引言

OKX Web3 錢包特別策劃了《安全特刊》欄目，針對不同類型的鏈上安全問題進行專期解答。通過最發生在用戶身邊最真實案例，與安全領域專家人士或者機構共同聯合，由不同視角進行雙重分享與解答，從而由淺入深梳理並歸納安全交易規則，旨在加強用戶安全教育的同時，幫助用戶從自身開始學會保護私鑰以及錢包資產安全。

玩 MEME 就是一場大冒險

Rug Pull（撤池子）、貔貅盤、砸穿、被夾...... 諸多陷阱皆在前路

我一直是一名勇敢的冒險者，直到我的膝蓋中了「一箭」

本期是安全特刊第 02 期，特邀行業知名安全機構 CertiK 與 OKX Web3 團隊，從實操指南的角度出發，來分享常見的 MEME 鏈上交易安全風險和防範措施，希望可以對 MEME 用戶有所幫助。

CertiK 安全團隊：CertiK 由耶魯大學和哥倫比亞大學的兩位教授創立, 利用目前最先進的形式化驗證技術、AI 審計技術以及安全專家人工審計，通過掃描及監控區塊鏈協議和智能合約，保證其安全性。迄今為止，CertiK 已獲得了超過 4000 家企業客戶的認可，挖掘了近 7 萬個代碼漏洞，保護了超過 4000 億美元的數字資產免受損失。

OKX Web3 錢包安全團隊：大家好，非常開心可以進行本次分享。OKX Web3 錢包安全團隊主要負責 OKX Web3 錢包的安全能力建設，提供產品安全、用戶安全、交易安全等多重防護服務，7X24 小時守護用戶錢包安全的同時，為維護整個區塊鏈安全生態貢獻力量。

Q1：發生在身邊的 MEME 風險真實案例

OKX Web3 錢包安全團隊：這類風險案例類型比較多。我們挑選了幾個用戶在交易 MEME 時，遭遇的比較經典的案例：

案例一：貔貅盤

用戶 A，在推特上看到某 MEME 討論熱度高，並在該 MEME 的推文評論中發現了代幣地址，經過查看該 MEME 的交易數據後，發現其表現很好，於是進行了購買。隨著該 MEME 價格不斷上升，用戶 A 想要賣出並鎖定利潤，但卻卻始終無法賣出。後經我們團隊排查發現，該 MEME 代幣是貔貅盤，用戶地址因為被拉黑所以無法賣出。

案例二：惡意 Rug Pull

用戶 B，經常在某 Telegram 社群中發言並參加活動，被很多群友互加為通訊錄好友。有一天，某群友私聊用戶 B 並向他推薦某個 MEME 項目，並介紹稱該項目十分火熱、潛力巨大，隨後立即提供了該 MEME 代幣地址。用戶 B 有些心動，於是到某數據分析工具上進行查看，發現該 MEME 代幣流動性 LP 已銷毀且沒有巨鯨持倉，由此認為該 MEME 項目比較可靠，進行了購買。但是到了第二天，用戶 B 卻突然發現，該 MEME 項目流動性已被耗盡。後經我們團隊排查發現，該代幣是惡意 Rug Pull 代幣，其存在後門邏輯可以大量增發代幣。

發生在 MEME 用戶身上的風險案例層出不窮，我們希望可以通過接下來的對話，為用戶可以提供一些安全參考指南，不構成任何投資建議，僅供大家進行學習和交流。

Q2：交易 MEME 時，EVM 公鏈和 Solana 網路上的常見風險

CertiK 安全團隊：MEME 風險分為兩類：一類是鏈上風險場景、另外一類就是普遍風險，與區塊鏈技術無關。

在介紹具體的鏈上風險場景之前，我們先來介紹普遍風險，這主要包括髮幣成本極低、代幣價格易被操縱、項目高度中心化、投資者交易磨損大和 Rugpull 騙局 5 大類。

