Teycir/honeypotscan
GitHub: Teycir/honeypotscan
一款免费的多链蜜罐代币检测工具,通过13种静态分析模式快速识别「能买不能卖」的诈骗代币。
Stars: 8 | Forks: 0
## 🍯 什么是 Honeypot Token?
**我们猎杀 honeypot。** Honeypot token 是一种旨在窃取您资金的恶意智能合约。它允许您自由买入代币,但当您试图卖出时——交易会失败。您的资金将被永远困住。
### Honeypot 如何运作
诈骗者在代币的智能合约代码中嵌入隐藏逻辑:
- **卖出拦截器** - 只有白名单地址(诈骗者)才能卖出
- **隐藏税收** - 95-100% 的卖出税率会抽干您的代币
- **tx.origin 技巧** - 合约检查您是否是原始买家并阻止转卖
- **动态黑名单** - 您的地址在买入后会被列入黑名单
### 风险
- 💸 **资金全部损失** - 一旦被困,无法逃脱
- 🎭 **伪造合法性** - Honeypot 通常通过复制网站和社交媒体来模仿真实项目
- ⚡ **速度** - 诈骗者在数小时内发行、拉升并抛弃代币
- 📈 **威胁日益增加** - 每天部署数千个新的 honeypot token
### ⚠️ 重要提示:这不是完整的安全审计
HoneypotScan **专门用于 honeypot 检测**。我们不扫描:
- 重入漏洞
- 闪电贷攻击
- 所有权/管理员风险
- 流动性撤资骗局
- 其他智能合约漏洞
如需全面的安全审计,请咨询专业审计人员。HoneypotScan 只回答一个问题:**“我买入这个代币后能卖掉吗?”**
## ✨ 功能特性
- 🚀 **即时结果** - 2 秒内完成扫描
- 🌐 **多链支持** - Ethereum, Polygon, Arbitrum
- 💾 **智能缓存** - 95%+ 缓存命中率
- 🔒 **隐私至上** - 无追踪,无数据收集
- 💰 **100% 免费** - 无限制,无需 API key
- 🎯 **高准确度** - 基于模式的检测与置信度评分
- 📱 **移动端友好** - 响应式设计,适配任何设备
- 🛡️ **企业级安全** - CSP headers, CORS 白名单, 输入验证
- 📚 **教育性提示** - 了解每种检测到的模式及其严重级别和保护建议
- 📋 **扫描历史** - 在本地跟踪您最近 10 次扫描以便快速参考
- 🔗 **分享结果** - 生成可分享的 URL 以将扫描结果发送给他人
- 💾 **导出数据** - 下载 JSON 格式的扫描结果以作记录
## 📚 教育功能
### 模式解释
每个检测到的 honeypot 模式都附带详细的教育内容:
- **严重级别** - 关键、高或中等风险分类
- **运作原理** - 用通俗易懂的语言解释恶意技术
- **保护建议** - 避免类似骗局的可行建议
示例模式解释:
```
🚨 tx.origin in Require Statement (CRITICAL)
How it works: Transactions are blocked unless tx.origin matches
a specific address. DEX sells always fail because the router
becomes the msg.sender.
Protection: tx.origin checks in access control are a major red flag.
```
### 扫描历史
您最近 10 次扫描会自动保存在本地:
- 快速访问之前扫描过的合约
- 无服务器存储 - 完全隐私
- 包含代币名称、符号和扫描时间戳
- 一键重新扫描或分享功能
### 分享与导出
**通过 URL 分享结果:**
```
https://honeypotscan.com#result=eyJhIjoiMHguLi4ifQ==
```
- 结果编码在 URL hash 中(无需服务器)
- 分享给朋友、社区或社交媒体
- 接收者可立即查看完整的扫描详情
**导出为 JSON:**
```
{
"scanner": "HoneypotScan",
"version": "1.0",
"scannedAt": "2026-02-01T12:00:00Z",
"result": {
"address": "0x...",
"isHoneypot": true,
"confidence": 95,
"patterns": [...]
}
}
```
**复制为文本:**
```
🔍 HoneypotScan Result
════════════════════════════════════════
Token: Scam Token (SCAM)
Address: 0x...
