怕被「拉黑、增發、蜜罐」坑殺？零基礎學會檢查智能合約權限，五分鐘完成風險自檢

加密世界裡「交易不可逆、程式碼即規則」。如果你對智能合約一竅不通，但又不想被「拉黑、增發、蜜罐」這類惡意權限坑慘，PandaTool給你一套可馬上上手、將風險降到最低的自檢流程——全部都是人人可用的操作，不需要看懂一行 Solidity 程式碼。

為什麼要在意「權限」？

簡單一句話：如果合約還有「Owner/權限」並且未被放棄，背後的人隨時可能改規則（增發、暫停轉帳、把你拉黑、把流動性抽走等）。區塊鏈的透明性在這裡是雙面刃——你可以去查，但也必須會查。

一步步實操（非開發者也能做）

先用自動化掃描器做第一道把關（快速、低門檻）
把代幣合約地址丟進 Token Sniffer、GoPlus Security 這類平台，得到初步風險報告（會告訴你合約是否可疑、是否有常見危險函數、持幣分布異常等）。這是入門必做的「第一篩」。這些工具覆蓋多條鏈並給出直觀結論，適合快速篩查。
到鏈上瀏覽器驗證合約「是否已公開並驗證源碼」
在 Etherscan / BscScan / 相應鏈的區塊瀏覽器上，查合約頁面：看「Contract / Code」標籤是否已驗證（Verified），以及是否能在介面看到合約源碼和「Owner」資訊。源碼未驗證或一堆「Unknown」標記即為高風險信號。Etherscan 提供了合約驗證與源碼上傳的說明，確認合約源碼可見是判斷的關鍵一步。
查「Owner / 權限」有沒有被收回或放棄
在合約頁面或透過自動檢測，會顯示合約是否有 owner/admin 地址，且是否有 renounceOwnership() 或類似功能已呼叫。只要專案方沒明確放棄權限，就存在被操控的風險（例如隨時增發或凍結）。這一點可以透過 Etherscan 的「Read/Write Contract」或審計/掃描器介面快速查看。
看流動性（LP）是否「真正鎖定」
流動性沒鎖、或者所謂「鎖」來自不知名地址，是 rug-pull（跑路）的常見方式。到專門的流動性鎖平台或專案鎖倉頁面核實（如 Unicrypt / UNCX 等），確認 LP token 的鎖定合約地址、解鎖時間是否真實、能否在他們的 UI 上查到具體鎖倉記錄。若找不到鎖倉證明或鎖倉時間很短，要高度警惕。
看持幣分布與大戶持倉（是否被控盤）
在區塊鏈瀏覽器或 DEX/數據平台查看持幣前幾位地址佔比。如果前幾名地址合計持有絕大多數代幣，專案被控盤或「鯨」操縱的風險極大。工具和圖表（如 DEXTools、區塊瀏覽器的 holders 標籤）都能一目了然地反映這一點。
做「小額試水」與「真實操作前再核對」
在無法百分百確認安全時，先用極小金額（比如 0.0001 ETH）試轉，確認對方地址、交易是否按預期到達，且能賣出/撤出流動性。請務必完整複製貼上地址，不要只看前後幾位。很多受害者就是因為只核對「尾號」而中招。
看社區與審計：有無第三方審計、用戶回饋如何
有審計機構（如 CertiK、PeckShield 等）的審計報告能降低風險（但不等於零風險）。同時在 Twitter/Reddit/Telegram/知乎等搜尋合約地址或代幣名，看是否有人舉報「無法賣出」「被拉黑」「合約可增發」等問題。用戶回饋往往比白皮書更實在。
關注「常見危險函數」——即便不懂程式碼，也要知道關鍵詞
如果使用掃描器或區塊鏈瀏覽器看到合約內出現像 mint, burnFrom, blacklist, pause, updateTax, transferFrom 等函數，且這些函數由 owner 控制，這通常意味著存在被隨意操縱的風險（增發、凍結、設置高稅等）。掃描器會提示這些風險點，留意它們的存在。

實用工具清單（入口即用）

Token Sniffer： 代幣合約的快速「味道」檢測（可檢測常見騙局模式）。
GoPlus Security（GPS）： 錢包/交易/代幣即時風險檢測，用戶端工具。
Etherscan / BscScan / Solscan： 合約源碼驗證、owner 狀態、holders、交易記錄的鏈上來源。
Unicrypt / UNCX / Team.Finance： 流動性鎖（Liquidity Lock）查詢與證明頁面，確認 LP 是否被鎖定及解鎖時間。
DEXTools / DEX 瀏覽器： 查看交易深度、持倉分布、買賣差異等資訊（可輔助判斷「蜜罐/稅率/限制賣出」情況）。（可透過常用 DEX 數據平台查詢）