1、發幣成本極低

通常而言，發布 MEME 項目的技術開發量極低甚至完全沒有，以至於出現了像 PandaTool 這樣的一鍵發幣工具。正是由於極低的開發成本，使得項目方內部人員和早期投資人員獲得代幣的成本極低，再加上 MEME 項目本身並無實際基本面，一旦市場不再「FOMO」（Fear of Missing Out）時，就會導致這些極低成本的代幣被迅速拋售，使得後來的投資者承擔巨大的損失。

2、代幣價格易被操縱

MEME 的價格容易被操縱，一方面是由於其缺乏實質性技術支持、內在價值、以及發行門檻低，導致任何人都可以輕鬆創建和發行 MEME，這使得市場上充斥著大量強投機性幣種。

同時，MEME 通常依賴社交媒體和網路熱度來推動其價格，而這些因素極易受到大戶或有組織的群體操縱。這些投機者可以通過大量買入或賣出，以及製造虛假資訊和市場噪音來操縱價格，造成價格劇烈波動，吸引更多散戶投資者追漲殺跌，從而進一步加劇價格操縱的可能性。

3、項目高度中心化

MEME 項目通常缺乏去中心化治理機制，決策權集中在少數開發者和核心團隊手中，使得項目方向和管理易受個人利益驅動，增加了投資者的風險。在決策權中心化的基礎上，還可能會產生代幣合約和程序的控制權中心化、代幣持有中心化、流動性控制中心化等種種中心化風險。

4、投資者交易磨損大

MEME 交易磨損大，第一歸因於其流動性差。由於市場上買賣 MEME 的參與者相對較少、交易量不足，這導致了買賣差價（即買價和賣價之間的差距）較大，使得交易成本增加。此外，流動性差的 MEME 幣在大額交易時容易引起價格劇烈波動，進一步加大了交易風險和成本。投資者在買入或賣出時，往往需要承受更高的滑點和較大的價格影響，從而導致交易效率低下和交易成本上升。

第二則是歸因於「交易稅」機制。許多 MEME 項目為了激勵投資者持有或維持項目資金，通常會在每筆交易中收取一定比例的交易稅。這些稅費通常用於庫藏股代幣、獎勵持有者或支持項目發展。然而，這種交易稅增加了交易成本，使得頻繁交易變得更加昂貴。交易者在每次買入或賣出時，都需要支付額外的稅費，加劇了交易磨損，進一步降低了流動性。投資者在進行 MEME 交易時，必須承受更高的費用和風險。

5、Rugpull 騙局

MEME 容易成為 Rugpull 騙局的目標，原因在於其高度的匿名性、缺乏透明度和監管。以下是幾種常見的 Rugpull 方式及其現象：

1）流動性抽干（Liquidity Pull）：

方式：開發團隊會在去中心化交易所（DEX）創建一個流動性池，將代幣和主流加密貨幣（如 ETH、USDT 等）添加到池中。吸引足夠的投資者後，開發團隊會突然撤出所有流動性，使得代幣無法交易。

