引言

?

OKX Web3 錢包特別策劃了《安全特刊》欄目，針對(duì)不同類型的鏈上安全問題進(jìn)行專期解答。通過最發(fā)生在用戶身邊最真實(shí)案例，與安全領(lǐng)域?qū)＜胰耸炕蛘邫C(jī)構(gòu)共同聯(lián)合，由不同視角進(jìn)行雙重分享與解答，從而由淺入深梳理并歸納安全交易規(guī)則，旨在加強(qiáng)用戶安全教育的同時(shí)，幫助用戶從自身開始學(xué)會(huì)保護(hù)私鑰以及錢包資產(chǎn)安全。

?

玩 MEME 就是一場(chǎng)大冒險(xiǎn)

?

Rug Pull（撤池子）、貔貅盤、砸穿、被夾...... 諸多陷阱皆在前路

?

我一直是一名勇敢的冒險(xiǎn)者，直到我的膝蓋中了「一箭」

?

本期是安全特刊第 02 期，特邀行業(yè)知名安全機(jī)構(gòu) CertiK 與 OKX Web3 團(tuán)隊(duì)，從實(shí)操指南的角度出發(fā)，來分享常見的 MEME 鏈上交易安全風(fēng)險(xiǎn)和防范措施，希望可以對(duì) MEME 用戶有所幫助。

?

?

CertiK 安全團(tuán)隊(duì)：CertiK 由耶魯大學(xué)和哥倫比亞大學(xué)的兩位教授創(chuàng)立, 利用目前最先進(jìn)的形式化驗(yàn)證技術(shù)、AI 審計(jì)技術(shù)以及安全專家人工審計(jì)，通過掃描及監(jiān)控區(qū)塊鏈協(xié)議和智能合約，保證其安全性。迄今為止，CertiK 已獲得了超過 4000 家企業(yè)客戶的認(rèn)可，挖掘了近 7 萬個(gè)代碼漏洞，保護(hù)了超過 4000 億美元的數(shù)字資產(chǎn)免受損失。

?

OKX Web3 錢包安全團(tuán)隊(duì)：大家好，非常開心可以進(jìn)行本次分享。OKX Web3 錢包安全團(tuán)隊(duì)主要負(fù)責(zé) OKX Web3 錢包的安全能力建設(shè)，提供產(chǎn)品安全、用戶安全、交易安全等多重防護(hù)服務(wù)，7X24 小時(shí)守護(hù)用戶錢包安全的同時(shí)，為維護(hù)整個(gè)區(qū)塊鏈安全生態(tài)貢獻(xiàn)力量。

?

Q1：發(fā)生在身邊的 MEME 風(fēng)險(xiǎn)真實(shí)案例

?

OKX Web3 錢包安全團(tuán)隊(duì)：這類風(fēng)險(xiǎn)案例類型比較多。我們挑選了幾個(gè)用戶在交易 MEME 時(shí)，遭遇的比較經(jīng)典的案例：

?

案例一：貔貅盤

?

用戶 A，在推特上看到某 MEME 討論熱度高，并在該 MEME 的推文評(píng)論中發(fā)現(xiàn)了代幣地址，經(jīng)過查看該 MEME 的交易數(shù)據(jù)后，發(fā)現(xiàn)其表現(xiàn)很好，于是進(jìn)行了購買。隨著該 MEME 價(jià)格不斷上升，用戶 A 想要賣出并鎖定利潤，但卻卻始終無法賣出。后經(jīng)我們團(tuán)隊(duì)排查發(fā)現(xiàn)，該 MEME 代幣是貔貅盤，用戶地址因?yàn)楸焕谒詿o法賣出。

?

案例二：惡意 Rug Pull

?

用戶 B，經(jīng)常在某 Telegram 社群中發(fā)言并參加活動(dòng)，被很多群友互加為通訊錄好友。有一天，某群友私聊用戶 B 并向他推薦某個(gè) MEME 項(xiàng)目，并介紹稱該項(xiàng)目十分火熱、潛力巨大，隨后立即提供了該 MEME 代幣地址。用戶 B 有些心動(dòng)，于是到某數(shù)據(jù)分析工具上進(jìn)行查看，發(fā)現(xiàn)該 MEME 代幣流動(dòng)性 LP 已銷毀且沒有巨鯨持倉，由此認(rèn)為該 MEME 項(xiàng)目比較可靠，進(jìn)行了購買。但是到了第二天，用戶 B 卻突然發(fā)現(xiàn)，該 MEME 項(xiàng)目流動(dòng)性已被耗盡。后經(jīng)我們團(tuán)隊(duì)排查發(fā)現(xiàn)，該代幣是惡意 Rug Pull 代幣，其存在后門邏輯可以大量增發(fā)代幣。

?

