蜜罐骗局是伪造代币合约使用户能买入但无法卖出的欺诈机制,其通过篡改transfer函数、高Gas消耗、隐藏revert等方式拦截卖出,实现余额显示与实际转出分离,并利用流动性解耦和未弃权所有权强化控制。
注册入口:
APP下载:
欧易OKX
注册入口:
APP下载:
火币:
注册入口:
APP下载:
一、蜜罐骗局的本质特征
蜜罐骗局是通过伪造代币合约,使用户能正常买入并显示余额,但所有卖出交易均被智能合约逻辑强制拦截的欺诈机制。其核心在于表面功能完整,实则转账权限被恶意阉割。
1、合约中transfer或transferFrom函数虽存在,但内部嵌入条件判断,仅允许特定地址调用或对非白名单地址返回静默失败。
2、部分合约在执行卖出时消耗极高Gas,导致交易始终无法确认,实际等同于冻结。
3、合约代码常隐藏revert语句,错误提示被刻意抹除,用户仅看到“交易失败”而无法定位原因。
二、流动性与所有权的双重隔离
蜜罐项目普遍将流动性池与代币合约进行链上解耦,切断用户对资金的实际控制路径,形成技术性单向通道。
1、在DexScreener中查到的LP池合约地址,与代币合约地址不一致,且LP池合约owner为0x0000…0000或自毁地址。
2、代币合约中未调用renounceOwnership,或owner仍为部署者控制的EOA地址,可随时修改关键参数。
3、流动性未通过Uniswap V2/V3官方工厂创建,而是使用仿制工厂合约,规避前端校验逻辑。
三、余额显示与实际可转出的分离设计
蜜罐合约利用ERC-20标准的实现弹性,在balanceOf返回真实数值的同时,让_transfer操作永远不更新recipient余额或直接revert,造成“有数无权”假象。
1、调用balanceOf验证自身地址余额正常,确认代币已到账。
2、尝试调用transfer向测试地址发送1个代币,交易哈希生成后始终处于pending状态或最终revert。
3、在Etherscan中查看该笔交易的Internal Txns标签页,发现无token transfer event日志输出。
四、合约代码中的隐蔽陷阱识别
未经验证的合约源码中常埋藏不可见逻辑分支,例如基于区块时间、调用者地址哈希值末位、或外部预言机响应结果触发限制,普通用户无法察觉。
1、在BSCScan中打开合约地址,点击“Contract”→“Verify and Publish”,确认是否已验证源码。
2、若未验证,直接拒绝交互;若已验证,搜索关键词require(msg.sender == owner)、onlyOwner、block.timestamp 等高危模式。
3、检查fallback函数或receive函数是否为空,或是否包含向特定地址转发ETH的逻辑,此类设计常配合代币锁定使用。
