“蜜罐”合约是伪装成正常代币的恶意智能合约,表面支持买入与余额显示,实则通过逻辑屏蔽转账、解耦流动性池、伪造余额、隐藏动态拦截逻辑及集中控权等方式单向锁定用户资金。
Binance币安:
欧易OKX:
“蜜罐”合约是币圈中一种伪装成正常代币的恶意智能合约,表面支持买入与余额显示,实则单向锁定资金,阻止用户卖出或转出。
一、转账功能被逻辑性屏蔽
该类合约保留transfer和transferFrom函数外观,但在执行路径中嵌入强制性条件判断,使非授权地址调用时静默回滚或消耗异常Gas。用户可见余额,却无法完成任何有效资产划转。
1、在BSCScan中输入目标代币合约地址,进入“Contract”标签页。
2、点击“Read Contract”,查找并调用balanceOf函数,确认自身地址余额非零。
3、切换至“Write Contract”,连接钱苞后尝试调用transfer,向测试地址发送1个代币。
4、若交易始终pending、最终revert,或Etherscan中Internal Txns无Transfer事件日志,则判定为逻辑屏蔽。
二、流动性池与代币合约链上解耦
蜜罐项目刻意将LP池部署于独立合约,且该池所有权不可控或已销毁,导致用户资金与真实市场深度完全隔离,形成技术性单向通道。
1、在DexScreener中搜索该代币,复制其显示的LP池合约地址。
2、在BSCScan中打开该LP池合约,查看“Contract”→“Read Contract”中的owner()返回值。
3、若owner为0x0000000000000000000000000000000000000000或自毁地址,风险极高。
4、比对代币合约中是否调用过renounceOwnership,若未调用且owner仍为EOA地址,则权限未释放。
三、余额显示与实际可转出严重背离
合约利用ERC-20标准实现自由度,在balanceOf返回真实数值的同时,_transfer内部逻辑拒绝更新recipient状态或直接触发revert,制造“有数无权”的视觉欺骗。
1、使用Etherscan的“Token Transfers”标签页,筛选自身地址的转入记录,确认代币已到账。
2、手动构造一笔transfer交易,设置Gas Limit为500000以上,观察是否仍失败。
3、在交易详情页的“State Changes”中检查token balance字段是否发生变更。
4、若state未变且logs为空,则证明_transfer未执行任何状态写入操作。
四、合约代码隐藏动态拦截逻辑
未经验证的源码中常嵌入基于区块时间、调用者地址哈希末位、外部预言机响应等触发条件的限制分支,普通用户无法通过常规交互察觉其存在。
1、在BSCScan中确认合约状态为Contract Verified: Yes,否则立即终止交互。
2、在已验证源码中全局搜索关键词block.timestamp、msg.sender & 0xFF、require(!paused)等高危模式。
3、检查是否存在未公开调用的函数如emergencyWithdraw、blacklistAddress等管理接口。
4、定位_transfer函数体,确认其内部是否存在未注释的条件跳转或silent revert逻辑。
五、持币集中度与铸造权限异常暴露
蜜罐合约通常保留owner对mint、burn、setTax等关键函数的绝对控制权,且前十大地址持仓占比畸高,构成事实上的单点操纵结构。
1、在Etherscan“Holders”标签页中查看代币持有分布,若前10地址合计占比超过75%,视为高度危险。
2、在合约源码中搜索mint函数定义,确认其修饰符是否为onlyOwner且未被renounce。
3、调用totalSupply函数并对比链上历史供应量变化,若近期出现突增,需核查mint调用记录。
4、检查是否存在_setFeeRecipient、_excludeFromFee等可由owner任意修改的费用路由函数。