發(fā)生在 MEME 用戶身上的風(fēng)險(xiǎn)案例層出不窮，我們希望可以通過接下來的對(duì)話，為用戶可以提供一些安全參考指南，不構(gòu)成任何投資建議，僅供大家進(jìn)行學(xué)習(xí)和交流。

?

Q2：交易 MEME 時(shí)，EVM 公鏈和 Solana 網(wǎng)絡(luò)上的常見風(fēng)險(xiǎn)

?

CertiK 安全團(tuán)隊(duì)：MEME 風(fēng)險(xiǎn)分為兩類：一類是鏈上風(fēng)險(xiǎn)場(chǎng)景、另外一類就是普遍風(fēng)險(xiǎn)，與區(qū)塊鏈技術(shù)無關(guān)。

?

在介紹具體的鏈上風(fēng)險(xiǎn)場(chǎng)景之前，我們先來介紹普遍風(fēng)險(xiǎn)，這主要包括發(fā)幣成本極低、代幣價(jià)格易被操縱、項(xiàng)目高度中心化、投資者交易磨損大和 Rugpull 騙局 5 大類。

?

1、發(fā)幣成本極低

?

通常而言，發(fā)布 MEME 項(xiàng)目的技術(shù)開發(fā)量極低甚至完全沒有，以至于出現(xiàn)了像 PandaTool 這樣的一鍵發(fā)幣工具。正是由于極低的開發(fā)成本，使得項(xiàng)目方內(nèi)部人員和早期投資人員獲得代幣的成本極低，再加上 MEME 項(xiàng)目本身并無實(shí)際基本面，一旦市場(chǎng)不再「FOMO」（Fear of Missing Out）時(shí)，就會(huì)導(dǎo)致這些極低成本的代幣被迅速拋售，使得后來的投資者承擔(dān)巨大的損失。

?

2、代幣價(jià)格易被操縱

?

MEME 的價(jià)格容易被操縱，一方面是由于其缺乏實(shí)質(zhì)性技術(shù)支持、內(nèi)在價(jià)值、以及發(fā)行門檻低，導(dǎo)致任何人都可以輕松創(chuàng)建和發(fā)行 MEME，這使得市場(chǎng)上充斥著大量強(qiáng)投機(jī)性幣種。

?

同時(shí)，MEME 通常依賴社交媒體和網(wǎng)絡(luò)熱度來推動(dòng)其價(jià)格，而這些因素極易受到大戶或有組織的群體操縱。這些投機(jī)者可以通過大量買入或賣出，以及制造虛假信息和市場(chǎng)噪音來操縱價(jià)格，造成價(jià)格劇烈波動(dòng)，吸引更多散戶投資者追漲殺跌，從而進(jìn)一步加劇價(jià)格操縱的可能性。

?

3、項(xiàng)目高度中心化

?

MEME 項(xiàng)目通常缺乏去中心化治理機(jī)制，決策權(quán)集中在少數(shù)開發(fā)者和核心團(tuán)隊(duì)手中，使得項(xiàng)目方向和管理易受個(gè)人利益驅(qū)動(dòng)，增加了投資者的風(fēng)險(xiǎn)。在決策權(quán)中心化的基礎(chǔ)上，還可能會(huì)產(chǎn)生代幣合約和程序的控制權(quán)中心化、代幣持有中心化、流動(dòng)性控制中心化等種種中心化風(fēng)險(xiǎn)。

?

4、投資者交易磨損大

?

MEME 交易磨損大，第一歸因于其流動(dòng)性差。由于市場(chǎng)上買賣 MEME 的參與者相對(duì)較少、交易量不足，這導(dǎo)致了買賣差價(jià)（即買價(jià)和賣價(jià)之間的差距）較大，使得交易成本增加。此外，流動(dòng)性差的 MEME 幣在大額交易時(shí)容易引起價(jià)格劇烈波動(dòng)，進(jìn)一步加大了交易風(fēng)險(xiǎn)和成本。投資者在買入或賣出時(shí)，往往需要承受更高的滑點(diǎn)和較大的價(jià)格影響，從而導(dǎo)致交易效率低下和交易成本上升。

?

