Forstå honeypots, rug pulls og risiko i smart contracts
Hver dag lanseres hundrevis av nye tokens på Ethereum, BNB Smart Chain, Base og andre EVM-blokkjeder. Mange er legitime prosjekter, men et betydelig antall inneholder skadelig kode som er laget for å stjele investorenes midler. Honeypot-tokens, rug pulls og svindelkontrakter er fortsatt de vanligste truslene i desentralisert finans (DeFi) og forårsaker tap på milliarder hvert år.
En honeypot-token er et smart contract som er konstruert for å la investorer kjøpe, men hindre dem i å selge. Kontraktskoden inneholder skjulte funksjoner som blokkerer salgstransaksjoner, pålegger 100 % gebyrer på overføringer eller begrenser salg til kun whiteliste-adresser. Utad ser det ut som tokenet handles normalt på desentraliserte børser, men alle som kjøper oppdager at tokenene i praksis er låst.
Vanlige honeypot-teknikker i Solidity-kode
Svindlere bruker stadig mer avanserte metoder for å skjule ondsinnet logikk i smart contracts. De vanligste honeypot-teknikkene inkluderer:
- Blacklister for overføringer — Kontrakten opprettholder en skjult mapping av adresser. Når du kjøper, blir adressen din i stillhet lagt til i en blacklist som blokkerer alle utgående overføringer.
- Dynamisk gebyrmanipulasjon — Salgsgebyret starter på 0 % for å virke trygt, men eieren kaller en funksjon etter lansering for å sette det til 99 % eller 100 %, noe som gjør salg verdiløst.
- Maksgrenser for transaksjoner — Kontrakten setter et maksimalt salgsbeløp til et ekstremt lavt tall (eller null), noe som i praksis hindrer meningsfulle salgstransaksjoner.
- Kapring av godkjenninger — Kontrakten overstyrer ERC-20-standardens approve-funksjon for i hemmelighet å tilbakekalle eller omdirigere godkjenninger, noe som ødelegger DEX-salgsfunksjonalitet.
- Betingede logikkbomber — Salgsbegrensninger aktiveres først etter at et bestemt blokknummer, et tidsstempel eller et visst antall innehavere er nådd, noe som gjør tidlig testing tilsynelatende trygg.
Slik fungerer rug pulls: hva du bør se etter
En rug pull er bredere enn en honeypot. Det viser til enhver mekanisme som gjør det mulig for den som deployet kontrakten å tømme verdier fra investorer. I motsetning til honeypots, som låser tokens i lommebøker, trekker rug pulls aktivt ut likviditet eller krasjer tokenprisen. Viktige indikatorer i smart contract-kode inkluderer:
- Ikke fraskrevet eierskap — Hvis kontraktseieren ikke har fraskrevet seg eierskapet, beholder vedkommende adminfunksjoner som kan endre gebyrer, pause handel, blackliste adresser eller ta ut midler når som helst.
- Skjulte mint-funksjoner — Funksjoner som lar eieren opprette et ubegrenset antall nye tokens. Når de brukes, krasjer den massive økningen i tilbudet prisen til nær null.
- Ulåst likviditet — Hvis likviditetspoolens LP-tokens ikke er låst i en tidslåskontrakt, kan deployeren fjerne all likviditet fra DEX-paret umiddelbart og gjøre tokenet uomsettelig.
- Mønstre for proxyoppgraderinger — Oppgraderbare proxykontrakter gjør det mulig for utvikleren å erstatte hele kontraktlogikken etter lansering. En kontrakt som ser trygg ut kan bli ondsinnet med én enkelt transaksjon.
- Avhengigheter til eksterne kall — Kontrakten kaller en ekstern adresse kontrollert av utvikleren. Denne eksterne kontrakten kan returnere ulike verdier over tid og dermed i det stille endre tokenets oppførsel.
Hvorfor mønstergjenkjenning svikter mot moderne svindel
Tradisjonelle token-skannere er avhengige av mønstergjenkjenning — de sammenligner kontraktkode med en database over kjente skadelige mønstre. Dette fanger opp enkle svindler, men moderne svindlere skriver bevisst koden sin for å omgå disse kontrollene. De gir funksjoner nye navn, deler ondsinnet logikk opp i flere interne kall, bruker assembly-blokker for å skjule operasjoner og obfuskere variabelnavn.
Funksjonsbasert AI-analyse løser dette ved faktisk å lese og forstå hva hver funksjon gjør, uavhengig av hvordan koden er skrevet. I stedet for å spørre «matcher dette funksjonsnavnet et kjent svindelmønster?» spør den «hva gjør denne funksjonen faktisk når den kjøres?». Dette fanger opp nye eksploitteknikker, skjult logikk og spesialskrevne bakdører som ingen mønsterdatabase har sett før. Les mer om hvordan skanneren vår fungerer.
Forstå poengsummene i revisjonsrapporten din
Hver revisjon av et smart contract genererer fire nøkkelpoeng på en skala fra 1 til 10:
- Sikkerhetsscore — Måler den generelle sikkerheten i kontrakten: adminprivilegier, tilgangskontroller, validering av inndata og beskyttelse mot vanlige angrepsvektorer som reentrancy og heltallsoverløp.
- Tokenomics-score — Evaluerer tokenets økonomiske utforming: gebyrstrukturer, tilbudsmekanikk, rettferdig distribusjon og om tokenomics-modellen er bærekraftig eller laget for å favorisere insidere.
- Likviditetsscore — Vurderer likviditetens helse: poolstørrelse i forhold til markedsverdi, status for likviditetslås, fordeling av LP-tokens og sårbarhet for angrep der likviditeten trekkes ut.
- Rug Pull-score — Måler spesifikt rug pull-risiko: eierstatus, mint-muligheter, pausefunksjoner, blacklist-mekanismer, proxymønstre og enhver funksjon som kan tappe verdi fra innehavere.
Skanning av tokens på tvers av flere blokkjeder
Svindel med smart contracts finnes på alle EVM-kompatible blokkjeder. Ethereum og BNB Smart Chain (BSC) har det høyeste volumet av svindeltokens, men nyere nettverk som Base, Arbitrum, Blast, Scroll og Berachain blir stadig oftere mål i takt med at DeFi-økosystemene deres vokser. Svindlere deployer identiske ondsinnede kontrakter på flere kjeder samtidig for å maksimere rekkevidden sin.
Skanning på tvers av flere kjeder er viktig fordi svindelmønstre varierer mellom økosystemer. BSC-svindler bruker ofte enklere honeypot-mønstre rettet mot mindre erfarne investorer, mens svindler på Ethereum gjerne bruker mer avanserte proxyoppgraderinger og teknikker med eksterne kall. Base og Layer 2-nettverk har en blanding av begge, ofte med raskere lanseringssykluser som gir investorer mindre tid til å reagere.
Før du kjøper et token på en hvilken som helst blokkjede, er analyse av smart contract-koden en av de mest effektive måtene å beskytte investeringen din på. Ingen skanner fanger opp 100 % av all svindel, men funksjonsbasert AI-analyse reduserer risikoen betydelig for å bli offer for honeypot-tokens, rug pulls og andre eksploit i smart contracts. Har du spørsmål? Se vår FAQ eller kontakt oss.