現象：投資者發現無法賣出代幣，代幣價格迅速歸零，流動性池顯示幾乎沒有資金殘留。

2）開發者拋售（Developer Dumping）

方式：項目方或早期持有者持有大量代幣，當市場需求被炒高後，他們會在短時間內拋售手中大部分或全部代幣，造成價格暴跌。

現象：交易記錄中出現巨額賣單，代幣價格急劇下跌，市場信心崩潰，交易量迅速減少。

3）項目偽裝（Fake Projects）：

方式：不法分子會創建一個虛假的 MEME 幣項目，編造虛假願景和路線圖，通過社交媒體和名人背書吸引投資者。一旦籌集到足夠的資金，他們會關閉項目並捲款而逃。

現象：項目網站、社交媒體帳戶突然消失，開發團隊無法聯繫，投資者帳戶中的代幣價值迅速貶低。

4）合約漏洞（Contract Exploits）：

方式：開發團隊故意在智能合約中留有後門或漏洞，使他們能夠在特定條件下操縱合約，從而偷走投資者的資金。

現象：代幣交易異常或突然停止，投資者無法轉移或出售代幣，合約地址顯示大量資金被轉移到未知帳戶。

5）假冒分叉（Fake Forks）：

方式：聲稱對原有代幣進行升級或分叉，要求持有者將舊代幣交換為新代幣，實際上是為了收集並占有這些舊代幣。

現象：舊代幣失去價值，所謂的新代幣無法在任何交易所交易，項目團隊失聯。

接下來，我們來介紹，用戶在 EVM 系公鏈&Solana 網路上，進行 MEME 交易時常見的鏈上風險。為了方便用戶更直接的對比風險類型差異，我們通過表格的形式來分享。

OKX Web3 錢包安全團隊：EVM 系公鏈與 Solana 是用戶進行 MEME 交易的首選網路，兩者在鏈上風險類型方面存在差異，這與兩者的代幣發行機制不同等因素有關。

第一，EVM 系公鏈。由於 EVM 系公鏈代幣發行自由度很高、且代幣內容由開發者實現，當前在 EVM 系公鏈上進行 MEME 交易，常見鏈上風險主要包括 2 類：

（一）存在惡意邏輯的 MEME

當市場出現火熱的 MEME 時，會有各種偽造成熱門 MEME 的惡意代幣出現，這類型惡意代幣通常會有較好的交易數據，引導用戶誤判進而交易到惡意代幣，從而造成損失。當前常見的惡意代幣主要有 2 類：

1、貔貅盤：是指只能買入不能賣出的代幣。這類型惡意代幣通常通過設置 100% 稅率或者特殊轉賬限制邏輯，導致用戶無法賣出代幣。

2、惡意 rug pull 代幣：是指存在隱藏增發邏輯的代幣。這類型惡意代幣通過隱藏增發邏輯，然後增發代幣來耗盡代幣流動性。

（二）項目方作惡

當前項目方作惡也主要包括 2 種類型：特權函數作惡、直接砸盤。

1）特權函數作惡：項目方通過特權函數，如 mint 函數，增發代幣砸盤。

2）直接砸盤：項目方直接使用持有代幣砸盤。

第二，Solana 鏈。值得注意的是，Solana 網路發行代幣是通過固定官方渠道，因此在 Solana 鏈上進行 MEME 交易時，常見的鏈上風險主要來自項目方作惡。

（一）特權函數作惡

項目方通過特權函數，如 mint 函數來增發代幣砸盤；或者通過凍結指令，來凍結用戶地址，從而達到類似貔貅盤的目的，讓用戶無法賣出。

（二）直接砸盤

項目方直接使用持有代幣砸盤。值得提醒的是，部分惡意 MEME 項目方會通過分發持有代幣。來躲過代幣集中持有的審查。

Q3：哪些維度或者工具，可以初步過濾風險性極高的 MEME 項目

CertiK 安全團隊：這裡不構成任何投資建議，僅僅是介紹一些我們個人常用的幾個工具，不能 100% 幫用戶過濾風險，僅為用戶初步判斷一個 MEME 是否存較高風險提供參考。

1）dune.com：一個數據分析平台，可以自定義 query 來對代幣的鏈上數據進行分析和監控，比較靈活，但使用相對複雜，需要一定的學習成本。

2）Dextools.io：一個代幣資訊集成平台，可以查看一些代幣基礎資訊，如市值，流動性情況，持有人數量，代幣分布等，同時也可以進行一些簡單的安全風險篩選。

3）Skyknight MemScan：CertiK 推出的新平台，為評估 MEME 的安全狀態提供了解決方案。該平台提供即時的洞察和鏈上行為分析，包括合約鑄幣分析、交易控制檢測、所有權集中分析、流動性控制評估等等。

OKX Web3 錢包安全團隊：沒有可以 100% 過濾風險的方式和方法，但是從代幣安全和項目健康度的角度出發，我們為用戶提供幾個可以初步過濾掉風險性極高的 MEME 項的維度。需要注意的是，用戶不能僅僅依據以下維度就判斷項目的安全性。