第二則是歸因于「交易稅」機(jī)制。許多 MEME 項(xiàng)目為了激勵(lì)投資者持有或維持項(xiàng)目資金，通常會(huì)在每筆交易中收取一定比例的交易稅。這些稅費(fèi)通常用于回購代幣、獎(jiǎng)勵(lì)持有者或支持項(xiàng)目發(fā)展。然而，這種交易稅增加了交易成本，使得頻繁交易變得更加昂貴。交易者在每次買入或賣出時(shí)，都需要支付額外的稅費(fèi)，加劇了交易磨損，進(jìn)一步降低了流動(dòng)性。投資者在進(jìn)行 MEME 交易時(shí)，必須承受更高的費(fèi)用和風(fēng)險(xiǎn)。

?

5、Rugpull 騙局

?

MEME 容易成為 Rugpull 騙局的目標(biāo)，原因在于其高度的匿名性、缺乏透明度和監(jiān)管。以下是幾種常見的 Rugpull 方式及其現(xiàn)象：

?

1）流動(dòng)性抽干（Liquidity Pull）：

?

方式：開發(fā)團(tuán)隊(duì)會(huì)在去中心化交易所（DEX）創(chuàng)建一個(gè)流動(dòng)性池，將代幣和主流加密貨幣（如 ETH、USDT 等）添加到池中。吸引足夠的投資者后，開發(fā)團(tuán)隊(duì)會(huì)突然撤出所有流動(dòng)性，使得代幣無法交易。

?

現(xiàn)象：投資者發(fā)現(xiàn)無法賣出代幣，代幣價(jià)格迅速歸零，流動(dòng)性池顯示幾乎沒有資金殘留。

?

2）開發(fā)者拋售（Developer Dumping）

?

方式：項(xiàng)目方或早期持有者持有大量代幣，當(dāng)市場(chǎng)需求被炒高后，他們會(huì)在短時(shí)間內(nèi)拋售手中大部分或全部代幣，造成價(jià)格暴跌。

?

現(xiàn)象：交易記錄中出現(xiàn)巨額賣單，代幣價(jià)格急劇下跌，市場(chǎng)信心崩潰，交易量迅速減少。

?

3）項(xiàng)目偽裝（Fake Projects）：

?

方式：不法分子會(huì)創(chuàng)建一個(gè)虛假的 MEME 幣項(xiàng)目，編造虛假愿景和路線圖，通過社交媒體和名人背書吸引投資者。一旦籌集到足夠的資金，他們會(huì)關(guān)閉項(xiàng)目并卷款而逃。

?

現(xiàn)象：項(xiàng)目網(wǎng)站、社交媒體賬戶突然消失，開發(fā)團(tuán)隊(duì)無法聯(lián)系，投資者賬戶中的代幣價(jià)值迅速貶低。

?

4）合約漏洞（Contract Exploits）：

?

方式：開發(fā)團(tuán)隊(duì)故意在智能合約中留有后門或漏洞，使他們能夠在特定條件下操縱合約，從而偷走投資者的資金。

?

現(xiàn)象：代幣交易異?；蛲蝗煌Ｖ梗顿Y者無法轉(zhuǎn)移或出售代幣，合約地址顯示大量資金被轉(zhuǎn)移到未知賬戶。

?

5）假冒分叉（Fake Forks）：

?

方式：聲稱對(duì)原有代幣進(jìn)行升級(jí)或分叉，要求持有者將舊代幣交換為新代幣，實(shí)際上是為了收集并占有這些舊代幣。

?

現(xiàn)象：舊代幣失去價(jià)值，所謂的新代幣無法在任何交易所交易，項(xiàng)目團(tuán)隊(duì)失聯(lián)。

?

接下來，我們來介紹，用戶在 EVM 系公鏈&Solana 網(wǎng)絡(luò)上，進(jìn)行 MEME 交易時(shí)常見的鏈上風(fēng)險(xiǎn)。為了方便用戶更直接的對(duì)比風(fēng)險(xiǎn)類型差異，我們通過表格的形式來分享。

?

圖片來源：CertiK 安全團(tuán)隊(duì)

?

OKX Web3 錢包安全團(tuán)隊(duì)：EVM 系公鏈與 Solana 是用戶進(jìn)行 MEME 交易的首選網(wǎng)絡(luò)，兩者在鏈上風(fēng)險(xiǎn)類型方面存在差異，這與兩者的代幣發(fā)行機(jī)制不同等因素有關(guān)。

?

