Pengesan Honeypot & Pemeriksa Rug Pull

Memahami Honeypot, Rug Pull & Risiko Kontrak Pintar

Setiap hari, ratusan token baharu dilancarkan merentasi Ethereum, BNB Smart Chain, Base dan blockchain EVM lain. Walaupun banyak daripadanya ialah projek yang sah, sejumlah besar mengandungi kod berniat jahat yang direka untuk mencuri dana pelabur. Token honeypot, rug pull dan kontrak penipuan kekal sebagai ancaman paling biasa dalam kewangan terdesentralisasi (DeFi), menyebabkan kerugian berbilion setiap tahun.

Token honeypot ialah kontrak pintar yang direka untuk membenarkan pelabur membeli tetapi menghalang mereka daripada menjual. Kod kontrak mengandungi fungsi tersembunyi yang menyekat transaksi jualan, mengenakan yuran 100% pada pemindahan, atau mengehadkan jualan kepada alamat yang dibenarkan sahaja. Dari luar, token kelihatan diperdagangkan seperti biasa di bursa terdesentralisasi, tetapi sesiapa yang membeli akan mendapati token mereka terkunci secara kekal.

Teknik Honeypot Biasa dalam Kod Solidity

Pembangun scam menggunakan kaedah yang semakin canggih untuk menyembunyikan logik berniat jahat di dalam kontrak pintar. Teknik honeypot yang paling biasa termasuk:

• Senarai hitam pemindahan — Kontrak mengekalkan pemetaan alamat tersembunyi. Sebaik sahaja anda membeli, alamat anda ditambah secara senyap ke dalam senarai hitam yang menyekat semua pemindahan keluar.
• Manipulasi yuran dinamik — Yuran jualan bermula pada 0% supaya kelihatan selamat, tetapi pemilik memanggil satu fungsi selepas pelancaran untuk menetapkannya kepada 99% atau 100%, menjadikan penjualan tidak bernilai.
• Had transaksi maksimum — Kontrak menetapkan jumlah jualan maksimum kepada nombor yang amat kecil (atau sifar), sekali gus menghalang sebarang transaksi jualan yang bermakna.
• Perampasan kelulusan — Kontrak mengatasi fungsi approve ERC-20 standard untuk membatalkan atau mengalih kelulusan token secara senyap, lalu mematahkan fungsi jualan DEX.
• Bom logik bersyarat — Sekatan jualan hanya diaktifkan selepas nombor blok, cap masa atau jumlah pemegang tertentu dicapai, menyebabkan ujian awal kelihatan selamat.

Bagaimana Rug Pull Berfungsi: Apa yang Perlu Diperhatikan

Rug pull lebih luas daripada honeypot. Ia merujuk kepada sebarang mekanisme yang membolehkan deployer kontrak menguras nilai pelabur. Tidak seperti honeypot yang memerangkap token dalam dompet, rug pull secara aktif mengeluarkan kecairan atau menjatuhkan harga token. Petunjuk utama dalam kod kontrak pintar termasuk:

• Pemilikan tidak dilepaskan — Jika pemilik kontrak belum melepaskan pemilikan, mereka mengekalkan fungsi admin yang boleh menukar yuran, menghentikan dagangan, menyenaraihitamkan alamat atau mengeluarkan dana pada bila-bila masa.
• Fungsi mint tersembunyi — Fungsi yang membolehkan pemilik mencipta token baharu tanpa had. Apabila dilaksanakan, peningkatan bekalan yang besar menyebabkan harga menjunam hampir ke sifar.
• Kecairan tidak dikunci — Jika token kumpulan kecairan (LP) tidak dikunci dalam kontrak time-lock, deployer boleh mengeluarkan semua kecairan daripada pasangan DEX serta-merta, menjadikan token tidak boleh didagangkan.
• Corak naik taraf proksi — Kontrak proksi yang boleh dinaik taraf membolehkan pembangun menggantikan logik kontrak sepenuhnya selepas pelancaran. Kontrak yang kelihatan selamat boleh menjadi berniat jahat dengan satu transaksi sahaja.
• Kebergantungan panggilan luaran — Kontrak memanggil alamat luaran yang dikawal oleh pembangun. Kontrak luaran ini boleh memulangkan nilai berbeza dari semasa ke semasa, sekali gus menukar tingkah laku token secara senyap.

