核查项目合约可修改性、流动性池锁定状态、团队与社区真实性、代币转账权限及审计报告一致性,是识别Rug Pull风险的五大核心步骤。
为了方便新手快速上手币圈交易并实时查看市场数据,可通过主流交易所币安(Binance)或欧易OKX注册账户并使用官方APP,可实时查看交易深度、挂单量及资金流向,帮助判断买入或卖出时机。
币安注册链接与下载地址:
欧易OKX注册链接与下载地址:
安装过程中,系统可能会提示“允许安装来自此来源的应用”。这是正常安全提示,建议点击“允许”或在“设置”中开启相应权限后继续安装。
一、核查项目合约的可修改性
智能合约一旦部署上链,其核心逻辑应不可更改;若发现合约存在管理员权限或可升级函数,则存在被恶意操控的风险。
1、在Etherscan或BscScan中输入项目代币合约地址,进入“Contract”标签页。
2、点击“Read Contract”展开函数列表,查找owner()、renounceOwnership()、upgradeTo()、setImplementation()等敏感函数。
3、调用owner()函数,确认返回地址是否为公开透明的多签账号地址,而非单个匿名EOA地址。
二、验证流动性池的锁定状态
流动性未锁定是Rug Pull最直接的前置信号;攻击者常通过移除LP代币实现瞬间抽干资金池。
1、在DexScreener或GeckoTerminal中搜索项目代币,定位其主流交易对(如WETH/XXX)。
2、点击交易对跳转至对应Uniswap V2/V3或PancakeSwap池页面,查找Liquidity Locked标识或第三方锁定合约链接。
3、点击锁定合约链接进入区块链浏览器,检查锁仓合约中withdraw()、transferOwnership()、release()函数是否已被禁用或过期。
三、审查开发团队与社区互动真实性
匿名团队缺乏追责路径,而虚假社区活跃度常表现为机器人刷屏、重复文案及无实质问答。
1、在Twitter/X与Telegram中观察近30天消息发布时间分布,识别是否集中于发币前后24小时内且无持续技术讨论。
2、随机抽取10条群内用户提问,核查管理员是否给出具体技术回应,还是仅回复“HODL”“GM”等无信息量短语。
3、使用Whois工具查询项目官网域名注册时间,若注册日期晚于代币上线时间超72小时,需高度警惕。
四、检测代币转账权限与黑名单机制
部分合约嵌入人为干预能力,允许开发者冻结用户资产或定向转移代币,构成隐蔽型Rug Pull风险。
1、在合约代码页面切换至“Decoded Input Data”或使用Remix加载ABI,搜索_isBlacklisted()、excludeFromFee()、setTransferDelay()等函数名。
2、调用isBlacklisted(address)函数,传入多个普通用户地址,观察是否出现非预期的true返回值。
3、检查totalSupply()与circulatingSupply()差值,若后者长期恒定为零或远低于前者,表明代币实际未开放自由流转。
五、交叉比对审计报告与代码版本一致性
伪造或过期审计报告是常见话术,关键需确认所审合约地址、编译器版本及优化启用状态与链上完全匹配。
1、获取项目方公布的审计报告PDF,记录其中声明的合约地址、Solidity版本(如0.8.19)、optimizer runs数值。
2、在Etherscan对应合约页点击“Contract”→“Verify and Publish”,对比Verified Source Code区块中的编译参数。
3、若报告签署日期早于合约部署时间,或优化runs数值不一致,该审计结果不具备有效性验证基础。