第一，EVM 系公鏈。由于 EVM 系公鏈代幣發(fā)行自由度很高、且代幣內(nèi)容由開發(fā)者實(shí)現(xiàn)，當(dāng)前在 EVM 系公鏈上進(jìn)行 MEME 交易，常見鏈上風(fēng)險(xiǎn)主要包括 2 類：

?

（一）存在惡意邏輯的 MEME

?

當(dāng)市場(chǎng)出現(xiàn)火熱的 MEME 時(shí)，會(huì)有各種偽造成熱門 MEME 的惡意代幣出現(xiàn)，這類型惡意代幣通常會(huì)有較好的交易數(shù)據(jù)，引導(dǎo)用戶誤判進(jìn)而交易到惡意代幣，從而造成損失。當(dāng)前常見的惡意代幣主要有 2 類：

?

1、貔貅盤：是指只能買入不能賣出的代幣。這類型惡意代幣通常通過設(shè)置 100% 稅率或者特殊轉(zhuǎn)賬限制邏輯，導(dǎo)致用戶無法賣出代幣。

?

2、惡意 rug pull 代幣：是指存在隱藏增發(fā)邏輯的代幣。這類型惡意代幣通過隱藏增發(fā)邏輯，然后增發(fā)代幣來耗盡代幣流動(dòng)性。

?

（二）項(xiàng)目方作惡

?

當(dāng)前項(xiàng)目方作惡也主要包括 2 種類型：特權(quán)函數(shù)作惡、直接砸盤。

?

1）特權(quán)函數(shù)作惡：項(xiàng)目方通過特權(quán)函數(shù)，如 mint 函數(shù)，增發(fā)代幣砸盤。

?

2）直接砸盤：項(xiàng)目方直接使用持有代幣砸盤。

?

第二，Solana 鏈。值得注意的是，Solana 網(wǎng)絡(luò)發(fā)行代幣是通過固定官方渠道，因此在 Solana 鏈上進(jìn)行 MEME 交易時(shí)，常見的鏈上風(fēng)險(xiǎn)主要來自項(xiàng)目方作惡。

?

（一）特權(quán)函數(shù)作惡

?

項(xiàng)目方通過特權(quán)函數(shù)，如 mint 函數(shù)來增發(fā)代幣砸盤；或者通過凍結(jié)指令，來凍結(jié)用戶地址，從而達(dá)到類似貔貅盤的目的，讓用戶無法賣出。

?

（二）直接砸盤

?

項(xiàng)目方直接使用持有代幣砸盤。值得提醒的是，部分惡意 MEME 項(xiàng)目方會(huì)通過分發(fā)持有代幣。來躲過代幣集中持有的審查。

?

Q3：哪些維度或者工具，可以初步過濾風(fēng)險(xiǎn)性極高的 MEME 項(xiàng)目

?

CertiK 安全團(tuán)隊(duì)：這里不構(gòu)成任何投資建議，僅僅是介紹一些我們個(gè)人常用的幾個(gè)工具，不能 100% 幫用戶過濾風(fēng)險(xiǎn)，僅為用戶初步判斷一個(gè) MEME 是否存較高風(fēng)險(xiǎn)提供參考。

?

1）dune.com：一個(gè)數(shù)據(jù)分析平臺(tái)，可以自定義 query 來對(duì)代幣的鏈上數(shù)據(jù)進(jìn)行分析和監(jiān)控，比較靈活，但使用相對(duì)復(fù)雜，需要一定的學(xué)習(xí)成本。

?

2）Dextools.io：一個(gè)代幣信息集成平臺(tái)，可以查看一些代幣基礎(chǔ)信息，如市值，流動(dòng)性情況，持有人數(shù)量，代幣分布等，同時(shí)也可以進(jìn)行一些簡(jiǎn)單的安全風(fēng)險(xiǎn)篩選。

?

3）Skyknight MemScan：CertiK 推出的新平臺(tái)，為評(píng)估 MEME 的安全狀態(tài)提供了解決方案。該平臺(tái)提供即時(shí)的洞察和鏈上行為分析，包括合約鑄幣分析、交易控制檢測(cè)、所有權(quán)集中分析、流動(dòng)性控制評(píng)估等等。

?

?

