來源:Beosin
今年的Meme賽道一直是加密市場以及各大公鏈生態的重點板塊。年初,Solana生態中湧現了許多漲幅驚人的Meme代幣,這些代幣的日交易量曾高達百億美元。借助用戶對Solana上Meme代幣交易的熱情,Meme發射平台Pump.Fun於2月上线,該平台迅速誕生了多個漲幅顯著的Meme幣,吸引了大量用戶參與發行和交易各種Meme代幣。至今,該平台累計創收已超過1億美元。
在淘金熱時期,商人們通過賣鏟子賺得盆滿鉢滿,如今在加密貨幣市場中,也能看到類似的商業模式正不斷上演。
https://dune.com/adam_tehc/pumpfun
在市場對Pump.Fun所帶來的財富效應感到震驚之際,Pump.Fun的競爭對手們也積極加入了Meme發射平台的競爭。首先是TRON生態的SunPump,兩周狂賺百萬美元。
7月,BNB Chain向其生態項目Memehub提供了資金支持;8月,BNB Chain推出了“Meme創新之战”,與Four.Meme、Burve等Meme發射平台合作,推動其生態系統內Meme賽道的發展。
今天我們將從安全角度分析與探討Meme發射平台潛在的安全風險。
Pump.fun、Four.Meme等平台均使用一套人爲設定的標准化Meme代幣和經濟模型,爲其平台上所有 Meme代幣提供一個固定的發行、募資、添加流動性的流程。這套流程的特點和運作機制如下:
1. 代幣安全由平台保證:
用戶只需提供Meme代幣的名稱、圖標、描述等信息,隨後平台創建對應的代幣合約,這些代幣合約使用了同一套基礎代碼模版,並具備了一些安全防護措施,可確保代幣無法惡意增發,無惡意或特權函數,以避免Rug Pull。
2. Bonding Curve(聯合曲线):
Meme代幣被創建後,並不會直接在去中心化交易所添加流動性池進行交易,而是首先需要用戶支付費用進行鑄造(Mint),而鑄造過程中的代幣價格由聯合曲线決定。以Pump.Fun爲例,每個新創建的 Memecoin 都先有一個初始的虛擬市值,設定爲 30 $SOL。代幣爲總流通量爲10億枚,其中8億枚用於鑄造,鑄造價格與市值的關系大致如下:
其中x爲當前代幣市值,y爲1千萬枚代幣的價格。聯合曲线的採用可以平衡供需關系,使得早期參與者通常能以較低價格獲得代幣,而隨着市值的增長,每個代幣的價格大幅上漲,爲早期投資者帶來豐厚的回報。
3. 平台負責注入流動性池(LP池):
代幣發行方通過用戶鑄造代幣來募集資金。當代幣市值達到特定閾值時,平台會將募集到的資金和未售出的代幣一起注入去中心化交易所,創建流動性池,以增強代幣的交易活動性和穩定性。這一舉措不僅降低了Rug Pull的風險,使交易者可以更安心地參與代幣交易,還通過銷毀部分流動性資金來提升代幣的價格。
Pump.Fun、Four.Meme這些平台極大地降低了Meme代幣的發行門檻,也解決了代幣初期流動性募集的難題,使得普通用戶也能輕松創建自己的Meme代幣並獲取一定的流動性進行交易。
5月17日,Pump.Fun因運營問題遭遇了190萬美元的盜竊。事件涉及一名前員工,該員工擁有Pump.Fun用於在Raydium創建Meme代幣流動性池的權限。該員工利用Solana借貸協議進行閃電貸操作,借取大量SOL,並鑄造了盡可能多的代幣,使這些代幣在聯合曲线上達到了能夠部署流動性池的標准。攻擊者隨後將這些代幣和SOL轉入其掌控的錢包账戶,從中提取了部分SOL並償還了閃電貸,從中獲利:
https://solscan.io/tx/2yyKbYr6Piw9gPr1pAp1gNxd939n2KvNmGToxHm4pVZMpwxF76r7HKELpnDS4PdbAs4doYHFEg4Cb3qe5UfytVmf
項目方須及時更新員工權限,並對相關的地址私鑰做好充分的管理。此外,在運營項目期間,項目團隊應實時監控項目運行情況,提前准備好發生安全事件的應對措施,減少可能的資產損失。
2. 合約風險
在分析此類Meme發射平台的運行機制中,我們可以注意到所有推出的Meme代幣合約都是由發射平台的合約創建,這些代幣的安全性由平台負責。因此,發射平台的合約安全至關重要。以下是發射平台需要注意的安全問題:
(1) 重放攻擊
Meme發射平台在實現createToken()時,爲允許第三方創建或者鑄造代幣,通常會要求代幣創建者進行籤名驗證。籤名內容須包含nonce、timestamp、chainid等信息,避免重放攻擊。
(2) 權限過大:
Meme發射平台可以控制用戶創建的代幣以及募集的資產(如SOL、BNB、ETH),而平台的特權地址具備提取這些資產的權限。這意味着平台可以訪問並提取募集的資金,用於運營或其他目的。因此,必須嚴格管理這些特權地址的權限,確保其操作的安全性和透明度,防止潛在的濫用或資產盜取,確保平台的整體安全和穩定。
Beosin建議項目方應使用多籤账戶+時間鎖對此類合約進行控制,增加安全性。
(3) 與三方DEX交互安全
Meme發射平台在與去中心化交易所進行交互時,通常涉及代幣轉移或數據查詢等操作。因此,平台需要確保與交易所的接口安全可靠。這包括使用加密技術保護數據傳輸過程中的信息,驗證交易請求的真實性和合法性,以防止僞造或惡意操作。此外,平台還應實現細致的權限控制和監控機制,及時發現和響應潛在的安全威脅,確保交易和數據操作的安全性和准確性。
(4) 合約升級問題
Meme發射平台通常會使用代理模式以便於對代幣進行功能升級,因此必須特別關注代理模式的安全性。關鍵措施包括:確保代理合約經過嚴格的安全審計和權限控制,以防止未經授權的升級;將邏輯與數據存儲分離,保持接口穩定;公开升級記錄,通知用戶變更信息;進行模擬攻擊測試,並設計回滾機制;嚴格控制合約的訪問權限,並定期審計;以及實施實時監控和應急響應計劃。這些措施有助於保障代理模式的安全性,確保系統的穩定和可靠。
Meme發射平台通過其完善的功能和機制,顯著降低了用戶參與門檻,同時提供了一個較爲安全、公平且高效的交易環境。用戶可以在無需擔心流動性風險的情況下,快速響應熱點並參與到Meme代幣的創造和交易中。平台的公平發行機制和防欺詐措施,保障了交易的透明性和公正性,一定程度上減少了市場操縱和詐騙的可能。
然而,這些發射平台本身的安全性同樣至關重要,因爲無論是平台的運營安全還是合約代碼存在漏洞,都會影響所有在平台上發行的代幣。因此,必須特別關注平台合約的安全性和穩定性,以防止系統漏洞或管理失誤對代幣產生廣泛的負面影響。此外,我們建議所有用戶在參與Meme發射平台交互時保持謹慎,在Web3的世界中,安全永遠是第一位的。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
標題:Meme“淘金”熱潮下 Meme發射平台的安全風險有哪些?
地址:https://www.torrentbusiness.com/article/125131.html
標籤: