皆妙笔周末讨论比较多的是星链银行(Star Chain Bank,SCK)的闪崩,SCK是近期 DeFi 圈内比较受关注的去中心化项目之一,号称是“拉菲协议2.0”。SCK 模型早在7月初就确定,7月20日收节点,9月初上线底池很快突破100万美金,进入11月,底池接近700万美金,币价从 0.1U 涨到 1.3U,翻了 13倍!一切看起来都很美好,直到11月8日凌晨6点,币价直接跳水80%,底池的400万U不翼而飞。说好的合约完全开源,权限打入黑洞,怎么还会发生底池被洗劫?今天用从技术的角度拆解一下。
|
|
|
|
星链银行(Star Chain Bank,SCK)是2025年三季度出来的模仿拉菲模式典型项目,但是其崩盘速度之快(从上线到暴雷仅3个月)和涉案金额还是震惊DEDFI行业。
一、SCK的核心玩法与模式:
|
|
|
|
1.双币发行机制。
平台币SCK:总发行量2100万枚,宣称通过“销毁机制”最终减至210万枚,实际是通过控制流通量制造稀缺性。用户需用USDT购买SCK并质押,才能参与“持币生息”。
生态币Mars:发行量1亿枚,同样通缩至1000万枚,主要用于社区激励和动态奖励。但Mars无法直接购买,只能通过推广团队或参与“铸造池”获得,本质是鼓励拉人头的传销工具。
2.质押理财入场。
阶梯式日化收益:1天期0.3%、15天期0.6%、30天期1.2%,年化收益最高达438%。例如,质押1000 USDT 30天可获431 USDT利润,其中70%归用户,25%用于回购Mars销毁,5%用于市值管理。
复利滚存机制:用户需定期赎回并重新质押才能继续享受收益,表面是“动态平衡”,实则迫使资金滞留系统,延缓崩盘时间。
3.多级分销体系。
直推奖励:可获得被邀请者每日收益的10%。
团队贡献奖励:根据小区业绩分为S1-S5级,奖励比例从10%到30%不等。例如,S5级代理(小区业绩30万美元)可额外获得团队收益的30%。
动态奖励全为Mars:Mars无法购买只能通过推广获得,操盘手通过控制Mars的“稀缺性”刺激用户疯狂拉新,形成“庞氏-传销”双重陷阱。
二、链上数据分析,真不是真的“拉菲协议2.0”?
拉菲LAF已经持续稳定运行一年,为什么SCK三个月就不行了呢?表面上看星链银行SCK和拉菲LAF的模式是差不多的,都是用链上LP做市、静态收益加动态奖励的复利机制。区块链项目比资金盘项目的友好之处在于链上数据可查,我们透过查询分析三大合约,还是能发现里面不少问题。
星链银行SCK的快速崩盘是多重合约设计缺陷、权限集中化与经济模型畸形共同作用的结果。结合检测报告与链上行为分析,可将核心问题拆解如下:
1.代币合约:高税费与权限后门摧毁流动性根基
(1)交易成本远超市场承受能力
买入需支付3%税费(1%销毁+2% LP费),卖出税费最高达18%(8%营销费+10%盈利税)。这种“高进低出”的结构直接抑制了交易意愿,导致流动性迅速枯竭。例如,用户若在开盘15分钟内卖出,需承担8%营销费,叠加10%盈利税,实际收益可能被吞噬近20%。
盈利税计算逻辑复杂且缺乏透明度:若用户无成本记录(如通过空投获得代币),需按全额缴纳10%税费,这一设计被质疑为“变相收割”。
(2) Owner权限高度集中,存在价格操纵工具
尽管部分风险标注“已解除”,但核心控制权仍在所有者手中:可通过STAKING模块的 recycle 函数转移交易对最多1/3的代币,直接干预价格。例如,合约所有者可在市场恐慌时主动抛售代币,加剧价格暴跌。
免税名单、黑名单和开盘时间的控制权,使得内部人员可通过“老鼠仓”提前布局或逃避税费,进一步破坏市场公平性。
(3)经济模型不可持续
合约通过 swapAndLiquify 机制将税费转换为流动性,但高税费导致交易量萎缩,流动性注入逐渐停滞。同时,盈利税需兑换为USDT发放给利润地址,若USDT储备不足,可能引发系统性风险。
大白话来说就是税费高到离谱,没人愿意玩。你买SCK要扣3%的钱(1%直接销毁,2%进流动性池),卖的时候更狠——平时扣3%“营销费”,开盘前15分钟直接扣8%,要是你赚了钱,还得再扣10%“盈利税”;哪怕你没记录买价(比如别人送的),也按全额扣10%。相当于你一买一卖,至少亏10%以上,谁愿意当冤大头?没人交易,币就没流动性,一跌就崩。
老板权限大到吓人,想操控价格就操控。虽然报告说有些风险“已解除”,但核心权力还在老板手里:他能决定啥时候开盘、谁能免税费(比如自己人)、谁不能交易(拉黑名单),甚至能通过一个叫“recycle”的功能,转走交易池里1/3的SCK——相当于老板手里有个“砸盘作弊器”,想让价格跌就能跌,没人敢信这币。
2.LP合约:流动性池设计存在致命安全漏洞
(1)手续费控制权完全依赖外部工厂合约
