Förstå honeypots, rug pulls och smart contract-risk
Varje dag lanseras hundratals nya tokens på Ethereum, BNB Smart Chain, Base och andra EVM-blockkedjor. Även om många är legitima projekt innehåller ett betydande antal skadlig kod som är utformad för att stjäla investerares pengar. Honeypot-tokens, rug pulls och bluffkontrakt är fortfarande de vanligaste hoten inom decentraliserad finans (DeFi) och orsakar årligen förluster på miljarder.
En honeypot-token är ett smart contract som är konstruerat för att låta investerare köpa men hindra dem från att sälja. Kontraktskoden innehåller dolda funktioner som blockerar säljtransaktioner, lägger på 100 % avgifter på överföringar eller begränsar försäljning till endast whitelisted adresser. Utåt sett verkar tokenen handlas normalt på decentraliserade börser, men den som köper upptäcker att tokenen i praktiken är låst.
Vanliga honeypot-tekniker i Solidity-kod
Bedragare använder allt mer sofistikerade metoder för att dölja skadlig logik i smart contracts. De vanligaste honeypot-teknikerna inkluderar:
- Överföringsblacklists — Kontraktet har en dold mappning av adresser. När du köper läggs din adress tyst till i en blacklist som blockerar alla utgående överföringar.
- Dynamisk avgiftsmanipulation — Säljavgiften börjar på 0 % för att verka säker, men ägaren anropar en funktion efter lansering för att sätta den till 99 % eller 100 %, vilket gör försäljning meningslös.
- Maxgränser för transaktioner — Kontraktet sätter ett maximalt säljbelopp till ett extremt litet värde (eller noll), vilket i praktiken förhindrar meningsfulla säljtransaktioner.
- Kapning av godkännanden — Kontraktet åsidosätter ERC-20-standardens approve-funktion för att i hemlighet återkalla eller omdirigera godkännanden, vilket bryter DEX-funktionaliteten för försäljning.
- Villkorade logikbomber — Säljbegränsningar aktiveras först efter ett visst blocknummer, en tidsstämpel eller ett visst antal innehavare, vilket gör att tidig testning verkar säker.
Så fungerar rug pulls: vad du ska leta efter
En rug pull är bredare än en honeypot. Det syftar på alla mekanismer som gör det möjligt för kontraktets deployer att tömma investerarnas värde. Till skillnad från honeypots, som låser tokens i plånböcker, drar rug pulls aktivt ut likviditet eller kraschar tokenens pris. Viktiga indikatorer i smart contract-kod inkluderar:
- Inte avsagt ägarskap — Om kontraktsägaren inte har avsagt sig ägarskapet behåller den adminfunktioner som när som helst kan ändra avgifter, pausa handel, blacklista adresser eller ta ut medel.
- Dolda mint-funktioner — Funktioner som låter ägaren skapa obegränsat med nya tokens. När de används kraschar det kraftiga utbudsökningen priset till nära noll.
- Olåst likviditet — Om likviditetspoolens (LP) tokens inte är låsta i ett tidslåskontrakt kan deployern omedelbart ta bort all likviditet från DEX-paret och göra tokenen ohandlingsbar.
- Proxyuppgraderingsmönster — Uppgraderingsbara proxykontrakt gör det möjligt för utvecklaren att helt ersätta kontraktslogiken efter lansering. Ett kontrakt som ser säkert ut kan bli skadligt med en enda transaktion.
- Beroenden av externa anrop — Kontraktet anropar en extern adress som kontrolleras av utvecklaren. Det externa kontraktet kan returnera olika värden över tid och därmed tyst ändra tokenens beteende.
Varför mönstermatchning misslyckas mot moderna bedrägerier
Traditionella token-skannrar förlitar sig på mönstermatchning — de jämför kontraktskod mot en databas med kända skadliga mönster. Det fångar enkla bedrägerier, men moderna bedragare skriver medvetet sin kod för att kringgå dessa kontroller. De byter namn på funktioner, delar upp skadlig logik över flera interna anrop, använder assembly-block för att dölja operationer och förvränger variabelnamn.
Funktionsbaserad AI-analys löser detta genom att faktiskt läsa och förstå vad varje funktion gör, oavsett hur koden är skriven. I stället för att fråga "matchar funktionsnamnet ett känt scam-mönster?" frågar den "vad gör den här funktionen faktiskt när den körs?". Det fångar nya exploateringstekniker, fördold logik och specialskrivna bakdörrar som ingen mönsterdatabas har sett tidigare. Läs mer om hur vår skanner fungerar.
Så tolkar du poängen i din granskningsrapport
Varje smart contract-granskning genererar fyra nyckelpoäng på en skala från 1 till 10:
- Säkerhetspoäng — Mäts den övergripande säkerheten i kontraktet: adminbehörigheter, åtkomstkontroller, indata-validering och skydd mot vanliga attackvektorer som reentrancy och heltalsöverflöde.
- Tokenomics-poäng — Utvärderar tokenens ekonomiska design: avgiftsstrukturer, utbudsmekanik, rättvis fördelning och om tokenomics-modellen är hållbar eller utformad för att gynna insiders.
- Likviditetspoäng — Bedömer likviditetens hälsa: poolstorlek i förhållande till marknadsvärde, likviditetslåsets status, fördelning av LP-tokens och sårbarhet för attacker där likviditet tas bort.
- Rug pull-poäng — Mäter specifikt risken för rug pull: ägarstatus, mint-funktioner, pausfunktioner, blacklist-mekanismer, proxymönster och alla funktioner som kan dränera värde från innehavare.
Skanna tokens på flera blockkedjor
Bedrägerier med smart contracts finns på alla EVM-kompatibla blockkedjor. Även om Ethereum och BNB Smart Chain (BSC) har högst volym av blufftokens blir nyare nätverk som Base, Arbitrum, Blast, Scroll och Berachain allt oftare mål när deras DeFi-ekosystem växer. Bedragare distribuerar identiska skadliga kontrakt på flera kedjor samtidigt för att maximera sin räckvidd.
Skanning över flera kedjor är avgörande eftersom bedrägerimönster varierar mellan ekosystem. BSC-bedrägerier använder ofta enklare honeypot-mönster riktade mot mindre erfarna investerare, medan Ethereum-bedrägerier tenderar att använda mer sofistikerade proxyuppgraderingar och externa anropstekniker. Base och Layer 2-nätverk ser en blandning av båda, ofta med snabbare lanseringscykler som ger investerare mindre tid att reagera.
Innan du köper någon token på någon blockkedja är analys av smart contract-koden ett av de mest effektiva sätten att skydda din investering. Ingen skanner fångar 100 % av alla bedrägerier, men funktionsbaserad AI-analys minskar avsevärt risken att drabbas av honeypot-tokens, rug pulls och andra smart contract-exploits. Har du frågor? Läs vår FAQ eller kontakta oss.