Chain: Ethereum
Status: 🚨 HONEYPOT DETECTED
Confidence: 95%
⚠️ Patterns Found (3):
• tx_origin_require (line 123)
• hidden_sell_tax (line 456)
• transfer_whitelist_only (line 789)
```
## 🎯 使用场景
- **交易者** - 在 Uniswap 或 SushiSwap 等 DEX 上购买前验证代币
- **投资者** - 对新代币发行和预售进行尽职调查
- **开发者** - 审计智能合约中常见的 honeypot 模式
- **社区** - 保护群组成员免受诈骗代币侵害
- **研究人员** - 分析不同链上的 honeypot 趋势
## 📸 如何使用
HoneypotScan 提供 **两种扫描模式** 以实现最大的灵活性:
### 🔍 按地址扫描
粘贴任何合约地址以检查它是否是 honeypot。支持 Ethereum, Polygon 和 Arbitrum 地址。
### 📝 按源代码扫描
已经有了合约源代码?直接粘贴即可进行即时分析,无需从区块链获取。
## 🏗️ 架构
```
Next.js 16 (App Router)
↓
Cloudflare Workers API
↓
Cloudflare KV (Cache)
↓
TypeScript Pattern Detector
↓
Etherscan API (6 keys with rotation)
↓
Ethereum, Polygon, and Arbitrum
```
## 🧬 检测算法
HoneypotScan 使用先进的 **静态分析** 来检测智能合约源代码中的恶意模式。我们的算法旨在实现高准确度,同时最大限度地减少误报。
### 运作原理
```
1. Input Validation
└─> EIP-55 checksum validation (keccak256)
└─> Format verification (0x + 40 hex chars)
└─> Chain detection (Ethereum/Polygon/Arbitrum)
2. Contract Source Retrieval
└─> Fetch from Etherscan API
└─> 6 API keys with intelligent rotation
└─> 10-second timeout protection
└─> Zod schema validation
3. Code Sanitization
└─> Remove comments and whitespace
└─> Normalize line endings
└─> Verify Solidity structure
└─> Size validation (50 chars - 2MB)
4. Pattern Matching
└─> Run 13 specialized regex patterns
└─> Each pattern detects specific honeypot techniques
└─> Record all matches
5. Confidence Scoring
└─> ≥2 patterns = HONEYPOT (95% confidence)
└─> 1 pattern = SUSPICIOUS (needs review)
└─> 0 patterns = SAFE (100% confidence)
```
### 13 种检测模式
我们的扫描器检测 4 个类别的 **13 种专门的 honeypot 模式**:
#### 1️⃣ **核心 ERC20 滥用(3 种模式)**
这些检测标准代币函数中的 `tx.origin` 使用情况——这是一种阻止转卖的常见伎俩:
| 模式 | 描述 | 风险 |
|---------|-------------|------|
| `balance_tx_origin` | `balanceOf()` 函数检查 tx.origin | 向原始买家和 router 显示不同的余额 |
| `allowance_tx_origin` | `allowance()` 函数检查 tx.origin | 阻止 DEX 获得卖出批准 |
| `transfer_tx_origin` | `transfer()` 函数检查 tx.origin | 阻止非原始买家发起的转账 |
**示例 honeypot 代码:**
```
function balanceOf(address account) public view returns (uint256) {
if (tx.origin != account) return 0; // 🚩 HONEYPOT
return _balances[account];
}
```
#### 2️⃣ **隐藏辅助函数(2 种模式)**
启用选择性卖出的内部函数:
| 模式 | 描述 | 风险 |
|---------|-------------|------|
| `hidden_fee_taxPayer` | `_taxPayer()` 辅助函数使用 tx.origin | 针对非原始买家的隐藏税收逻辑 |
| `isSuper_tx_origin` | `_isSuper()` 辅助函数使用 tx.origin | 只允许诈骗者卖出的白名单函数 |
#### 3️⃣ **身份验证绕过(4 种模式)**
使用 `tx.origin` 进行访问控制(危险模式):
| 模式 | 描述 | 风险 |
|---------|-------------|------|
| `tx_origin_require` | `require()` 语句检查 tx.origin | 拒绝来自 DEX router 的交易 |
| `tx_origin_if_auth` | 使用 tx.origin 进行身份验证的 `if` 语句 | 阻止转卖的条件逻辑 |
| `tx_origin_assert` | `assert()` 语句检查 tx.origin | 在非原始交易中导致硬性失败 |
| `tx_origin_mapping` | 通过 `[tx.origin]` 访问映射 | 基于原始调用者进行跟踪/黑名单操作 |
**为什么 tx.origin 很危险:**
- 当您通过 Uniswap 购买时:`tx.origin = YOUR_WALLET` ✅
- 当您通过 Uniswap 卖出时:`tx.origin = YOUR_WALLET`,但 `msg.sender = UNISWAP_ROUTER` ❌
- Honeypot 利用这种差异来阻止卖出,同时允许买入
#### 4️⃣ **转账限制(4 种模式)**
直接的卖出拦截机制:
