status for likviditetslås, fordeling af LP-tokens og sårbarhed over for angreb, der fjerner likviditet.
- Rug Pull-score — Måler specifikt risikoen for rug pull: ejerstatus, mint-kapacitet, pausefunktioner, blacklist-mekanismer, proxymønstre og enhver funktion, der kan dræne værdi fra indehavere.
Scanning af tokens på tværs af flere blockchains
Smart contract-svindel findes på enhver EVM-kompatibel blockchain. Ethereum og BNB Smart Chain (BSC) har den højeste volumen af svindeltokens, men nyere netværk som Base, Arbitrum, Blast, Scroll og Berachain bliver i stigende grad mål, efterhånden som deres DeFi-økosystemer vokser. Svindlere deployer identiske ondsindede kontrakter på flere kæder samtidigt for at maksimere deres rækkevidde.
Scanning på tværs af flere kæder er afgørende, fordi svindelmønstre varierer mellem økosystemer. BSC-svindel bruger ofte enklere honeypot-mønstre rettet mod mindre erfarne investorer, mens svindel på Ethereum typisk bruger mere avancerede proxy-opgraderinger og teknikker med eksterne kald. Base og Layer 2-netværk ser en blanding af begge dele, ofte med hurtigere lanceringscyklusser, som giver investorer mindre tid til at reagere.
Før du køber en token på nogen blockchain, er analyse af smart contract-koden en af de mest effektive måder at beskytte din investering på. Ingen scanner fanger 100 % af alle svindler, men AI-analyse funktion for funktion reducerer risikoen markant for at blive offer for honeypot-tokens, rug pulls og andre exploits i smart contracts. Har du spørgsmål? Læs vores FAQ eller kontakt os.