LP合约的 feeTo 地址直接引用PancakeSwap工厂合约的配置,若工厂所有者恶意修改 feeTo ,所有手续费将被转移至攻击者地址,导致流动性提供者(LP)血本无归。这一漏洞在DeFi历史上多次被利用(如2022年SushiSwap攻击事件)。
(2)核心功能缺乏访问控制
mint 和 burn 函数未设置权限限制,攻击者可通过闪电贷等手段铸造大量LP代币,稀释合法持有者权益或操纵价格。例如,攻击者可先铸造LP代币,再通过虚假交易拉高价格,最后抛售获利。
(3)外部调用风险未被充分隔离
swap 函数允许调用任意 IPancakeCallee 合约,若被恶意合约利用,可能触发重入攻击或执行恶意代码。尽管合约使用 lock 修饰符防止重入,但对外部合约的信任假设仍存在风险。
大白话来说,LP合约就是管“大家放钱进去做交易”的池子,问题全在“不安全”:手续费能被随便转走。交易时扣的手续费,要转到一个叫“feeTo”的地址,但这个地址由 PancakeSwap 工厂合约的老板控制——相当于你交的手续费,最终给谁,全看别人心情,要是人家把地址改成自己的,所有手续费就被卷走了,放钱进池子的人血本无归。另外还能随便“印假LP币”。铸造(mint)和销毁(burn)LP币的功能,没任何限制,就像印钞机没锁,坏人能随便印一堆假LP币,稀释真正放钱人的权益,甚至用假币换走池子里的真钱。
3.交互合约:高危漏洞直接引发资金外流
(1)MinOut=0设置沦为MEV机器人提款机
– 认购流程中, swapExactTokensForTokensSupportingFeeOnTransferTokens 函数将 minOut 设为0,攻击者可通过前置交易操纵价格,导致项目方或用户在兑换时仅获得极少代币。例如,攻击者可先用大额订单拉高SCK价格,再以高价卖出,最后用低价买回,通过滑点套利。
(2)管理员权限失控,资产可被任意挪用
所有者可通过“救援接口”直接清空合约资产,管理员能通过“导入接口”随意修改账本余额。这种“中心化后门”使得项目方具备无限增发和转移资金的能力,完全违背去中心化承诺。
(3)外部依赖与重入风险敞口巨大
合约频繁调用SCK、MARS等外部代币的 recycle 、 fundOnSubscribe 等函数,若这些合约存在漏洞(如重入攻击),交互合约将连带受损。例如,攻击者可通过递归调用 recycle 函数,重复提取交易对代币。
大白话来说,这个交互合约是最致命的,就是你用USDT换SCK、质押赚钱的地方,漏洞多到离谱,换币时“不设底线”,被坑了都没办法,你用USDT换SCK时,合约没设“最少能换多少SCK”(minOut=0)相当于你去换钱,跟对方说“随便给点就行”,坏人能先操纵价格,让你1000USDT只换到1个SCK,血亏。老板能直接把钱清空,管理员能“改账本”,老板有个“救援接口”,能直接把合约里的钱全转走;管理员更离谱,能随便改账本,比如你本来质押了1000USDT,他能改成100USDT,相当于你存的钱,人家想怎么改就怎么改,跟抢钱没区别。这个合约还要频繁调用SCK、MARS这些外部币的功能,要是那些币的合约有漏洞(比如能被偷钱),这个合约里的钱也会跟着没,相当于你把钱放朋友家,朋友家被偷了,你的钱也没了。
4.链上行为验证:价格操纵与资金外流轨迹
(1)短期暴涨暴跌的异常表现
链上数据显示,SCK流动性池在崩盘前出现异常资金流出,疑似项目方通过 recycle 函数转移代币至私人地址。
(2)社区信任崩塌与资金撤离
高税费和权限集中化引发用户质疑,社交媒体上出现大量投诉,如“1100U一秒钟被转走”,进一步加剧恐慌性抛售。
交互合约的“白名单+管理员批处理”模式被指存在内幕交易,VIP用户可优先获得低价代币,普通用户权益被边缘化。
5.漏洞优先级与崩盘直接诱因
SCK的崩盘本质是中心化操控与合约漏洞的双重失败。其经济模型设计(高税费、复杂规则)从根本上排斥市场参与,而权限集中化(Owner/管理员后门)和技术漏洞(MEV攻击、外部依赖)则为项目方提供了收割工具。这种“伪去中心化”模式在DeFi领域屡见不鲜,其教训再次证明:缺乏透明性、抗审查性和社区治理的项目,终将因信任危机而崩塌。投资者在参与类似项目时,需重点关注合约审计报告、权限分布及链上资金流向,避免成为“高收益陷阱”的牺牲品。
三、总结:
拉菲现在已经成了币圈公认的“神盘”,不论是底池规模、社区热度还是影响力,都已经很难被超越。
永远不要将全部资产投入单一项目,尤其是“去中心化金融”类高风险领域。
对于普通投资者而言,“不贪心、不跟风、多验证”是避免成为资金盘猎物的最佳策略。在加密货币市场,真正的去中心化金融需要时间沉淀和技术积累,而非一夜暴富的神话。