OKX Web3 錢包安全團(tuán)隊(duì)：沒有可以 100% 過濾風(fēng)險(xiǎn)的方式和方法，但是從代幣安全和項(xiàng)目健康度的角度出發(fā)，我們?yōu)橛脩籼峁讉€(gè)可以初步過濾掉風(fēng)險(xiǎn)性極高的 MEME 項(xiàng)的維度。需要注意的是，用戶不能僅僅依據(jù)以下維度就判斷項(xiàng)目的安全性。

?

1）智能合約安全性：可以通過輔助工具驗(yàn)證是否存在源碼級(jí)別的安全問題。這些工具可以檢查項(xiàng)目代碼中是否存在惡意邏輯，并識(shí)別代碼本身的安全漏洞。此外，還需評(píng)估合約的權(quán)限控制，確保合約所有者的權(quán)限不過大，避免其能夠隨意增發(fā)或銷毀代幣。

?

2）代幣分配和持有分布：通過區(qū)塊鏈瀏覽器查看代幣持有者的分布情況，避免參與代幣持有過于集中的項(xiàng)目，因?yàn)檫@些項(xiàng)目容易受到操控，且有較高 rugpull 風(fēng)險(xiǎn)

?

3）流動(dòng)性和交易活動(dòng)：觀察代幣的交易量和價(jià)格波動(dòng)情況，低交易量和高波動(dòng)性可能意味著項(xiàng)目不穩(wěn)定或存在操控風(fēng)險(xiǎn)。

?

4）社區(qū)和開發(fā)團(tuán)隊(duì)活動(dòng)：項(xiàng)目團(tuán)隊(duì)是否公開透明，包括團(tuán)隊(duì)成員的背景、經(jīng)驗(yàn)和社交媒體活動(dòng)。

?

當(dāng)前，OKX Web3 錢包也為用戶提供了過濾風(fēng)險(xiǎn)代幣的能力，從代碼安全，交易安全等多層面過濾掉了可能導(dǎo)致用戶受損的代幣，提供各維度代幣信息的同時(shí)，為用戶 MEME 安全交易體驗(yàn)護(hù)航。

?

?

Q4：作為 MEME 代幣早期流通場(chǎng)所，Launchpad 平臺(tái)以及 DEX 當(dāng)前存在哪些局限性或者風(fēng)險(xiǎn)？

?

CertiK 安全團(tuán)隊(duì)：首先，Launchpad 平臺(tái)和 DEX 必須具備強(qiáng)大的技術(shù)支持，以應(yīng)對(duì) MEME 項(xiàng)目的交易響應(yīng)速度和交易規(guī)模。此外，流動(dòng)性也是至關(guān)重要的一環(huán)，相關(guān)平臺(tái)需要監(jiān)控任何可能影響流動(dòng)性安全的事件。最后，關(guān)于 MEME 的合規(guī)風(fēng)險(xiǎn)，平臺(tái)方必須理解并落實(shí)相關(guān)的監(jiān)管政策和要求，以減少可能面臨的法律風(fēng)險(xiǎn)。

?

OKX Web3 錢包安全團(tuán)隊(duì)：接下來，我們對(duì) Launchpad 平臺(tái)以及 DEX 當(dāng)前存在哪些局限性或者風(fēng)險(xiǎn)分別進(jìn)行介紹。

?

對(duì)于 Launchpad 平臺(tái)而言，主要包含三點(diǎn)：

?

第一，平臺(tái)上推出的項(xiàng)目質(zhì)量參差不齊，盡管一些 Launchpad 平臺(tái)會(huì)進(jìn)行審查和盡職調(diào)查，但仍有可能未能完全識(shí)別出高風(fēng)險(xiǎn)或低質(zhì)量的項(xiàng)目。

?

第二，資金管理風(fēng)險(xiǎn)，Launchpad 平臺(tái)通常會(huì)集中管理大量用戶資金，這些資金如果管理不當(dāng)或被惡意挪用，可能導(dǎo)致用戶資金損失。此外，平臺(tái)可能缺乏足夠的保障措施來保護(hù)用戶資金安全。

?

第三，市場(chǎng)操縱，項(xiàng)目方或大資金玩家可能會(huì)在 Launchpad 推出后進(jìn)行價(jià)格操縱，造成市場(chǎng)波動(dòng)劇烈，影響散戶投資者。

?

對(duì)于 DEX 而言，局限相對(duì)更多一些

?

第一，流動(dòng)性不足，新上架的 MEME 通常在 DEX 上流動(dòng)性較差，容易導(dǎo)致交易滑點(diǎn)大和價(jià)格劇烈波動(dòng)。

?

