Gate

Appearance

Web3 安全:在去中心化交易平台上安全交易

要点: 与受监管程度更高且基于中介机构的 CEX 相比,去中心化交易平台 (DEX) 通过智能合约提供更多种类的代币和更直接的访问渠道。

在 DEX 上进行交易可能面临滑点和流动性风险等操作挑战,用户还可能遭遇虚假代币计划、跑路和貔貅盘等骗局。

通过验证合约、检查流动性和交易量、小额测试以及避开意料之外的代币或可疑空投,可提升安全性。

在去中心化交易平台 (DEX)上进行交易就像在熙熙攘攘的露天市场挑选商品,与精致购物中心全然不同。

在开放市场上,您可接触更多种类的商品,而且通常价格更优惠。然而,假冒伪劣产品和各色骗局也更为常见。相比之下,购物中心提供了更规范的环境和值得信赖的品牌,但具有特色的选择较少。同样,借助 DEX,您可通过智能合约和流动性资金池访问更多币种,获得中心化交易平台无法提供的机会,但相应地,您也需要提高警惕。

在本博客中,我们将探讨主要的操作挑战、需要警惕的常见骗局以及保障安全的检查清单。

DEX 操作挑战 当交易新的或低交易量的代币时,有限的流动性可能导致大额订单由于高滑点而以比预期更差的价格执行。了解滑点和流动性对交易的影响可以帮助您减少代价高昂的意外,并尽量避免落入利用此类市场机制获益的区块链修复骗局。

高滑点 滑点是指订单的下单价格与实际成交价格之间的差额。这个差额通常很小,但在市场剧烈波动或涉及大额订单(无论订单来自您还是其他交易者)时,就会变得格外庞大。

由于 DEX 通过流动性资金池运作,因此深度不够可能会导致交易以较为不利的价格成交。设置滑点容差有助于解决这个问题,但须注意平衡。设置得太高,交易可能以远差于预期的价格成交;设置得太低,交易可能会彻底失败。为此,您需要权衡取舍,保障交易可执行且价格可接受。对于波动性较大或流动性较差的代币,您可能需设置较高的容差才能完成交易。不过,请始终牢记自己能够接受的最大损失。先从较低值开始,有需要时再进行调整。如需在Gate钱包上调整滑点设置,请点击【滑点】并选择【自定义】,即可设置所需的值。兑换页面将自动更新,显示预计可收到的最小代币数量。

流动性较低 您可能会遇到流动性较低的代币,尤其是在新兴或交易量较小的项目中。这意味着交易池中的可用资金较少,因而买卖代币很可能对价格产生重大影响。流动性较低通常会导致更高的滑点,在某些情况下,您的退场很可能引发价格急剧变化,从而导致买入或卖出价格向不利方向变动。

低流动性项目示例

技术漏洞 去中心化交易平台及其上交易的代币由智能合约(在区块链上运行的自动执行代码)提供支持。虽然智能合约以透明与防篡改为设计理念,但仍会受到错误或漏洞的影响。如果合约存在缺陷,恶意行为者可能会利用它直接从合约或与其交互的钱包中窃取资金。

在某些情况下,攻击者可能会操纵合约逻辑或绕过权限检查,从而触发意外行为以便窃取资产。即使是已经通过审计的智能合约,也仍然可能存在未发现的问题,特别是当它们依赖于其他合约或复杂的集成时。因此,请务必选择信誉良好的 DEX 进行交互并交易您信任的代币,最好拥有开源代码、强大开发者社区和清晰审计跟踪。此外,为进一步降低风险,请定期核查并撤销任何不必要的钱包授权或许可。

针对 DEX 用户的常见骗局 虚假代币 熟悉的名称之下可能并非熟悉的代币。诈骗者经常模仿热门项目的名称、代码符号和品牌,创建虚假代币。有些还会复制知名平台的用户界面,诱导用户误以为自己正在与真实项目进行交互。这些代币甚至可能出现在去中心化交易平台或代币上架平台上,营造出合规表象。

若不仔细观察,很容易将假代币误当作真代币,尤其当骗子提供颇具吸引力的价格或操纵流动性伪造出看似真实的交易活动时。

跑路骗局 除了仿冒之外,部分骗局也会推出全新代币,并将其宣传为加密货币领域的突破性创新或“下一个风口”。此类项目往往拥有制作精良的网站、白皮书和积极的营销活动,还有虚假的社交媒体资料、获得报酬的网络达人、庞大的 Telegram 和 Discord 群组,甚至伪造的审计报告,加深其可信度。一旦足够多的用户入局,开发者就会动手背刺,要么在市场上抛售代币,要么使用智能合约中的后门挖空流动性资金池。此类事件被称为跑路骗局,会导致代币的价值瞬间崩塌。而项目的线上痕迹也迅速消失,用户手握毫无价值的代币,根本无从追偿。

貔貅盘骗局 有些代币看起来可以交易,殊不知从一开始就是陷阱。在貔貅盘骗局中,您可以顺利地购买代币,甚至可能会看到价格上涨,仿佛只是先人一步抓住下一大风口。然而,尝试卖出时却遇到了问题。其智能合约设有隐藏机制,可以完全阻止卖出,或收取超高的交易手续费,让退场几乎无利可图。在许多情况下,只有部署合约的骗子才有权出售,最终挖空流动性资金池。而买家却持有不可出售的代币,无法追回资金。

