Förstå honeypots, rug pulls och risker i smarta kontrakt
Varje dag lanseras hundratals nya tokens på Ethereum, BNB Smart Chain, Base och andra EVM-blockkedjor. Många är legitima projekt, men ett betydande antal innehåller skadlig kod som är utformad för att stjäla investerares pengar. Honeypot-tokens, rug pulls och bluffkontrakt är fortfarande de vanligaste hoten inom decentraliserad finans (DeFi) och orsakar förluster på miljarder varje år.
En honeypot-token är ett smart kontrakt som är byggt för att låta investerare köpa men hindra dem från att sälja. Kontraktskoden innehåller dolda funktioner som blockerar säljtransaktioner, lägger på 100 % avgifter vid överföringar eller begränsar försäljning till enbart whitelistade adresser. Utåt sett verkar tokenen handlas normalt på decentraliserade börser, men den som köper upptäcker att tokenen är permanent låst.
Vanliga honeypot-tekniker i Solidity-kod
Bedragare använder allt mer avancerade metoder för att dölja skadlig logik i smarta kontrakt. De vanligaste honeypot-teknikerna är:
- Blacklistor för överföringar — Kontraktet upprätthåller en dold mappning av adresser. När du köper läggs din adress tyst till i en blacklist som blockerar alla utgående överföringar.
- Dynamisk avgiftsmanipulation — Säljavgiften börjar på 0 % för att verka säker, men ägaren anropar en funktion efter lansering för att sätta den till 99 % eller 100 %, vilket gör försäljning värdelös.
- Maxgränser för transaktioner — Kontraktet sätter ett maximalt säljbelopp till ett extremt litet värde (eller noll), vilket i praktiken förhindrar meningsfulla försäljningar.
- Kapning av godkännanden — Kontraktet åsidosätter ERC-20-standardens `approve`-funktion för att i hemlighet återkalla eller omdirigera token-godkännanden, vilket bryter DEX-försäljning.
- Villkorade logiska bomber — Säljbegränsningar aktiveras först efter att ett visst blocknummer, en tidsstämpel eller ett visst antal innehavare uppnåtts, vilket får tidiga tester att verka säkra.
Så fungerar rug pulls: vad du ska leta efter
En rug pull är bredare än en honeypot. Det syftar på varje mekanism som låter den som deployat kontraktet tömma värde från investerare. Till skillnad från honeypots, som låser tokens i plånböcker, drar rug pulls aktivt ut likviditet eller kraschar tokenpriset. Viktiga indikatorer i smart contract-kod är:
- Ej avsagt ägarskap — Om kontraktsägaren inte har avsagt sig ägarskapet behåller de administratörsfunktioner som kan ändra avgifter, pausa handel, svartlista adresser eller ta ut medel när som helst.
- Dolda mint-funktioner — Funktioner som låter ägaren skapa obegränsat många nya tokens. När de körs kraschar den kraftiga ökning av utbudet priset till nära noll.
- Olåst likviditet — Om likviditetspoolens LP-tokens inte är låsta i ett tidslåsningskontrakt kan deployern omedelbart ta bort all likviditet från DEX-paret och lämna tokenen otradbar.
- Mönster för proxyuppgraderingar — Uppgraderingsbara proxykontrakt gör att utvecklaren helt kan byta ut kontraktets logik efter lansering. Ett kontrakt som ser säkert ut kan bli skadligt med en enda transaktion.
- Beroenden av externa anrop — Kontraktet anropar en extern adress som kontrolleras av utvecklaren. Det externa kontraktet kan returnera olika värden över tid och därmed i det tysta ändra tokenens beteende.
Varför mönstermatchning misslyckas mot moderna bedrägerier
Traditionella token-skannrar förlitar sig på mönstermatchning — att jämföra kontraktskod mot en databas med kända skadliga mönster. Det fångar enkla bedrägerier, men moderna bedragare skriver medvetet sin kod för att ta sig förbi dessa kontroller. De byter namn på funktioner, delar upp skadlig logik i flera interna anrop, använder assembly-block för att dölja operationer och förvanskar variabelnamn.
AI-analys funktion för funktion löser detta genom att faktiskt läsa och förstå vad varje funktion gör, oavsett hur koden är skriven. I stället för att fråga "matchar funktionsnamnet ett känt bluffmönster?" frågar den "vad gör den här funktionen faktiskt när den körs?" Det fångar nya exploateringstekniker, fördold logik och specialskrivna bakdörrar som ingen mönsterdatabas har sett tidigare. Läs hur vår skanner fungerar.
Förstå poängen i din granskningsrapport
Varje granskning av ett smart kontrakt genererar fyra nyckelpoäng på en skala från 1 till 10:
- Säkerhetspoäng — Mäter kontraktets övergripande säkerhet: administratörsbehörigheter, åtkomstkontroller, validering av indata och skydd mot vanliga attackvektorer som reentrancy och heltalsöverflöde.
- Tokenomics-poäng — Utvärderar tokenens ekonomiska utformning: avgiftsstrukturer, utbudsmekanik, rättvis distribution och om tokenomics-modellen är hållbar eller skapad för att gynna insiders.
- Likviditetspoäng — Bedömer likviditetens hälsa: poolstorlek i förhållande till marknadsvärde, status för likviditetslås, fördelning av LP-tokens och sårbarhet för attacker som tömmer likviditeten.
- Rug pull-poäng — Mäter specifikt risken för rug pull: ägarstatus, mint-kapacitet, pausfunktioner, blacklist-mekanismer, proxymönster och alla funktioner som kan tömma värde från innehavare.
Skanning av tokens över flera blockkedjor
Bedrägerier med smarta kontrakt finns på varje EVM-kompatibel blockkedja. Ethereum och BNB Smart Chain (BSC) har den högsta volymen av blufftokens, men nyare nätverk som Base, Arbitrum, Blast, Scroll och Berachain blir allt oftare måltavlor i takt med att deras DeFi-ekosystem växer. Bedragare deployar identiska skadliga kontrakt på flera kedjor samtidigt för att maximera sin räckvidd.
Skanning över flera kedjor är avgörande eftersom bluffmönster varierar mellan ekosystem. BSC-bedrägerier använder ofta enklare honeypot-mönster riktade mot mindre erfarna investerare, medan bedrägerier på Ethereum tenderar att använda mer avancerade proxyuppgraderingar och tekniker med externa anrop. Base och Layer 2-nätverk ser en blandning av båda, ofta med snabbare lanseringscykler som ger investerare mindre tid att reagera.
Innan du köper någon token på någon blockkedja är analys av smart contract-koden ett av de mest effektiva sätten att skydda din investering. Ingen skanner fångar 100 % av alla bedrägerier, men AI-analys funktion för funktion minskar risken avsevärt att falla offer för honeypot-tokens, rug pulls och andra exploits i smarta kontrakt. Har du frågor? Läs vår คำถามที่พบบ่อย eller kontakta oss.