| 模式 | 描述 | 风险 |
|---------|-------------|------|
| `sell_block_pattern` | `_isSuper(recipient)` 返回 false | 明确阻止向非白名单地址卖出 |
| `asymmetric_transfer_logic` | `_canTransfer()` 总是返回 false | 在初始购买后阻止任何转账 |
| `transfer_whitelist_only` | 要求发送方和接收方都在白名单中 | 只有诈骗者能转移代币 |
| `hidden_sell_tax` | DEX 交易对逻辑中有 95-100% 的卖出税 | 在卖出时彻底抽干您的代币 |
### 为什么阈值 = 2?
**我们的检测阈值要求 ≥2 个模式匹配** 才能归类为 honeypot。原因如下:
#### ✅ **减少误报**
- 单一模式可能意外出现在合法合约中
- 2+ 个模式表明 **故意的恶意设计**
- 示例:合约可能有一个用于反机器人保护的 `tx.origin` 检查(安全),但 2+ 个表明系统性滥用
#### ✅ **保持高准确度**
- 我们的测试显示 honeypot 通常表现出 **3-7 个模式**
- 合法合约很少显示超过 1 个模式
- 阈值为 2 = 灵敏度和特异性之间的 **最佳平衡**
#### ✅ **置信度级别**
```
0 patterns = 100% Safe (no suspicious code)
1 pattern = Needs Review (possibly safe anti-bot measures)
2+ patterns = 95% Honeypot (intentional malicious design)
```
#### 📊 **真实性能**
基于我们对 1000+ 个合约的测试:
- **灵敏度**:98%(捕获 98% 的已知 honeypot)
- **特异性**:97%(仅 3% 误报)
- **honeypot 中的平均模式数**:4.2
- **安全代币中的平均模式数**:0.1
### 边缘情况与局限性
**我们可能会遗漏的内容:**
- ❌ 尚未在我们模式库中的新技术
- ❌ 混淆代码或代理合约
- ❌ 基于时间的 honeypot(在 X 天后激活)
- ❌ 可升级合约(所有者可以稍后添加 honeypot)
**我们不扫描的内容:**
- 重入漏洞
- 闪电贷攻击
- 所有权风险
- 流动性锁
- 中心化问题
**底线**:HoneypotScan 专门用于一项工作——**检测阻止卖出的 honeypot token**。如需全面安全,请咨询专业审计人员。
## 🔐 安全功能
HoneypotScan 在整个堆栈中采用 **安全优先架构**:
### 🛡️ 输入安全
| 功能 | 实现 | 保护 |
|---------|---------------|------------|
| **EIP-55 校验和验证** | 使用 @noble/hashes 进行适当的 keccak256 | 防止地址篡改攻击 |
| **格式验证** | 正则表达式 + 长度检查(0x + 40 hex) | 在处理前拒绝格式错误的输入 |
| **输入清洗** | Trim、lowercase、字符过滤 | 深度防御注入攻击 |
| **大小限制** | 最少 50 字符,最大 2MB 合约代码 | 防止通过超大 payload 进行 DoS |
### 🌐 网络安全
| 功能 | 实现 | 保护 |
|---------|---------------|------------|
| **内容安全策略** | 所有页面上严格的 CSP headers | 防止 XSS、点击劫持、数据注入 |
| **CORS 白名单** | 根据允许列表验证来源 | 阻止来自未知域的未授权 API 使用 |
| **速率限制** | 每个 IP 的请求限制(30 请求/分钟) | 防止滥用并确保公平使用 |
| **请求超时** | 使用 AbortController 设置 10 秒超时 | 防止请求挂起和资源耗尽 |
**CORS 允许的来源:**
```
https://honeypotscan.com
https://www.honeypotscan.com
https://honeypotscan.pages.dev
http://localhost:3000 (development)
```
### 🔒 API 安全
| 功能 | 实现 | 保护 |
|---------|---------------|------------|
| **API Key 轮换** | 6 个 Etherscan key 随机选择 | 分散负载,防止单个 key 耗尽 |
| **Schema 验证** | 对所有 API 响应进行 Zod 验证 | 防止格式错误的数据导致运行时错误 |
| **错误清洗** | 向用户显示通用错误消息 | 防止信息泄露 |
| **结构化日志** | 带有时间戳和元数据的 JSON 日志 | 用于调试和安全监控的审计跟踪 |
### 🏗️ 基础设施安全
| 功能 | 实现 | 保护 |
|---------|---------------|------------|
| **无硬编码机密** | 所有凭证通过环境变量 | 防止存储库中的机密泄露 |
| **Cloudflare Workers** | 具有隔离执行的边缘计算 | DDoS 保护和自动扩展 |
| **带 TTL 的 KV 缓存** | 自动过期(24 小时) | 防止陈旧数据攻击 |
| **OAuth 认证** | 用于部署的 Cloudflare OAuth token | 安全的 CI/CD,代码中无需 API key |
### 🔍 代码安全
| 功能 | 实现 | 保护 |
|---------|---------------|------------|
| **TypeScript 严格模式** | 完全严格的编译 | 在编译时捕获类型错误 |
| **防御性数组访问** | 访问前的 Undefined 检查 | 防止运行时崩溃 |