1）智能合約安全性：可以通過輔助工具驗證是否存在源碼級別的安全問題。這些工具可以檢查項目代碼中是否存在惡意邏輯，並識別代碼本身的安全漏洞。此外，還需評估合約的權限控制，確保合約所有者的權限不過大，避免其能夠隨意增發或銷毀代幣。

2）代幣分配和持有分布：通過區塊鏈瀏覽器查看代幣持有者的分布情況，避免參與代幣持有過於集中的項目，因為這些項目容易受到操控，且有較高 rugpull 風險

3）流動性和交易活動：觀察代幣的交易量和價格波動情況，低交易量和高波動性可能意味著項目不穩定或存在操控風險。

4）社區和開發團隊活動：項目團隊是否公開透明，包括團隊成員的背景、經驗和社交媒體活動。

當前，OKX Web3 錢包也為用戶提供了過濾風險代幣的能力，從代碼安全，交易安全等多層面過濾掉了可能導致用戶受損的代幣，提供各維度代幣資訊的同時，為用戶 MEME 安全交易體驗護航。

Q4：作為 MEME 代幣早期流通場所，Launchpad 平台以及 DEX 當前存在哪些侷限性或者風險？

CertiK 安全團隊：首先，Launchpad 平台和 DEX 必須具備強大的技術支持，以應對 MEME 項目的交易響應速度和交易規模。此外，流動性也是至關重要的一環，相關平台需要監控任何可能影響流動性安全的事件。最後，關於 MEME 的合規風險，平台方必須理解並落實相關的監管政策和要求，以減少可能面臨的法律風險。

OKX Web3 錢包安全團隊：接下來，我們對 Launchpad 平台以及 DEX 當前存在哪些侷限性或者風險分別進行介紹。

對於 Launchpad 平台而言，主要包含三點：

第一，平台上推出的項目質量參差不齊，儘管一些 Launchpad 平台會進行審查和盡職調查，但仍有可能未能完全識別出高風險或低質量的項目。

第二，資金管理風險，Launchpad 平台通常會集中管理大量用戶資金，這些資金如果管理不當或被惡意挪用，可能導致用戶資金損失。此外，平台可能缺乏足夠的保障措施來保護用戶資金安全。

第三，市場操縱，項目方或大資金玩家可能會在 Launchpad 推出後進行價格操縱，造成市場波動劇烈，影響散戶投資者。

對於 DEX 而言，侷限相對更多一些

第一，流動性不足，新上架的 MEME 通常在 DEX 上流動性較差，容易導致交易滑點大和價格劇烈波動。

第二，智能合約漏洞，DEX 依賴智能合約進行交易，這些合約如果存在漏洞，可能被駭客利用，造成資金損失。

第三，交易費用高，尤其是在以太坊等網路上，交易費用（Gas 費）可能非常高，影響小額交易者的成本效益。

第四，惡意項目方，任何人都可以部署代幣並上線 DEX 交易，有的項目方可能會在合約中故意留下後門函數，使得項目方可以任意操縱代幣餘額或者導致用戶無法賣出代幣。

第五，用戶體驗問題，DEX 的操作對於普通用戶來說相對複雜，涉及錢包連接、Gas 費設置等，對入門用戶來說體驗可能不如中心化交易所（CEX）。

Q5：追問一下，Telegram 機器人代表了加密貨幣領域基於意圖交互的實際表現之一，這是否代表了未來 DEX 的發展趨勢？

CertiK 安全團隊：Telegram bot 機器人可以顯著降低交易門檻，並自動化交易中的部分步驟，使非專業人員能夠更方便地進行加密貨幣交易。然而，必須特別關注這些機器人的具體安全風險。建議對任何與錢包交互的第三方 dApp 進行全面的安全盡職調查，以確保其安全性。

