# 防骗随笔0:貔貅的进化 By [CryptoNerdCN](https://paragraph.com/@cryptonerdtokyo-2) · 2022-04-13 --- 今天在某个大佬群里,一位群友分享了一个神盘,不到24小时涨了快100倍了。 ![](https://storage.googleapis.com/papyrus_images/fbe4772382ceb54c9a2071b47090ea72879f9320885934bf064b592904fec652.jpg) [https://dexscreener.com/ethereum/0xd809d08876f7c45c0a760f2066f838ddfef91b61](https://dexscreener.com/ethereum/0xd809d08876f7c45c0a760f2066f838ddfef91b61) ![一天不到已经涨了100倍了](https://storage.googleapis.com/papyrus_images/213944755b353ea24dae74e7912a959b331f895b6ff2ab81de353ba5c5e83342.png) 一天不到已经涨了100倍了 几个群友兴冲冲的冲了上去。过了没一会,发现居然就涨了一倍了很高兴,于是想先出本时哦吼,发现居然卖不出去了? ![](https://storage.googleapis.com/papyrus_images/14e16695e8809093c723fb4a4a3e868cc4e4a6ab1d736bb503f9794174209365.jpg) * * * 然而市面上所有检测都显示这个不是貔貅盘。比如tokensniffer的报告: [https://tokensniffer.com/token/0x39ff02669ad11fd46674150cbfca6b46b4e4b908?\_\_cf\_chl\_tk=V0cvboSvGE3GTCr28iOE2V3htK2vYghUnyFI\_V4uIHU-1649829849-0-gaNycGzNDJE](https://tokensniffer.com/token/0x39ff02669ad11fd46674150cbfca6b46b4e4b908?__cf_chl_tk=V0cvboSvGE3GTCr28iOE2V3htK2vYghUnyFI_V4uIHU-1649829849-0-gaNycGzNDJE) ![显示不是honeypot,可以卖出](https://storage.googleapis.com/papyrus_images/9e5d19a040bf0f468618eb2b2fe2222da352ce19980e0de35e9719d1b33c8a1b.png) 显示不是honeypot,可以卖出 那么这又是为什么? 注目点在于这句:**Source does not contain a proxy contract** 上面截图里我自己的发言也提到了,这个合约 0xd809d08876f7c45c0a760f2066f838ddfef91b61 并不是一个真正的erc20合约,它只是一个代理(proxy)。真正的交互,全部是在逻辑合约里面。代理合约的用处只是call一下逻辑合约做事。 [https://tokensniffer.com/contract/0x39ff02669ad11fd46674150cbfca6b46b4e4b908](https://tokensniffer.com/contract/0x39ff02669ad11fd46674150cbfca6b46b4e4b908) 在这里我们能看见合约的源代码。很明显,它使用了EIP-1967。当年如果冲过鱿鱼游戏这个貔貅盘的应该有印象。 EIP-1967规定了一个通用的存储插槽,用于在代理合约中的特定位置存放逻辑合约的地址。如果看不懂上面这段话也没关系,通俗来说就是,使用EIP-1967的合约里有一个地方可以用来存储真正的合约(即上文所说的“逻辑合约”)的地址。而真正的交互,全部是在真正的合约之处。 我们可以通过构造函数发逻辑合约地址: ![构造器的第三个参数就是逻辑合约地址](https://storage.googleapis.com/papyrus_images/8b103efcb24a97946af5edbb42c53220246176d18c365b559b65c124ca2d434c.png) 构造器的第三个参数就是逻辑合约地址 [https://etherscan.io/address/0xb7a1451f0e7aa7b626e082d2641c68384e55ae7f](https://etherscan.io/address/0xb7a1451f0e7aa7b626e082d2641c68384e55ae7f) 很可惜,并未开源。 因此,针对代理合约的检测,是完全无法涉及到逻辑合约的。 * * * 说回那些能够卖出的账户。看到上面的分析大家应该也明白了,真正的合约处,是应该有着类似加入白名单的逻辑,使得只有白名单内的地址可以卖出token。而这些能够卖出的账户本来就全都是狗庄自己的。 