当前位置:首页 > 安全工具 > 正文内容

检测代币有无黑名单功能:避开最绝望的链上陷阱

数字货币2个月前 (05-28)安全工具41

链上买币最绝望的不是买贵了,是买完发现——能买,但不能卖。

代币合约里藏了个"黑名单"功能,项目方可以悄悄把你的地址加进去,你手里的币变成一堆只能看不能动的数字。其他人照样买卖,就你被锁在里面。

好消息是,黑名单必须写在合约代码里,上链的代码谁都能查。不用会编程,几分钟就能筛出来。        各大交易所:欧易官网   币安官网   芝麻Gate


黑名单到底是什么?

项目说明
本质智能合约里的一段逻辑:require(!_isBlacklisted[msg.sender])——你在黑名单里,交易直接拒绝
表现能买不能卖,转账被合约挡回来
圈内叫法貔貅币——只进不出
配套手段卖出税(可调到99%)、最大卖出限制、交易开关(随时关停所有交易)

2025年6月,Tether在波场上17天内拉黑了151个地址,冻结8634万美元。这事比你想的频繁得多。


黑名单 vs 白名单

类型规则杀伤力
黑名单你被禁止收发,别人不受影响⭐⭐⭐⭐⭐ 专门针对特定用户,最阴险
白名单只有审核过的地址能交易,陌生人默认被限制⭐⭐⭐ 你连买都买不了
可升级合约现在没黑名单,但合约能升级,后续版本可能加上⭐⭐⭐⭐ 现在安全≠永远安全

检测第一步:工具自动扫描(最省力)

GoPlus 代币安全检测报告,呈现黑名单、蜜罐、可升级合约等核心检测项

工具适合谁核心检测项
GoPlus新手首选黑名单、蜜罐、买卖税率、可升级合约
Token Sniffer快速筛选安全评分、中心化控制、黑名单逻辑
RugCheck快速风控蜜罐检测、9项风险评分(0-100)
DEXTools高阶用户黑名单、税率、流动性锁仓

GoPlus实操(30秒搞定)

步骤操作
打开 gopluslabs.io → Token Security
粘贴代币合约地址,点击检测
3秒出报告,重点看这几项

GoPlus 2026版还支持交易模拟——签名之前先跑一遍,看资金会被带去哪里,防盲签。

一个容易踩的坑: 不只看当前指标,还要看"恶意行为"标记(Malicious Behaviors)。哪怕现在扫不出黑名单,但历史上被标记过滥用黑名单、随机增发的,同样要警惕。


检测第二步:手动排查合约(花5分钟)

工具不是万能的,恶意代码可能被藏得很深。投大钱之前,手动查一遍。

方案A:用OneKey提示的指标快速筛查(推荐大多数人)

查什么在哪查红灯标准
owner()区块浏览器→Read Contract返回值不是零地址→有超级管理员
isBlacklisted(任意地址)Read Contract返回true→有黑名单能力
isExcludedFromFee(地址)Read Contract存在→有手续费豁免白名单
tradingEnabled()Read Contract可被关闭→有交易开关
setBlacklist/setFee/setTradingEnabledWrite Contract存在且仅owner可调→中心化控制

方案B:直接在代码里搜关键词(适合能看代码的人)

关键词出现在哪个函数里最危险
blacklist / isBlacklisted_transfer里有require(!_isBlacklisted[from])→直接禁止转账
isBot借口防机器人,实际把正常用户标记为bot限制卖出
onlyOwner关键函数只有owner能调→你的安全取决于一个人的良心
setFee / MaxTx可调手续费和最大交易量→随时调到100%
excludedFromFee某些地址免手续费→不公平交易规则
mint / burnowner可无限增发→你的份额被不断稀释
renounceOwnership没调用过→owner权限还在

即使代码里搜不到这些词也不代表绝对安全——恶意代码可能换了名字或藏在嵌套调用里。所以工具+手动最好配合用。


检测第三步:小额实物测试(最笨但最有效)