第二，智能合約漏洞，DEX 依賴智能合約進(jìn)行交易，這些合約如果存在漏洞，可能被黑客利用，造成資金損失。

?

第三，交易費(fèi)用高，尤其是在以太坊等網(wǎng)絡(luò)上，交易費(fèi)用（Gas 費(fèi)）可能非常高，影響小額交易者的成本效益。

?

第四，惡意項(xiàng)目方，任何人都可以部署代幣并上線 DEX 交易，有的項(xiàng)目方可能會(huì)在合約中故意留下后門函數(shù)，使得項(xiàng)目方可以任意操縱代幣余額或者導(dǎo)致用戶無法賣出代幣。

?

第五，用戶體驗(yàn)問題，DEX 的操作對(duì)于普通用戶來說相對(duì)復(fù)雜，涉及錢包連接、Gas 費(fèi)設(shè)置等，對(duì)入門用戶來說體驗(yàn)可能不如中心化交易所（CEX）。

?

Q5：追問一下，Telegram 機(jī)器人代表了加密貨幣領(lǐng)域基于意圖交互的實(shí)際表現(xiàn)之一，這是否代表了未來 DEX 的發(fā)展趨勢(shì)？

?

CertiK 安全團(tuán)隊(duì)：Telegram bot 機(jī)器人可以顯著降低交易門檻，并自動(dòng)化交易中的部分步驟，使非專業(yè)人員能夠更方便地進(jìn)行加密貨幣交易。然而，必須特別關(guān)注這些機(jī)器人的具體安全風(fēng)險(xiǎn)。建議對(duì)任何與錢包交互的第三方 dApp 進(jìn)行全面的安全盡職調(diào)查，以確保其安全性。

?

OKX Web3 錢包安全團(tuán)隊(duì)：Telegram 機(jī)器人在加密貨幣領(lǐng)域的應(yīng)用展現(xiàn)了基于意圖交互的巨大潛力。這種趨勢(shì)有望通過優(yōu)化用戶體驗(yàn)、增強(qiáng)交易便利性和安全性、擴(kuò)展金融服務(wù)生態(tài)系統(tǒng)以及技術(shù)創(chuàng)新，推動(dòng)去中心化交易所（DEX）的未來發(fā)展。

?

1、提升用戶體驗(yàn)

?

簡(jiǎn)化操作：Telegram 機(jī)器人通過自然語言處理，使用戶能夠使用簡(jiǎn)單的聊天命令進(jìn)行交易，簡(jiǎn)化了復(fù)雜的操作流程。

?

自動(dòng)交易：用戶可以設(shè)定自動(dòng)交易規(guī)則，如止損點(diǎn)和止盈點(diǎn)，減少人工操作的風(fēng)險(xiǎn)和時(shí)間成本。

?

2、增強(qiáng)去中心化交易

?

無縫集成：機(jī)器人通過 API 接口與去中心化交易所（DEX）集成，隱藏了復(fù)雜的交易操作，降低了用戶的學(xué)習(xí)成本。

?

實(shí)時(shí)操作：機(jī)器人可以實(shí)時(shí)監(jiān)控市場(chǎng)動(dòng)態(tài)，并即時(shí)通知用戶，使其能夠迅速做出交易決策并執(zhí)行交易。

?

3、提高安全性

?

智能合約：機(jī)器人利用智能合約確保交易的透明和安全，減少了人為干預(yù)和欺詐的可能性。

?

去中心化：盡管機(jī)器人可能是中心化的，但實(shí)際交易在去中心化的環(huán)境中進(jìn)行，提高了交易的安全性和透明度。

?

4、擴(kuò)展生態(tài)系統(tǒng)

?

多功能平臺(tái)：Telegram 機(jī)器人不僅限于交易，還可以擴(kuò)展至資產(chǎn)管理、借貸、質(zhì)押等金融服務(wù)，提供一站式的金融解決方案。

?

增強(qiáng)社區(qū)互動(dòng)：通過 Telegram 平臺(tái)，機(jī)器人能促進(jìn)用戶交流和社區(qū)建設(shè)，增加用戶參與度。

?

5、技術(shù)和市場(chǎng)驅(qū)動(dòng)

?

創(chuàng)新推動(dòng)：人工智能和區(qū)塊鏈技術(shù)的進(jìn)步將使機(jī)器人應(yīng)用越來越智能和高效，推動(dòng)更多去中心化應(yīng)用和服務(wù)的出現(xiàn)。

?