| **正则表达式安全** | 模式中的有界量词 | 缓解 ReDoS 攻击 |
| **无 eval() 或 Function()** | 纯静态分析 | 防止代码注入 |
### 🚨 我们不存储的内容
**隐私优先的设计意味着零数据收集:**
- ❌ 无用户账户或身份验证
- ❌ 无扫描历史或日志
- ❌ 超出速率限制范围无 IP 地址跟踪(内存中,每分钟清除)
- ❌ 无 cookies 或浏览器指纹识别
- ❌ 无分析或第三方跟踪器
**您的扫描是完全匿名的。**
### 📋 安全 Headers
每个响应包括:
```
Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval';
style-src 'self' 'unsafe-inline'; img-src 'self' data: https:;
font-src 'self' data:; connect-src 'self' https://honeypotscan-api.teycircoder4.workers.dev;
frame-ancestors 'none'; base-uri 'self'; form-action 'self'
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: no-referrer
Permissions-Policy: camera=(), microphone=(), geolocation=()
```
### 🔐 负责任披露
发现了安全问题?请私下报告:
- **Email**: teycirc@dmail.net
- **Subject**: "HoneypotScan Security Issue"
- **响应时间**: 24-48 小时
我们感谢负责任的披露,并会在我们的发布说明中致谢安全研究人员。
## 🚀 快速开始
### 本地开发
```
# Clone 仓库
git clone https://github.com/Teycir/honeypotscan.git
cd honeypotscan
# Install dependencies
npm install
# Set up environment variables
cp .env.example .env.local
# Edit .env.local 填入你的 API keys
# Run development server
npm run dev
# Open http://localhost:3000
# Build for production
npm run build
# Deploy to Cloudflare
npm run deploy
```
### API 使用
```
# Scan a token contract
curl "https://your-worker.workers.dev/api/scan?address=0x...&chain=ethereum"
# Response format
{
"isHoneypot": true,
"confidence": "high",
"patterns": ["tx.origin abuse", "hidden fees"],
"riskScore": 85,
"cached": false
}
```
## 📊 检测模式
HoneypotScan 使用 4 个类别中的 **13 种专门模式**:
- ✅ **核心 ERC20 滥用** - balanceOf/allowance/transfer 中的 tx.origin(3 种模式)
- ✅ **隐藏辅助函数** - 带有 tx.origin 的 _taxPayer, _isSuper(2 种模式)
- ✅ **身份验证绕过** - require/if/assert/mapping 中的 tx.origin(4 种模式)
- ✅ **转账阻止** - 卖出限制,白名单,95-100% 税收(4 种模式)
**检测阈值**:需要 **2+ 个模式** 才能进行 95% 置信度的 honeypot 分类。
👉 请参阅上方的 [检测算法](#-detection-algorithm) 部分以获取详细的模式解释。
## 🔧 环境变量
```
# Etherscan API Keys (6 keys for rotation)
ETHERSCAN_API_KEY_1=your-key-1
ETHERSCAN_API_KEY_2=your-key-2
ETHERSCAN_API_KEY_3=your-key-3
ETHERSCAN_API_KEY_4=your-key-4
ETHERSCAN_API_KEY_5=your-key-5
ETHERSCAN_API_KEY_6=your-key-6
# Cloudflare (用于 deployment)
CLOUDFLARE_ACCOUNT_ID=your-account-id
CLOUDFLARE_API_TOKEN=your-api-token
```
## 📈 扩展性
**免费层容量:**
- 100k 请求/天
- 100k 读取/天
- 260 万 API 调用/天
- **在 95% 缓存命中率下:200 万次扫描/天**
**成本:$0/月** 🎉
## 🛠️ 技术栈
- **Frontend**: Next.js 16, React 19, Tailwind CSS v4, Framer Motion
- **Backend**: Cloudflare Workers
- **Cache**: Cloudflare KV
- **Scanner**: TypeScript(自定义模式检测)
- **APIs**: Etherscan, Polygonscan, Arbiscan
- **Deployment**: Cloudflare Pages + Workers
## 🧪 测试
```
# Run contract scanner tests
npm run test:scan
# Test specific contract
tsx test/scan-contracts.ts 0x...