貔貅盘骗局示例

如何自我保护 要想在 DEX 上安全交易,需保持审慎和适当的怀疑态度。以下是管理风险的方法。

小额测试 首次处理新代币或与智能合约交互时,请始终先付出少量可支配金额,测试其是否可用,而无需承担损失大量资金的风险。

检查流动性和交易量 在与代币交互前,务必先检查其流动性和交易活动。健康的流动性意味着资金池中存有足够的价值,可支持顺畅交易并将滑点降至最低,而稳定、持续的交易量则表明持续的兴趣。分析这两项指标有助于更好地判断一个项目处于健康状态还是仅为短期炒作。

验证代币合约地址 拥有相同或相似名称和符号的代币很常见,诈骗者往往会利用这一点。请始终从项目的官方网站获取官方代币合约地址,切勿使用社交媒体帖子、私信或随机在线列表中的信息。哪怕一个字符的错误都可能导致您获得虚假代币。

阅读并分析智能合约 首先使用Gate钱包中的代币审计功能。只需点击感兴趣的代币,然后前往【审计】选项卡。密切关注任何风险或警告标志,如果检测到异常,最好不要继续,否则可能会面临损失资金的风险。

但请记住,审计功能并非万无一失。智能合约风险需要一些时间才能检测到,并且没有任何工具能做到绝对准确。请始终与其他可信分析工具交叉核对,并将结果与您自己的调研进行比较。

对于较有经验的用户,深入研究代币的智能合约或可找到重要情报。从寻找隐藏后门到评估对代币供应量的控制情况,仔细查看合约内容,可在造成损失前发现危险信号。以下是需要注意的事项。

放弃所有权。若项目放弃合约所有权,通常意味着风险降低,即开发者无法再修改合约或调用仅面向所有者的特权函数。虽然并不能保证安全,但它通常表明项目逻辑已锁定,不会轻易受到进一步操纵。

铸造或销毁函数。检查智能合约是否包含允许铸造(创建)或销毁(破坏)代币的函数。这些功能本身没有问题,许多合规项目也使用它们来控制供应量、发放质押奖励或作为通货紧缩机制。然而,如果铸造不受限制或仅由开发者控制,则可能会被滥用,令新代币大量涌入市场,导致通货膨胀和代币价值急剧下降。请始终确认此类函数符合项目的既定目的并且得到透明管理。

代理合约。看到可升级代理合约时须保持谨慎,特别是当项目没有提供明确合理的使用原因时。代理合约将逻辑(代码)与数据(存储)分离,即使完成部署之后也允许开发者更新或替换合约逻辑。虽然此种灵活性有助于修补错误或新增功能,但也带来了重大的安全隐患。如果被滥用,开发者或黑客可能会部署恶意升级,以窃取资金、更改权限或禁用核心功能。请始终记得检查升级密钥是否受到妥善管理(最好由多重签名钱包或 DAO 管理),以及项目是否发布了可靠的升级政策。

检查智能合约是否阻止卖出。一些恶意代币会限制或完全阻止卖出,或在您尝试退场时收取未经披露的高额交易手续费。在进行交互之前,请使用信誉良好的合约扫描工具分析该代币是否存在危险信号,例如限制转账逻辑或过高的手续费。然而,没有任何工具能做到万无一失,所以一定要理性看待分析结果,并将其与您自己的调研相结合。

切勿与不请自来的代币或空投交互 如果您在钱包中发现随机的陌生代币,请勿与之接触。此类“空投”通常是网络钓鱼陷阱、貔貅盘或地址投毒骗局的一部分。若与之互动,例如授权或兑换,则可能导致钱包被盗。最安全的做法就是忽略它们。

DYOR(自己做好研究) 白皮书和路线图:每个合规项目都应该拥有清晰、详细的白皮书和设置可衡量里程碑的合理路线图。

团队透明度:虽然匿名团队并不一定带有恶意,但透明度有助于建立信任。如果是未知或未经验证的团队,请谨慎权衡额外的风险。

社区参与:健康的项目会在 Twitter、Telegram 或 Discord 等平台上拥有活跃社区。请警惕虚假参与、不切实际的承诺或成员大多是机器人的群组。

审计报告:寻找由信誉良好的公司出具的独立安全审计。此类报告并不能保证安全,但确实代表了对透明度和安全性的承诺。直接从官方来源验证审计报告。

结语 去中心化交易平台为用户提供了中心化平台之外的多样代币和机遇。但伴随巨大优势而来的是操作挑战、技术漏洞以及更易落入虚假代币和跑路等骗局的风险。若想保障自身安全,则须保持警惕、仔细调研并谨慎互动。通过验证合约、监控流动性和小额测试,您将能够从容探索 DEX,同时保护自己的资产。只要保持警惕,留心观察,在露天市场也能收获颇丰。

Released under the MIT License.

Copyright © 2019-Gate