市場(chǎng)接受度：用戶對(duì)簡(jiǎn)化和自動(dòng)化服務(wù)的需求日益增長，推動(dòng)更多 DEX 采用機(jī)器人服務(wù)以提升競(jìng)爭(zhēng)力。

?

Q6：針對(duì)高頻工具之一，如各類 TG 的 BOT 機(jī)器人當(dāng)前存在的安全風(fēng)險(xiǎn)

?

CertiK 安全團(tuán)隊(duì)：隨著加密貨幣市場(chǎng)的發(fā)展，Telegram BOT 機(jī)器人在交易和信息獲取中變得越來越普遍。然而，這些高頻使用的工具也帶來了顯著的安全風(fēng)險(xiǎn)，使用者在使用時(shí)應(yīng)特別注意以下幾個(gè)方面。

?

首先，許多 Telegram BOT 機(jī)器人未經(jīng)安全審計(jì)或代碼公開，可能存在惡意代碼或漏洞。這些惡意 BOT 可能會(huì)竊取使用者的私鑰、身份信息或其他敏感數(shù)據(jù)。此外，惡意 BOT 可能會(huì)偽裝成合法的服務(wù)，通過釣魚攻擊誘導(dǎo)使用者輸入他們的私鑰或助記詞，從而竊取資金。因此，使用者應(yīng)確保只使用官方推薦或經(jīng)過驗(yàn)證的 BOT，避免點(diǎn)擊不明鏈接或輸入敏感信息。

?

其次，某些 BOT 可能要求過多的權(quán)限，如訪問使用者的聯(lián)系人、文件或其他私密信息。使用時(shí)應(yīng)謹(jǐn)慎授予權(quán)限，確保 BOT 只獲得其正常運(yùn)行所需的最低權(quán)限。同時(shí)，BOT 與 Telegram 服務(wù)器之間的通訊可能被中間人攻擊截獲，導(dǎo)致資料外泄或篡改。使用者應(yīng)確保使用加密通訊的 BOT，并檢查其安全通訊協(xié)議的實(shí)施情況。

?

第三，許多 Telegram BOT 提供自動(dòng)化交易功能，但如果這些 BOT 的交易邏輯有漏洞，可能導(dǎo)致嚴(yán)重的財(cái)務(wù)損失。使用者應(yīng)在使用此類功能前進(jìn)行充分的測(cè)試，并監(jiān)控交易行為以防止異常情況。此外，BOT 開發(fā)者可能收集并儲(chǔ)存大量使用者數(shù)據(jù)，一旦這些數(shù)據(jù)被泄露或?yàn)E用，使用者隱私將受到嚴(yán)重威脅。使用者應(yīng)選擇有良好信譽(yù)和隱私權(quán)政策的 BOT，并定期查看其隱私權(quán)保護(hù)措施。

?

最后，過度依賴某些 BOT 進(jìn)行交易或管理資產(chǎn)，可能導(dǎo)致在 BOT 服務(wù)中斷或關(guān)閉時(shí)，使用者無法正常進(jìn)行操作。因此，使用者應(yīng)避免對(duì)單一 BOT 的過度依賴，并準(zhǔn)備備份方案。通過了解和防范這些風(fēng)險(xiǎn)，使用者可以更安全地使用 Telegram BOT 機(jī)器人，保護(hù)自己的資產(chǎn)和隱私安全。

?

OKX Web3 錢包安全團(tuán)隊(duì)：類似 TG 的 BOT 機(jī)器人在提供便捷服務(wù)的同時(shí)也帶來了很大的風(fēng)險(xiǎn)隱患，接下來，我們舉例說明。

?

第一，私鑰的中心化托管風(fēng)險(xiǎn)。多數(shù) Telegram 機(jī)器人需要托管用戶的私鑰，以便于主動(dòng)簽名和發(fā)送交易。這意味著用戶的私鑰存儲(chǔ)在第三方服務(wù)器上，增加了被盜或?yàn)E用的風(fēng)險(xiǎn)。

?

第二，釣魚風(fēng)險(xiǎn)。通過 Telegram 機(jī)器人發(fā)送的釣魚鏈接可能誘導(dǎo)用戶點(diǎn)擊，導(dǎo)致賬戶信息或私鑰被竊取。此外，聊天窗口中的人工誘導(dǎo)（例如假冒客服）可能會(huì)騙取用戶的助記詞或其他敏感信息。

?