Mengapa Padanan Corak Gagal Melawan Scam Moden

Pengimbas token tradisional bergantung pada padanan corak — membandingkan kod kontrak dengan pangkalan data corak berniat jahat yang diketahui. Walaupun ini menangkap scam asas, pembangun scam moden sengaja menulis kod mereka untuk memintas semakan ini. Mereka menukar nama fungsi, memecahkan logik berniat jahat merentasi pelbagai panggilan dalaman, menggunakan blok assembly untuk menyembunyikan operasi dan mengaburkan nama pemboleh ubah.

Analisis AI fungsi demi fungsi menyelesaikan perkara ini dengan benar-benar membaca dan memahami apa yang dilakukan oleh setiap fungsi, tanpa mengira cara kod itu ditulis. Daripada memeriksa "adakah nama fungsi ini sepadan dengan corak scam yang diketahui?", ia bertanya "apakah yang sebenarnya dilakukan oleh fungsi ini apabila dilaksanakan?" Ini menangkap teknik eksploitasi baharu, logik yang disamarkan dan pintu belakang tersuai yang belum pernah dilihat oleh mana-mana pangkalan data corak sebelum ini. Ketahui bagaimana pengimbas kami berfungsi.

Memahami Skor Laporan Audit Anda

Setiap audit kontrak pintar menghasilkan empat skor utama pada skala 1–10:

• Skor Keselamatan — Mengukur keselamatan keseluruhan kontrak: keistimewaan admin, kawalan akses, pengesahan input dan perlindungan terhadap vektor serangan biasa seperti reentrancy dan limpahan integer.
• Skor Tokenomics — Menilai reka bentuk ekonomi token: struktur yuran, mekanik bekalan, keadilan pengagihan dan sama ada model tokenomics itu mampan atau direka untuk memberi manfaat kepada orang dalam.
• Skor Kecairan — Menilai tahap kesihatan kecairan: saiz kolam berbanding modal pasaran, status kunci kecairan, pengagihan token LP dan kerentanan terhadap serangan pengeluaran kecairan.
• Skor Rug Pull — Mengukur secara khusus risiko rug pull: status pemilikan, keupayaan mint, fungsi jeda, mekanisme senarai hitam, corak proksi dan apa-apa fungsi yang boleh menguras nilai daripada pemegang.

Mengimbas Token Merentasi Pelbagai Blockchain

Scam kontrak pintar wujud pada setiap blockchain yang serasi dengan EVM. Walaupun Ethereum dan BNB Smart Chain (BSC) menyaksikan jumlah token scam tertinggi, rangkaian baharu seperti Base, Arbitrum, Blast, Scroll dan Berachain semakin menjadi sasaran apabila ekosistem DeFi mereka berkembang. Pembangun scam melancarkan kontrak berniat jahat yang sama merentasi pelbagai rantaian secara serentak untuk memaksimumkan jangkauan mereka.

Pengimbasan pelbagai rantaian adalah penting kerana corak scam berbeza antara ekosistem. Scam BSC sering menggunakan corak honeypot yang lebih mudah yang mensasarkan pelabur kurang berpengalaman, manakala scam Ethereum cenderung menggunakan teknik naik taraf proksi dan panggilan luaran yang lebih canggih. Rangkaian Base dan Layer 2 melihat gabungan kedua-duanya, selalunya dengan kitaran pelancaran yang lebih pantas yang memberi pelabur masa yang lebih singkat untuk bertindak balas.

Sebelum membeli sebarang token pada mana-mana blockchain, menganalisis kod kontrak pintar ialah salah satu cara paling berkesan untuk melindungi pelaburan anda. Tiada pengimbas yang menangkap 100% scam, tetapi analisis AI fungsi demi fungsi mengurangkan risiko menjadi mangsa token honeypot, rug pull dan eksploit kontrak pintar lain dengan ketara. Ada soalan? Lihat FAQ kami atau hubungi kami.