步骤操作关键点
用一个新钱包、没其他资产的地址万一有授权陷阱,不波及主钱包
买一笔极小额(几十U)别太小,低于Gas+滑点成本会出现"卖不出"的假象
立刻尝试卖出同等数量观察卖出手续费是否正常(5%以内可接受)
对比区块浏览器上其他人能否卖出别人能卖你不能→你已被单独拉黑

注意:测试通过≠一劳永逸。 合约可以在几分钟后通过升级加上黑名单。


工具的局限性,必须知道

局限说明
合约可升级现在没黑名单≠永远没有,代理合约随时能换逻辑
工具可被绕过恶意代码藏在特定条件触发或嵌套调用里,常规扫描碰不到
新币检测有延迟刚部署的合约,浏览器和工具可能没及时更新
不是所有黑名单都是恶意的USDT等合规资产也有黑名单,那是监管需要。关键看项目有没有公开说明用途和触发条件

已经中招了怎么办?

大概率追不回来。但这几步能止损:

步骤操作工具
立即撤销对该合约的所有授权Revoke.cash
剩余资产转到新安全钱包原钱包可能已被攻破
定期检查地址状态极小概率后续升级会解除,但别抱希望
社区+交易所举报Twitter、Discord曝光,向交易所提交信息

买前三步走,省下百万学费

买前三步走避坑流程,呈现工具扫描、浏览器排查和小额测试三个安全自查步骤

步骤做什么红线
① GoPlus扫一遍粘贴合约地址,看报告is_honeypotis_blacklisted亮红灯→直接放弃
② 浏览器看一眼Read Contract查owner、isBlacklisted、tradingEnabledowner没放弃+有黑名单→高风险
③ 小额试买试卖新地址买几十U,立刻卖卖不出或税率异常→跑

三步加起来不到十分钟。链上最大的自由是"我可以随时离开",黑名单剥夺的就是这个权利。花真金白银之前,先花几分钟确认——你能自由地进来,也能自由地出去。


免责声明:科普内容,不构成投资建议。工具基于公开资料整理,不代表安全担保。链上操作风险极高,资产可能永久损失,风险自担。


相关文章

检测合约增发权限的网站与工具

检测合约增发权限的网站与工具

半夜被一条消息震醒,小币社群炸了,说项目方刚刚增发了五千万枚币,价格直接腰斩。翻出合约地址扔进区块浏览器,点开Read Contract那一栏,赫然躺着一个mint函数,owner地址正是项目方钱包。...

检测代币隐藏买卖税的方法

检测代币隐藏买卖税的方法

一个代币看起来走势不错,流动性也厚实,你买入100 U试试水——交易成功,钱包多了10万个代币。准备用同样的金额卖掉获利,结果卖完10万个代币,回到钱包只有70多U。没买错,没被抢跑,全因为合约里锁了...

检测合约所有权是否已放弃的工具

检测合约所有权是否已放弃的工具

在ERC-20代币标准里,部署合约的地址会自动获得一个特权账户——所有者(Owner),它能修改代币税费、暂停交易、甚至增发代币。2026年GoPlus Security披露过一个案例:Ronaldi...

如何检测智能合约是否使用了代理模式?

如何检测智能合约是否使用了代理模式?

你向一个合约发起调用,但真正执行代码的可能不是它本身,而是背后的逻辑合约。这就是代理模式。代理合约本质上是个"壳"——不实现具体业务逻辑,把收到的所有调用通过delegatecal...

交易所安全工具全清单:2026授权撤销、反钓鱼码与风控入口一文汇总

交易所安全工具全清单:2026授权撤销、反钓鱼码与风控入口一文汇总

先说一个让人不舒服的事实2026年1月,安全研究员Jeremiah Fowler扒出一个未加密公共数据库,1.49亿条用户名密码裸奔在暗网。其中币安42万条登录凭证、欧易大量账户信息赫然在列。黑客拿到...

2026链上安全防护神器,5款刚需工具彻底杜绝盗币风险

2026链上安全防护神器,5款刚需工具彻底杜绝盗币风险

在此之前,我和绝大多数币圈散户一样,存在致命安全误区:认为只要开启交易所二次验证、不点击陌生链接,就能百分百保障资产安全。长期依赖币安自带风控系统,不配置任何第三方链上防护工具,最终在2026年二季度...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。