第三，木馬風(fēng)險(xiǎn)。某些機(jī)器人可能通過發(fā)送惡意軟件（木馬）或惡意 SDK 的方式，感染用戶的設(shè)備，危及整個(gè)系統(tǒng)的安全。

?

總計(jì)，用戶在使用各類 BOT 機(jī)器人時(shí)候，需要謹(jǐn)慎辨別，不要隨意點(diǎn)擊陌生鏈接，也不要泄漏自己的私鑰。

?

Q7：用戶交易 MEME 的操作誤區(qū)與風(fēng)險(xiǎn)防范

?

CertiK 安全團(tuán)隊(duì)：首先，對(duì)于任何與自己錢包交互的 dApp，包括交易平臺(tái)和 Telegram bot，用戶都應(yīng)進(jìn)行安全盡職調(diào)查。選擇經(jīng)過安全審計(jì)的 dApp 可以降低操作中被攻擊的風(fēng)險(xiǎn)，并確保自己的私鑰和身份信息的安全。當(dāng)前，CertiK 通過提供 dApp 的滲透測(cè)試服務(wù)，幫助用戶以減少風(fēng)險(xiǎn)。

?

其次，MEME 的交易高度依賴于交易的響應(yīng)速度和頻率，因此選擇一個(gè)穩(wěn)定且交易費(fèi)用合理的平臺(tái)至關(guān)重要。在進(jìn)行交易時(shí)，盡量選擇那些安全、穩(wěn)定、快速且交易費(fèi)用較低的平臺(tái)，以獲得更好的交易體驗(yàn)。比如，上面提及的 CertiK 推出的 MemeScan 平臺(tái)，可以提供即時(shí)的安全狀態(tài)信息，包括 MEME 的鏈上行為分析。例如，合約可增發(fā)新幣、交易可被暫?；虮幌拗?、少數(shù)地址控制大部分 token、少數(shù)地址控制大部分流動(dòng)性等，希望可以對(duì)用戶安全交易提供些許幫助。

?

OKX Web3 錢包安全團(tuán)隊(duì)：考慮到安全性，用戶在進(jìn)行 MEME 交易時(shí)，需要知曉安全操作和風(fēng)險(xiǎn)防范，以確保交易的正確性和安全性。

?

第一，要選擇正確的交易平臺(tái)。用戶應(yīng)該選擇信譽(yù)良好且安全性高的加密貨幣交易所，盡量避免使用未經(jīng)過驗(yàn)證或不知名的交易平臺(tái)，可能會(huì)面臨資產(chǎn)被盜的風(fēng)險(xiǎn)。對(duì)于鏈上交易，要確認(rèn)項(xiàng)目方的官網(wǎng)，合約的正確性。

?

第二，開啟更高安全性的認(rèn)證方式。為了更加安全，用戶可以在所有交易平臺(tái)和錢包中啟用雙因素認(rèn)證，使用 Google Authenticator 或其他安全應(yīng)用程序。盡量避免使用短信驗(yàn)證，因?yàn)樗菀资艿?SIM 卡交換攻擊的影響。

?

第三，使用安全性高的錢包。用戶盡量使用經(jīng)過驗(yàn)證的錢包進(jìn)行交易，并確保安全備份助記詞或私鑰，存放在安全的地方，避免電子備份。不備份私鑰或助記詞，設(shè)備丟失或損壞時(shí)將無法恢復(fù)資產(chǎn)。

?

第四，防范釣魚。用戶需要時(shí)刻驗(yàn)證交易用的 url，確保其為官方鏈接。在遇到問題時(shí)確保聯(lián)系到的是官方的客服，不要理會(huì) Telegram、Discord 等群組中的私信，永遠(yuǎn)不要點(diǎn)來路不明的鏈接，簽署不知道內(nèi)容的簽名和展示私鑰。

?

第五，安全的網(wǎng)絡(luò)環(huán)境，用戶應(yīng)該在可信的操作系統(tǒng)下進(jìn)行操作，盡量不要使用公共無線網(wǎng)絡(luò)。

?

最后，感謝大家看完 OKX Web3 錢包《安全特刊》欄目的第 02 期，當(dāng)前我們正在緊鑼密鼓地準(zhǔn)備第 03 期內(nèi)容，不僅有真實(shí)的案例、風(fēng)險(xiǎn)識(shí)別、還有安全操作干貨，敬請(qǐng)期待！