干货，技术分析：拉菲LAF所谓丢弃权限，实则留有后门，实际掌控权仍在项目方手中！

后台很多兄弟姐妹都让金手指聊一聊拉菲协议，拉菲协议，奥拉丁，ark，akas这些项目，本质都一样，只不过因为体量大小不同，中间过程走势略有不同，但是最终结局，都一样。

那就是归零。

一：盘面理解

尤其是最近各个协议都推出超长期债券，有的甚至长达720天，两年时间。越是这种时候，越说明市场后继力量不足，聪明人都在分阶段撤出，只有被洗脑的在卖房卖车加仓进场。

我知道如果你说项目不好，是骗局，在这种每天都赚钱，且暴涨了几十倍的情况下，你是根本听不进去的。

所以金手指换个角度来给大家讲拉菲协议这件事。

一个项目，运行了一年，价格涨了几十倍上百倍，里面每个人都赚了几十倍上百倍的话，那么一定是有人高价买单的，对吧，谁会是那个买单的人？

一个项目，如果想要长久的运行下去，一定会有回调，那么涨了一年多，回调一下，是不是也很合理？

你是不是应该在回调之前，撤出来观望一下，如果真的出现回调了，再进场布局，是不是更理性，未来的收益预期更大？

金手指观察几天拉菲的底池和持币地址情况，最近一段时间持币地址只增加了200多个，底池金额只增加了150W，基于6100万的底池基数，按照每天1%增加，1%还只是最基本的静态收益，在这个盘子里动态远远高于静态。这个增幅是完全不够的，可以说现在的盘面状况是有资方再撤资，入金远远小于出金。

尤其是年关将至，传统思维都要回笼资金，当大团队开始撤离的时候就是币价暴跌的时候，就是每天投资者面临财产损失的时候。

二：技术侦察

首先我们可以在代币页面可以直观看出该币有严重的风险提示。

1. 铸币权：也就是增发代币的权限，丢弃后无法再铸造新币。

2. 元数据修改权：更改代币的名称、符号、图标URI等关键信息的权限，丢弃后代币基础信息固定无法更改。

3. 冻结权：可冻结指定账户的代币使其无法转账，丢弃后项目方不能干预用户账户转账。

4. 合约管理与修改权：修改合约核心规则（如交易税率）、升级合约逻辑等权限，丢弃后合约规则固定，无法再通过后门或修改代码操控。

5. 特殊账户操作权限：像关闭账户权限，丢弃后项目方不能再关闭代币账户、转出账户内剩余代币等，丢弃后会失去对应代币账户的所有权与管理权。

这里我是相信拉菲丢弃了大部分权限的，而且相信是链上智能合约执行，因为dapp已经不能登陆，不需要从dapp执行，直接从链上智能合约执行，但不代表项目方失去了对拉菲项目的控制权。

所以又回来了，项目方是留有后门的，真正的合约权限看似丢弃，实际并没有达成，关键问题出在代币合约里面。

直接放弃去看dapp代码，漏洞一堆，这里就不过多的去讲述了，因为dapp已经弃用了。

直接切入主题，我通过代币合约去链上调取了拉菲LAF的链上智能合约代码，只需要去分析智能合约代码就可以了，才能看到其本质！

金手指把合约代码拿去整个过了一遍，如果懂技术的也可以自行检测，得出的结论是如下：

1. 权限过度集中，项目方拥有无限控制权，并非所说的丢弃权限。

• Owner 无限控制权：合约所有关键功能（setPresale、setColdTime、setSwapAtAmount、multi_bclist 等）均仅需 onlyOwner 权限，无时间锁、多签或社区投票机制。

可通过 setMarketingAddress/setProfitAddress 更换资金接收地址，截留手续费或挖矿收益；

可通过 multi_bclist 将任意地址加入 _rewardList，禁止其转账（_transfer 中判断 isReward(sender) == 0），变相冻结用户资产。

2. 资金控制权隐患，项目方可合约直接操作用户相关资金。

合约可直接操作用户相关资金：

_transfer 函数中，合约可自动扣除用户交易手续费，并将费用转入自身地址后兑换 USDT；

swapProfit 函数可将用户卖出时产生的利润分成直接转入 profitAddress 或推荐人地址，无透明的收益分配规则；

recycle 函数允许 STAKING 地址从 Uniswap 交易对中提取最多 1/3 代币转入自身，存在恶意抽池风险。

无资金流向审计痕迹：所有手续费兑换、流动性添加均由合约自动执行，无第三方审计或公示机制，Owner 可通过修改接收地址转移资金。

3. 项目方可以通过合约限制用户交易与冻结用户交易

合约地址转账限制：_transfer 中禁止向非 Uniswap 交易对的合约地址转账（!Helper.isContract(recipient) || uniswapV2Pair == recipient），用户若误将代币转入其他合约（如钱包合约、质押合约），资产将永久锁定；

买入冷却与卖出限制：

买入后需等待 coldTime 才能卖出，Owner 可将冷却时间改为任意值（如 1 年），变相锁定用户卖出权；

单次买卖限制为池内代币总量的 10%，但 Owner 可通过修改代码逻辑（无防篡改）绕过该限制。

总结：

以上技术查询反馈，该合约属于高风险中心化合约，Owner 拥有绝对控制权，可随意修改规则、截留资金、冻结用户资产，符合“诈骗合约”的典型特征；

项目方可以随时调用合约代码来控制资金和用户的账户，属于完美中心化的分红盘，只是从传统的APP搬到链上执行，给人的感觉是丢弃权限，实际并没有。