比如我们随机选取一个卖出的tx: [https://etherscan.io/tx/0x0a16b0119386c7ebe072051090f1478c8aacae1ae8add4ed0f88cebc2a9f7f85](https://etherscan.io/tx/0x0a16b0119386c7ebe072051090f1478c8aacae1ae8add4ed0f88cebc2a9f7f85) 可以看出这个地址 0x13729552cd898c823abeb0eddd8714f4642688ee [https://etherscan.io/address/0x13729552cd898c823abeb0eddd8714f4642688ee](https://etherscan.io/address/0x13729552cd898c823abeb0eddd8714f4642688ee) 仅有三个tx,一个是转入了一个eth(应该是做手续费用),另外两个是卖出。噫?怎么压根没有买入token的记录?这卖出来币又是怎么来的呢? 其实很简单,添加代币并不一定需要购买,只要真正的的合约里有 accounts[address] = accounts[address].add(amount);//给任意地址(address)加上amount数量的token 这种代码,就可以在完全不需要通过tx来进行代币分发或者自行买入情况下给任意地址添加代币。 我们继续深挖一下这个转入的1eth从哪来的。 由于层数比较多,中间省略了一些无关紧要的账户,最终我们来到了 0xae155cb9857bf0870d6965ead4482552fbb12f32 这个地址 [https://etherscan.io/address/0xae155cb9857bf0870d6965ead4482552fbb12f32](https://etherscan.io/address/0xae155cb9857bf0870d6965ead4482552fbb12f32) 可以看出,这个地址和上面的 0x13729552cd898c823abeb0eddd8714f4642688ee 是如出一辙,接受了一定的eth转入之后卖出了不存在的代币获取了eth--只不过这次的代币不叫paramount,而是一个叫做ULV(Uniswap Labs Ventures)的代币。 [https://etherscan.io/token/0x90d33aff810f15ac0e5247e7b93c1f225cb1b884](https://etherscan.io/token/0x90d33aff810f15ac0e5247e7b93c1f225cb1b884) 这个ULV,其实是跟paramount一样的一个貔貅盘。我们可以看到 0xae155cb9857bf0870d6965ead4482552fbb12f32转出的一部分eth,到了 0x2de4b6dbd147e773ff054bdfb96f0081ecce9617 这个地址。 而这个地址又是做什么的呢? 很简单,用来拉盘ULV的。 [https://etherscan.io/tx/0xf4be294b9e794b0655b97a5d2e48e0dadd000af88980dbc6c5a56723bc7c4db8](https://etherscan.io/tx/0xf4be294b9e794b0655b97a5d2e48e0dadd000af88980dbc6c5a56723bc7c4db8) ![拉盘地址](https://storage.googleapis.com/papyrus_images/fe926e468955df83c70051a90bb15f793c1d0388c3e18ee9da1edcffa7700e51.png) 拉盘地址 可以看出ULV的大额买入有一半是这个地址(另外还有个几个地址是辅助拉盘的)。最后获利将73个eth转走。 而接受73个eth的地址 0x7d1120fe4110eab79f854a4ab7895d44a7a5f58d ,则又是另一个叫做UIP( United International Pictures)代币的拉盘地址 [https://etherscan.io/address/0x7d1120fe4110eab79f854a4ab7895d44a7a5f58d](https://etherscan.io/address/0x7d1120fe4110eab79f854a4ab7895d44a7a5f58d) ![可以看出已经被ethscan标红](https://storage.googleapis.com/papyrus_images/7897004d6fe2f2bdd2f3be19f1b751d54927b1506fd060a3eddd07369301fbb9.png) 可以看出已经被ethscan标红 因此整个链条很明了了:部署一个proxy合约,发一个空气币 → 事先给真正的合约添加可以卖出的地址的白名单 → 通过给这些地址加币 → 给知名地址空投 → 吸引人购买后,可卖出地址卖出获利 → 一部分资金转入拉盘地址不停拉盘 → 最后跑路换下一个貔貅盘 除了狗庄自己,没有任何人能卖出,狗庄自己又拿出一部分eth不停买入,自然能看见币价疯狂上涨。 * * * P.S:顺便一提这个团队特别喜欢用现实世界存在的品牌名字来做token名,光挖出来的就有希尔顿,松下,日立等名字。 关注我,获取更多区块链技术资讯: [https://twitter.com/cryptonerdcn](https://twitter.com/cryptonerdcn) --- *Originally published on [CryptoNerdCN](https://paragraph.com/@cryptonerdtokyo-2/0)*