OKX Web3 錢包安全團隊：Telegram 機器人在加密貨幣領域的應用展現了基於意圖交互的巨大潛力。這種趨勢有望通過優化用戶體驗、增強交易便利性和安全性、擴展金融服務生態系統以及技術創新，推動去中心化交易所（DEX）的未來發展。

1、提升用戶體驗

簡化操作：Telegram 機器人通過自然語言處理，使用戶能夠使用簡單的聊天命令進行交易，簡化了複雜的操作流程。

自動交易：用戶可以設定自動交易規則，如止損點和止盈點，減少人工操作的風險和時間成本。

2、增強去中心化交易

無縫集成：機器人通過 API 接口與去中心化交易所（DEX）集成，隱藏了複雜的交易操作，降低了用戶的學習成本。

實時操作：機器人可以實時監控市場動態，並即時通知用戶，使其能夠迅速做出交易決策並執行交易。

3、提高安全性

智能合約：機器人利用智能合約確保交易的透明和安全，減少了人為干預和欺詐的可能性。

去中心化：儘管機器人可能是中心化的，但實際交易在去中心化的環境中進行，提高了交易的安全性和透明度。

4、擴展生態系統

多功能平台：Telegram 機器人不僅限於交易，還可以擴展至資產管理、借貸、質押等金融服務，提供一站式的金融解決方案。

增強社區互動：通過 Telegram 平台，機器人能促進用戶交流和社區建設，增加用戶參與度。

5、技術和市場驅動

創新推動：人工智慧和區塊鏈技術的進步將使機器人應用越來越智能和高效，推動更多去中心化應用和服務的出現。

市場接受度：用戶對簡化和自動化服務的需求日益增長，推動更多 DEX 採用機器人服務以提升競爭力。

Q6：針對高頻工具之一，如各類 TG 的 BOT 機器人當前存在的安全風險

CertiK 安全團隊：隨著加密貨幣市場的發展，Telegram BOT 機器人在交易和資訊獲取中變得越來越普遍。然而，這些高頻使用的工具也帶來了顯著的安全風險，使用者在使用時應特別注意以下幾個方面。

首先，許多 Telegram BOT 機器人未經安全審計或代碼公開，可能存在惡意代碼或漏洞。這些惡意 BOT 可能會竊取使用者的私鑰、身份資訊或其他敏感數據。此外，惡意 BOT 可能會偽裝成合法的服務，通過釣魚攻擊誘導使用者輸入他們的私鑰或助記詞，從而竊取資金。因此，使用者應確保只使用官方推薦或經過驗證的 BOT，避免點擊不明鏈接或輸入敏感資訊。

其次，某些 BOT 可能要求過多的權限，如訪問使用者的聯繫人、文件或其他私密資訊。使用時應謹慎授予權限，確保 BOT 只獲得其正常運行所需的最低權限。同時，BOT 與 Telegram 服務器之間的通訊可能被中間人攻擊截獲，導致資料外泄或篡改。使用者應確保使用加密通訊的 BOT，並檢查其安全通訊協議的實施情況。

第三，許多 Telegram BOT 提供自動化交易功能，但如果這些 BOT 的交易邏輯有漏洞，可能導致嚴重的財務損失。使用者應在使用此類功能前進行充分的測試，並監控交易行為以防止異常情況。此外，BOT 開發者可能收集並儲存大量使用者數據，一旦這些數據被泄露或濫用，使用者隱私將受到嚴重威脅。使用者應選擇有良好信譽和隱私權政策的 BOT，並定期查看其隱私權保護措施。

最後，過度依賴某些 BOT 進行交易或管理資產，可能導致在 BOT 服務中斷或關閉時，使用者無法正常進行操作。因此，使用者應避免對單一 BOT 的過度依賴，並準備備份方案。通過了解和防範這些風險，使用者可以更安全地使用 Telegram BOT 機器人，保護自己的資產和隱私安全。

OKX Web3 錢包安全團隊：類似 TG 的 BOT 機器人在提供便捷服務的同時也帶來了很大的風險隱患，接下來，我們舉例說明。

第一，私鑰的中心化託管風險。多數 Telegram 機器人需要託管用戶的私鑰，以便於主動簽名和發送交易。這意味著用戶的私鑰儲存在第三方服務器上，增加了被盜或濫用的風險。

