來源:Beosin
今年的Meme賽道一直是加密市場以及各大公鏈生態的重點板塊。年初,Solana生態中湧現了許多漲幅驚人的Meme代幣,這些代幣的日交易量曾高達百億美元。透過用戶對Solana上Meme代幣交易的熱情,Meme發射平台Pump.Fun於2月上線,該平台迅速誕生了多個漲幅顯著的Meme幣,吸引了大量用戶參與發行和交易各種Meme代幣。至今,該平台累計創收已超過1億美元。
在淘金熱時期,商人們透過賣鏟子賺得盆滿缽滿,如今在加密貨幣市場中,也能看到類似的商業模式正不斷上演。
https://dune.com/adam_tehc/pumpfun
在市場對Pump.Fun所帶來的財富效應感到震驚之際,Pump.Fun的競爭對手們也積極加入了Meme發射平台的競爭。首先是TRON生態的SunPump,兩週狂賺百萬美元。
7月,BNB Chain向其生態項目Memehub提供了資金支持;8月,BNB Chain推出了“Meme創新之戰”,與Four.Meme、Burve等Meme發射平台合作,推動其生態系統內Meme賽道的發展。
今天我們將從安全角度分析與探討Meme發射平台潛在的安全風險。
Meme發射平台的運作機制
Pump.fun、Four.Meme等平台均使用一套人為設定的標準化Meme代幣和經濟模型,為其平台上所有Meme代幣提供一個固定的發行、募款、添加流動性的流程。這套流程的特性與運作機制如下:
1. 代幣安全由平台保證:
用戶只需提供Meme代幣的名稱、圖標、描述等信息,隨後平台創建對應的代幣合約,這些代幣合約使用了同一套基礎代碼模版,並具備了一些安全防護措施,可確保代幣無法惡意增發,無惡意或特權函數,以避免Rug Pull。
2. Bonding Curve(聯合曲線):
Meme代幣被創建後,並不會直接在去中心化交易所添加流動性池進行交易,而是首先需要用戶支付費用進行鑄造(Mint),而鑄造過程中的代幣價格由聯合曲線決定。以Pump.Fun為例,每個新創建的Memecoin 都先有一個初始的虛擬市值,設定為30 $SOL。代幣為總流通量為10億枚,其中8億枚用於鑄造,鑄造價格與市值的關係大致如下:
其中x為當前代幣市值,y為1千萬枚代幣的價格。聯合曲線的採用可以平衡供需關係,使得早期參與者通常能以較低價格獲得代幣,而隨著市值的增長,每個代幣的價格大幅上漲,為早期投資者帶來豐厚的回報。
3. 平台負責注入流動性池(LP池):
代幣發行者透過用戶鑄造代幣來募集資金。當當代幣市值達到特定門檻時,平台會將募集到的資金和未售出的代幣一起注入去中心化交易所,創建流動性池,以增強代幣的交易活動性和穩定性。這項措施不僅降低了Rug Pull的風險,使交易者更安心地參與代幣交易,還透過銷毀部分流動性資金來提升代幣的價格。
Pump.Fun、Four.Meme這些平台大大降低了Meme代幣的發行門檻,也解決了代幣初期流動性募集的難題,使得普通用戶也能輕鬆創建自己的Meme代幣並獲取一定的流動性進行交易。
發射平台背後的安全風險
1. 營運風險
5月17日,Pump.Fun因營運問題遭遇了190萬美元的竊盜。事件涉及一名前員工,該員工擁有Pump.Fun用於在Raydium創建Meme代幣流動性池的權限。該員工利用Solana借貸協議進行閃電貸操作,借取大量SOL,並鑄造了盡可能多的代幣,使這些代幣在聯合曲線上達到了能夠部署流動性池的標準。攻擊者隨後將這些代幣和SOL轉入其掌控的錢包帳戶,從中提取了部分SOL並償還了閃電貸,從中獲利:
https://solscan.io/tx/2yyKbYr6Piw9gPr1pAp1gNxd939n2KvNmGToxHm4pVZMpwxF76r7HKELpnDS4PdbAs4doYHFEg4Cb3qe5UfytVmf
專案方須及時更新員工權限,並對相關的地址私鑰做好充分的管理。此外,在營運專案期間,專案團隊應即時監控專案運作情況,提前準備好發生安全事件的應對措施,減少可能的資產損失。
2. 合約風險
在分析此類Meme發射平台的運作機制中,我們可以注意到所有推出的Meme代幣合約都是由發射平台的合約創建,這些代幣的安全性由平台負責。因此,發射平台的合約安全至關重要。以下是發射平台需要注意的安全問題:
(1) 重播攻擊
Meme發射平台在實作createToken()時,為允許第三方創建或鑄造代幣,通常會要求代幣創建者進行簽名驗證。簽章內容須包含nonce、timestamp、chainid等訊息,避免重播攻擊。
(2) 權限過大:
Meme發射平台可以控制用戶創建的代幣以及募集的資產(如SOL、BNB、ETH),而平台的特權地址具備提取這些資產的權限。這意味著平台可以存取並提取募集的資金,用於營運或其他目的。因此,必須嚴格管理這些特權位址的權限,確保其操作的安全性和透明度,防止潛在的濫用或資產竊取,確保平台的整體安全和穩定。
Beosin建議專案方應使用多簽帳戶+時間鎖對此類合約進行控制,以增加安全性。
(3) 與三方DEX互動安全
Meme發射平台在與去中心化交易所互動時,通常涉及代幣轉移或資料查詢等操作。因此,平台需要確保與交易所的介面安全可靠。這包括使用加密技術保護資料傳輸過程中的信息,驗證交易請求的真實性和合法性,以防止偽造或惡意操作。此外,平台還應實現細緻的權限控制和監控機制,及時發現並回應潛在的安全威脅,確保交易和資料操作的安全性和準確性。
(4) 合約升級問題
Meme發射平台通常會使用代理模式以便於對代幣進行功能升級,因此必須特別注意代理模式的安全性。關鍵措施包括:確保代理合約經過嚴格的安全審計和權限控制,以防止未經授權的升級;將邏輯與資料儲存分離,保持介面穩定;公開升級記錄,通知使用者變更資訊;進行模擬攻擊測試,並設計回滾機制;嚴格控制合約的存取權限,並定期審計;以及實施即時監控和緊急應變計畫。這些措施有助於保障代理模式的安全性,確保系統的穩定性可靠。
總結
Meme發射平台透過其完善的功能和機制,顯著降低了用戶參與門檻,同時提供了一個較安全、公平且高效的交易環境。用戶可以在無需擔心流動性風險的情況下,快速回應熱點並參與Meme代幣的創造和交易。平台的公平發行機制和防詐騙措施,保障了交易的透明度和公正性,一定程度減少了市場操縱和詐騙的可能性。
然而,這些發射平臺本身的安全性同樣至關重要,因為無論是平台的營運安全或合約程式碼存在漏洞,都會影響所有在平台上發行的代幣。因此,必須特別關注平台合約的安全性和穩定性,以防止系統漏洞或管理失誤對代幣產生廣泛的負面影響。此外,我們建議所有使用者在參與Meme發射平台互動時保持謹慎,在Web3的世界中,安全永遠是第一位的。
