背景概述
ERC-20 在 EVM 生态风靡的同时,也因“代码即法律”的灵活性催生大量收割陷阱:随意增发、禁止卖出、瞬间拉黑地址等手法屡见不鲜。Solana 官方意识到这一点,推出 SPL 代币 标准,强制开发者采用固定模板发行,将智能合约漏洞面降到最小。
尽管如此,恶意 SPL 代币并未因此绝迹,而是转向了 铸造策略、扩展功能、隐藏 Hook 等更高阶的欺骗手法。本文围绕 SPL Token 与 Token-2022(SPL2022) 两大版本,拆解 8 个核心关键词——铸造权限、冻结权限、永久委托、转账费、转移 Hook、关闭铸币、生息代币、CPI Guard——帮你 5 分钟完成风险筛查。
SPL 代币的“免代码”真相
Solana Program Library(SPL)代币由单一官方程序统一管理,开发者无法插入自定义代码。表面看似安全,但若铸币者或特权玩家在交易链条里留一手,仍可能坑杀用户。重点观察以下两个维度:
维度 1:初始化参数
mint_authority(铸造者)freeze_authority(冻结者)
如果 freeze_authority 被配置,就意味着该地址随时可以冻结任意持币账户,导致 用户无法转移或挂单卖出。
维度 2:链上行为痕迹
FreezeAccount:历史是否曾出现对散户地址的冻结动作。SetAuthority:四大权限(MintTokens、FreezeAccount、AccountOwner、CloseAccount)是否被移动到空地址(变相放弃)或转移到不明私钥。
日常排查时,可直接在 Solscan 的「Instruction」Tab 搜索 set_authority 或 freeze_account,大大节省时间。
SPL2022 新扩展:被借壳的“安全”特性
Token-2022 保留原有 25 条指令,又追加 9 种扩展。正因友好且丰富,被部分项目反向利用来实施更隐蔽的掠夺:
| 免费开源 ≠ 免费无风险 | 可能被利用的场景 |
|---|---|
transfer fees | 天量转账税,超 20% 的买入即亏损 |
default account state | 默认把新接入的 ATA 设为冻结,用户只能眼睁睁看着余额 |
permanent delegate | 管理员可随时增发或销毁任意钱包余额 |
transfer hook | 额外调用未知程序,实施二次风控或扣税 |
想快速过滤风险,可在交易记录里搜索 update_rate_interest_bearing_mint(利率暗改)或 permanent_delegate 等指令名,往往一眼暴露意图。
实操五步法:5 分钟完成风险尽调
- 打开浏览器,输入 Token address,点开 「Metadata」。
- 确认 铸造权限 已被放弃(
mint_authority == null),否则存在无限增发风险。 - 确认 冻结权限 已被放弃(
freeze_authority == null)。若保留,可签声明放弃但未上链,请保持警惕。 - 点击 「Instruction」,搜索
set_authority、freeze_account、burn三条日志。若出现大量burn且存在permanent_delegate,立刻划为高风险。 - 在官网或开源仓库拉取证型 转移 Hook 源码,若出现“可收取手续费后直接转账给开发者地址”的逻辑,干脆绕行。
👉 想一步到位完成多维链上检测?点此 30 秒一键查恶意 SPL 代币
深度案例分析:Bz7vB…SHU
2023 年 10 月,社区曝光 Token-2022 项目 Bz7vBYYuNuK8Y4KRTjaunFFAjzVbAiE1mFM9EGnZ8SHU。表面看只有普通 永久委托 扩展,却在用户买进后 3 分钟,动用委派地址 mewfbQ... 发起 Burn 指令,将持仓全部清空。
复盘时发现:
permanent_delegate设置者就是项目方本身;- 合约地址签名仅 5 次
Burn,却导致 900+ 钱包余额归零; - 烧币发生后,开发推特注销,Discord 关站,NFT 社群密钥失效。
在 Solscan 的「Token Extensions」分支打开改 Token,可看到 Permanent Delegate 标红警示。若该栏不空,而持有者并非官方公开的 DAO,大多数是普通用户可以直接判定为雷区。
常见问题速答(FAQ)
Q1:有着“官方模板”就不可能是垃圾币?
A:错!模板只能排除自写代码漏洞,但 扩展字段与权限设计 仍能作恶。
Q2:放弃冻结权限后就没风险?
A:必须链上 SetAuthority -> None 且区块确认为 Finalized,才视作放弃完成。链下声明无意义。
Q3:SPL2022 的 CPI Guard 越高就一定越安全?
A:不一定。CPI Guard 会限制 第三方程序调用;如果项目方又是 Hook Program 自部署方,则实锤“自己锁自己门”,对散户无保护。
Q4:转账费 5% 就是好好收费?
A:Token-2022 里转账费可拆分给多个地址,只要其中一个非公开地址占比 >1%,就能高位套现或悄悄跑路。
Q5:无 Metadata 的币能不能买?
A:无资料基本可视为匿名发币,除非你能忍动辄 -99% 的回撤,否则别接飞刀。
Q6:持币空投怎么看?
A:先确认 ATA 地址是否为默认冻结。一旦默认冻结,你无法导入去中心化钱包转出。
防坑总结与工具推荐
- 关键字总结:铸造权限、冻结权限、永久委托、转账费、转移 Hook、关闭铸币、生息代币、CPI Guard
- 工具组合:Solscan(链上浏览器) + Blockpour(指令过滤器) + 自家 Python 脚本(批量导出)
保持怀疑、三步验证、远离陌生空投,是你对钱包本金最起码的尊重。把这篇指南加入收藏夹,下一次 Solana Meme 狂潮来临时,你就能靠搜索 恶意 SPL 代币识别 关键词快速定位本文,避开所有隐藏在花哨叙事后的陷阱。