我最近在重新学 solidity,巩固一下细节,也写一个“WTF Solidity 极简入门”,供小白们使用(编程大佬可以另找教程),每周更新 1-3 讲。
所有代码和教程开源在 github: github.com/AmazingAng/WTF-Solidity
这一讲,我们将介绍貔貅合约和预防方法(英文习惯叫蜜罐代币 honeypot token)。
貔貅是中国的一个神兽,因为在天庭犯了戒,被玉帝揍的肛门封闭了,只能吃不能拉,可以帮人们聚财。但在Web3中,貔貅变为了不详之兽,韭菜的天敌。貔貅盘的特点:投资人只能买不能卖,仅有项目方地址能卖出。
通常一个貔貅盘有如下的生命周期:
恶意项目方部署貔貅代币合约。
宣传貔貅代币让散户上车,由于只能买不能卖,代币价格会一路走高。
项目方rug pull
卷走资金。
学会貔貅合约的原理,才能更好的识别并避免被割,才能做一个顽强的韭菜!
这里我们介绍一个极简的ERC20代币貔貅合约Pixiu
。在该合约中,只有合约拥有者可以在uniswap
出售代币,其他地址不能。
Pixiu
有一个状态变量pair
,用于记录uniswap
中 Pixiu-ETH LP
的币对地址。它主要有三个函数:
构造函数:初始化代币的名称和代号,并根据 uniswap
和 create2
的原理计算LP
合约地址,具体内容可以参考 WTF Solidity 第25讲: Create2。这个地址会在 _beforeTokenTransfer()
函数中用到。
mint()
:铸造函数,仅 owner
地址可以调用,用于铸造 Pixiu
代币。
_beforeTokenTransfer()
:ERC20
代币在被转账前会调用的函数。在其中,我们限制了当转账的目标地址 to
为 LP
的时候,也就是韭菜卖出的时候,交易会 revert
;只有调用者为owner
的时候能够成功。这也是貔貅合约的核心。
// 极简貔貅ERC20代币,只能买,不能卖
contract HoneyPot is ERC20, Ownable {
address public pair;
// 构造函数:初始化代币名称和代号
constructor() ERC20("HoneyPot", "Pi Xiu") {
address factory = 0x5C69bEe701ef814a2B6a3EDD4B1652CB9cc5aA6f; // goerli uniswap v2 factory
address tokenA = address(this); // 貔貅代币地址
address tokenB = 0xB4FBF271143F4FBf7B91A5ded31805e42b2208d6; // goerli WETH
(address token0, address token1) = tokenA < tokenB ? (tokenA, tokenB) : (tokenB, tokenA); //将tokenA和tokenB按大小排序
bytes32 salt = keccak256(abi.encodePacked(token0, token1));
// calculate pair address
pair = address(uint160(uint(keccak256(abi.encodePacked(
hex'ff',
factory,
salt,
hex'96e8ac4277198ff8b6f785478aa9a39f403cb768dd02cbee326c3e7da348845f'
)))));
}
/**
* 铸造函数,只有合约所有者可以调用
*/
function mint(address to, uint amount) public onlyOwner {
_mint(to, amount);
}
/**
* @dev See {ERC20-_beforeTokenTransfer}.
* 貔貅函数:只有合约拥有者可以卖出
*/
function _beforeTokenTransfer(
address from,
address to,
uint256 amount
) internal virtual override {
super._beforeTokenTransfer(from, to, amount);
// 当转账的目标地址为 LP 时,会revert
if(to == pair){
require(from == owner(), "Can not Transfer");
}
}
}
预防方法
貔貅币是韭菜在链上梭哈最容易遇到的骗局,并且形式多变,预防非常有难度。我们有以下几点建议,可以降低被貔貅盘割韭菜的风险:
在区块链浏览器上(比如etherscan)查看合约是否开源,如果开源,则分析它的代码,看是否有貔貅漏洞。
如果没有编程能力,可以使用貔貅识别工具,比如 Token Sniffer,分低的话大概率是貔貅。
看项目是否有审计报告。
仔细检查项目的官网和社交媒体。
只投资你了解的项目,做好研究(DYOR)。
这一讲,我们介绍了貔貅合约和预防貔貅盘的方法。貔貅盘是每个韭菜必经之路,大家也对它恨之入骨。另外,最近也出现貔貅 NFT
,恶意项目方通过修改 ERC721
的转账或授权函数,使得普通投资者不能出售它们。了解貔貅合约的原理和预防方法,可以显著减少你买到貔貅盘的概率,让你的资金更安全,大家要不断学习。