当下比行情更重要的是生
Meme“淘金”热潮下 Meme发射平台的安全风险有哪些?
2024.09.11
来源:Beosin
今年的Meme赛道一直是加密市场以及各大公链生态的重点板块。年初,Solana生态中涌现了许多涨幅惊人的Meme代币,这些代币的日交易量曾高达百亿美元。借助用户对Solana上Meme代币交易的热情,Meme发射平台Pump.Fun于2月上线,该平台迅速诞生了多个涨幅显著的Meme币,吸引了大量用户参与发行和交易各种Meme代币。至今,该平台累计创收已超过1亿美元。
在淘金热时期,商人们通过卖铲子赚得盆满钵满,如今在加密货币市场中,也能看到类似的商业模式正不断上演。
https://dune.com/adam_tehc/pumpfun
在市场对Pump.Fun所带来的财富效应感到震惊之际,Pump.Fun的竞争对手们也积极加入了Meme发射平台的竞争。首先是TRON生态的SunPump,两周狂赚百万美元。
7月,BNB Chain向其生态项目Memehub提供了资金支持;8月,BNB Chain推出了“Meme创新之战”,与Four.Meme、Burve等Meme发射平台合作,推动其生态系统内Meme赛道的发展。
今天我们将从安全角度分析与探讨Meme发射平台潜在的安全风险。
Meme发射平台的运行机制
Pump.fun、Four.Meme等平台均使用一套人为设定的标准化Meme代币和经济模型,为其平台上所有 Meme代币提供一个固定的发行、募资、添加流动性的流程。这套流程的特点和运作机制如下:
1. 代币安全由平台保证:
用户只需提供Meme代币的名称、图标、描述等信息,随后平台创建对应的代币合约,这些代币合约使用了同一套基础代码模版,并具备了一些安全防护措施,可确保代币无法恶意增发,无恶意或特权函数,以避免Rug Pull。
2. Bonding Curve(联合曲线):
Meme代币被创建后,并不会直接在去中心化交易所添加流动性池进行交易,而是首先需要用户支付费用进行铸造(Mint),而铸造过程中的代币价格由联合曲线决定。以Pump.Fun为例,每个新创建的 Memecoin 都先有一个初始的虚拟市值,设定为 30 $SOL。代币为总流通量为10亿枚,其中8亿枚用于铸造,铸造价格与市值的关系大致如下:
其中x为当前代币市值,y为1千万枚代币的价格。联合曲线的采用可以平衡供需关系,使得早期参与者通常能以较低价格获得代币,而随着市值的增长,每个代币的价格大幅上涨,为早期投资者带来丰厚的回报。
3. 平台负责注入流动性池(LP池):
代币发行方通过用户铸造代币来募集资金。当代币市值达到特定阈值时,平台会将募集到的资金和未售出的代币一起注入去中心化交易所,创建流动性池,以增强代币的交易活动性和稳定性。这一举措不仅降低了Rug Pull的风险,使交易者可以更安心地参与代币交易,还通过销毁部分流动性资金来提升代币的价格。
Pump.Fun、Four.Meme这些平台极大地降低了Meme代币的发行门槛,也解决了代币初期流动性募集的难题,使得普通用户也能轻松创建自己的Meme代币并获取一定的流动性进行交易。
发射平台背后的安全风险
1. 运营风险
5月17日,Pump.Fun因运营问题遭遇了190万美元的盗窃。事件涉及一名前员工,该员工拥有Pump.Fun用于在Raydium创建Meme代币流动性池的权限。该员工利用Solana借贷协议进行闪电贷操作,借取大量SOL,并铸造了尽可能多的代币,使这些代币在联合曲线上达到了能够部署流动性池的标准。攻击者随后将这些代币和SOL转入其掌控的钱包账户,从中提取了部分SOL并偿还了闪电贷,从中获利:
https://solscan.io/tx/2yyKbYr6Piw9gPr1pAp1gNxd939n2KvNmGToxHm4pVZMpwxF76r7HKELpnDS4PdbAs4doYHFEg4Cb3qe5UfytVmf
项目方须及时更新员工权限,并对相关的地址私钥做好充分的管理。此外,在运营项目期间,项目团队应实时监控项目运行情况,提前准备好发生安全事件的应对措施,减少可能的资产损失。
2. 合约风险
在分析此类Meme发射平台的运行机制中,我们可以注意到所有推出的Meme代币合约都是由发射平台的合约创建,这些代币的安全性由平台负责。因此,发射平台的合约安全至关重要。以下是发射平台需要注意的安全问题:
(1) 重放攻击
Meme发射平台在实现createToken()时,为允许第三方创建或者铸造代币,通常会要求代币创建者进行签名验证。签名内容须包含nonce、timestamp、chainid等信息,避免重放攻击。
(2) 权限过大:
Meme发射平台可以控制用户创建的代币以及募集的资产(如SOL、BNB、ETH),而平台的特权地址具备提取这些资产的权限。这意味着平台可以访问并提取募集的资金,用于运营或其他目的。因此,必须严格管理这些特权地址的权限,确保其操作的安全性和透明度,防止潜在的滥用或资产盗取,确保平台的整体安全和稳定。
Beosin建议项目方应使用多签账户+时间锁对此类合约进行控制,增加安全性。
(3)与三方DEX交互安全