第二，釣魚風險。通過 Telegram 機器人發送的釣魚鏈接可能誘導用戶點擊，導致帳戶資訊或私鑰被竊取。此外，聊天窗口中的人工誘導（例如假冒客服）可能會騙取用戶的助記詞或其他敏感資訊。

第三，木馬風險。某些機器人可能通過發送惡意軟體（木馬）或惡意 SDK 的方式，感染用戶的設備，危及整個系統的安全。

總計，用戶在使用各類 BOT 機器人時候，需要謹慎辨別，不要隨意點擊陌生鏈接，也不要泄漏自己的私鑰。

Q7：用戶交易 MEME 的操作誤區與風險防範

CertiK 安全團隊：首先，對於任何與自己錢包交互的 dApp，包括交易平台和 Telegram bot，用戶都應進行安全盡職調查。選擇經過安全審計的 dApp 可以降低操作中被攻擊的風險，並確保自己的私鑰和身份資訊的安全。當前，CertiK 通過提供 dApp 的滲透測試服務，幫助用戶以減少風險。

其次，MEME 的交易高度依賴於交易的響應速度和頻率，因此選擇一個穩定且交易費用合理的平台至關重要。在進行交易時，儘量選擇那些安全、穩定、快速且交易費用較低的平台，以獲得更好的交易體驗。比如，上面提及的 CertiK 推出的 MemeScan 平台，可以提供即時的安全狀態資訊，包括 MEME 的鏈上行為分析。例如，合約可增發新幣、交易可被暫停或被限制、少數地址控制大部分 token、少數地址控制大部分流動性等，希望可以對用戶安全交易提供些許幫助。

OKX Web3 錢包安全團隊：考慮到安全性，用戶在進行 MEME 交易時，需要知曉安全操作和風險防範，以確保交易的正確性和安全性。

第一，要選擇正確的交易平台。用戶應該選擇信譽良好且安全性高的加密貨幣交易所，儘量避免使用未經過驗證或不知名的交易平台，可能會面臨資產被盜的風險。對於鏈上交易，要確認項目方的官網，合約的正確性。

第二，開啟更高安全性的認證方式。為了更加安全，用戶可以在所有交易平台和錢包中啟用雙因素認證，使用 Google Authenticator 或其他安全應用程序。儘量避免使用短信驗證，因為它容易受到 SIM 卡交換攻擊的影響。

第三，使用安全性高的錢包。用戶儘量使用經過驗證的錢包進行交易，並確保安全備份助記詞或私鑰，存放在安全的地方，避免電子備份。不備份私鑰或助記詞，設備丟失或損壞時將無法恢復資產。

第四，防範釣魚。用戶需要時刻驗證交易用的 url，確保其為官方鏈接。在遇到問題時確保聯繫到的是官方的客服，不要理會 Telegram、Discord 等群組中的私信，永遠不要點來路不明的鏈接，簽署不知道內容的簽名和展示私鑰。

第五，安全的網路環境，用戶應該在可信的操作系統下進行操作，儘量不要使用公共無線網路。

最後，感謝大家看完 OKX Web3 錢包《安全特刊》欄目的第 02 期，當前我們正在緊鑼密鼓地準備第 03 期內容，不僅有真實的案例、風險識別、還有安全操作乾貨，敬請期待！

免責聲明：

本文僅供參考，本文無意提供 (i) 投資建議或投資推薦；(ii) 購買、出售或持有數字資產的要約或招攬；或 (iii) 財務、會計、法律或稅務建議。持有的數字資產（包括穩定幣和 NFTs）涉及高風險，可能會大幅波動，甚至變得毫無價值。您應根據自己的財務狀況仔細考慮交易或持有數字資產是否適合您。請您自行負責了解和遵守當地的有關適用法律和法規。

原文連結