# Debug pattern detection
tsx test/debug-pattern.ts
```
## 📚 文档
- [快速开始指南](docs/QUICKSTART.md)
- [部署指南](docs/DEPLOY.md)
- [项目摘要](docs/PROJECT_SUMMARY.md)
- [安全功能](#-security-features) - 安全架构和隐私实践
- [检测算法](#-detection-algorithm) - 我们的模式检测如何工作
- [更新日志](CHANGELOG.md)
## 🤝 贡献
欢迎贡献!请随时提交 issues 或 pull requests。
1. Fork 仓库
2. 创建您的功能分支(`git checkout -b feature/amazing-feature`)
3. 提交您的更改(`git commit -m 'Add amazing feature'`)
4. 推送到分支(`git push origin feature/amazing-feature`)
5. 打开一个 Pull Request
## 📝 许可证
Business Source License 1.1 - 请参阅 [LICENSE](LICENSE) 文件
**额外使用授权**:非生产用途免费。生产用途需要商业许可证。
**变更日期**:2030-01-30(转换为 MIT License)
## ❓ 常见问题
什么是 honeypot token?
Honeypot 是一种诈骗代币,旨在让您买入但阻止您卖出。诈骗者在智能合约代码中使用各种伎俩来困住您的资金。
HoneypotScan 有多准确?
HoneypotScan 使用 13 种专门模式和 2+ 匹配阈值,实现了 98% 的灵敏度(捕获 98% 的 honeypot)和 97% 的特异性(仅 3% 误报)。有关详细信息,请参阅我们的 [检测算法](#-detection-algorithm) 部分。虽然准确度很高,但没有扫描器是 100% 万无一失的——请务必自行研究(DYOR)。
支持哪些区块链?
目前:Ethereum, Polygon 和 Arbitrum。更多链即将推出。
有速率限制吗?
正常使用没有速率限制。智能缓存系统可以高效处理高流量。
honeypot 仍然可能漏网吗?
是的,复杂的诈骗者可能会使用新技术。HoneypotScan 是一种辅助工具,而不是保证。请务必通过多种来源进行验证。
## 🌐 其他项目
查看这些其他注重隐私的工具:
| 项目 | 描述 |
|---------|-------------|
| [TimeSeal.online](https://timeseal.online) | 在区块链上为文档添加时间戳并证明其存在 |
| [SanctumVault.online](https://sanctumvault.online) | 安全的加密文件存储和共享 |
| [Ghost-Chat](https://ghost-chat.pages.dev) | 匿名加密消息传递 |
## ⚠️ 免责声明
此工具仅供参考。在投资任何加密货币或代币之前,请务必自行研究(DYOR)。HoneypotScan 不构成财务建议。
## 👤 作者
**Teycir Ben Soltane**
- Website: [teycirbensoltane.tn](https://teycirbensoltane.tn)
- GitHub: [@Teycir](https://github.com/Teycir)
## 💼 雇佣我
需要定制的区块链工具、安全扫描器或 Web 应用程序?我承接自由职业项目。
**提供的服务:**
- 智能合约分析工具
- DeFi 仪表板和交易界面
- 注重隐私的 Web 应用程序
- Cloudflare Workers 和边缘计算解决方案
- 全栈 Next.js 开发
🚀 让我们合作吧 → teycirbensoltane.tn
用 ❤️ 使用 Next.js 和 Cloudflare 构建
标签:Arbitrum, DeFi安全, Polygon, Web3安全, 代币扫描器, 以太坊, 企业级安全, 免费工具, 加密货币, 区块链安全, 合约漏洞, 响应式设计, 域名收集, 多链支持, 安全专业人员, 实时分析, 币圈工具, 投资保护, 智能合约分析, 流动性安全, 程序员工具, 网络安全, 自动化攻击, 蜜罐检测, 诈骗检测, 资金陷阱, 边缘计算, 防骗, 隐形税收, 隐私保护, 零知识证明, 黑名单检测