Panduan Keamanan Bertahan Hidup Memecoin

Risiko Sentralisasi

Baru-baru ini, insiden Dexx sekali lagi mengingatkan pengguna untuk waspada terhadap risiko sentralisasi platform. Di bagian ini, kami fokus pada menganalisis Pump.Fun, saat ini merupakan platform peluncuran memecoin terbesar:

Melalui transaksi on-chain, kami mengidentifikasi alamat kontrak Pump.Fun sebagai 6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P.
Kode kontrak ini tidak bersifat open-source dan dikontrol oleh alamat multisig (7gZufwwAo17y5kg8FMyJy2phgpvv9RSdzWtdXiWHjFr8).

Namun, setelah penyelidikan lebih lanjut, diketahui bahwa alamat multisig ini secara efektif dikendalikan oleh satu alamat tunggal (4zJkeipCFGvfcJvKm4TY57ED9uEdL3sBRvs8TPdZKG5Q), menciptakan satu titik kegagalan tunggal dan risiko sentralisasi yang signifikan.

Solscan - Alamat Kontrak Pump.Fun

Pada 17 Mei, karena masalah operasional, Pump.Fun mengalami kebocoran kunci privat, mengakibatkan kerugian sekitar $1.9 juta.

Pengelolaan yang tepat dari kunci privat proyek dan penerapan dompet multisignature (multisig) sangat penting untuk mencegah titik kegagalan tunggal.

Ketika mengeluarkan memecoin melalui Pump.Fun, pengguna harus membuat token dalam “kolam internal” menggunakan $SOL. Harga token ini selama proses pembuatan ditentukan oleh Kurva Perekatan (juga dikenal sebagai model kurva perekatan).

Untuk setiap memecoin, Pump.Fun membuat program Kurva Pengikatan yang sesuai, yang bidang datanya mencakup hal berikut:

tokenTotalSupply diatur menjadi 1 miliar token.

virtualSolReserves, virtualTokenReserves, realTokenReserves, dan realSolReserves berfungsi sebagai parameter bagi automated market maker (AMM) untuk menghitung harga token.

Setelah pengguna lain membuat 800 juta token dalam kolam internal, seluruh bidang beralih menjadi benar, setelah itu memecoin kemudian tersedia untuk perdagangan publik di kolam likuiditas di Raydium.

Dengan memeriksa data on-chain dari setiap memecoin yang diterbitkan melalui Pump.Fun, kita dapat melihat bahwa otoritas pembaruan untuk kontrak-kontrak ini adalah alamat istimewa yang dikenal sebagai Pump.Fun Token Mint Authority (TSLvdd1pWpHVjahSpsvCXUbgwsL3JAcvokwaKt1eokM), yang bertanggung jawab atas pencetakan.

Bidang mint berisi alamat dan informasi token untuk kontrak memecoin yang sesuai.

Kontrak-kontrak memecoin ini tidak memiliki fungsionalitas perpanjangan token; mereka adalah bentuk terjemahan terjemahan paling sederhana dari token SPL.

Sebagai hasilnya, tidak ada alamat istimewa yang bisa mengeksploitasi ekstensi token seperti Fitur Delegasi Tetap atau Biaya Transfer untuk merugikan pengguna yang berpartisipasi dalam perdagangan memecoin.

$Kejadian Cheems dan Kontroversi

Pada 25 November, Binance mengumumkan penambahan kontrak Cheems ke dalam daftar.

Harga token langsung melonjak 35%, tetapi dalam waktu kurang dari satu menit, turun lebih dari 60%, memicu kontroversi luas.

Dengan menganalisis transaksi on-chain dari $Cheems, ditemukan bahwa alamat yang bertanggung jawab atas penjualan adalah 0xbb8365B1BA2462ffDce9C894Ada84478f474Fefc.

Menggunakan analisis Beosin KYT (Kenali Transaksi Anda) pada alamat ini, temuan ditunjukkan di bawah ini:

Pada 25 November, alamat ini menjual sekitar 331,2 miliar $Cheems dalam waktu kurang dari satu menit melalui PancakeSwap dan agregator DEX OKX, menerima 406,21 $BNB sebagai imbalan.

Segera setelah itu, itu mendepositkan semua $BNB ke dalam akun Binance.

Diagram Aliran Dana Beosin KYT

Meskipun banyak pengguna yang mencurigai alamat ini melakukan "insider trading," analisis KYT yang lebih dalam terhadap transaksi historisnya menunjukkan bahwa kemungkinan besar ini adalah Alamat Uang Cerdas dengan sejarah aktivitas perdagangan strategis:

• Dimulai dari 18 November, alamat mulai mengumpulkan $Cheems, dan selama proses pengumpulan, juga secara berkala menjual sebagian.

• Pada 18 November, alamat tersebut membeli sekitar 131 miliar $Cheems dan, empat jam kemudian, menjual 41,3 miliar $Cheems.

• Pada 21 November, ia menarik 379,5 miliar $Cheems dari Gate.io dan menjual 175,8 miliar $Cheems dua jam kemudian di rantai.

• Pada tanggal 22 dan 23 November, terdapat operasi beli besar tambahan dan jual parsial.

Arus dana keseluruhan ditampilkan di bawah ini:

Diagram Alur Dana Beosin KYT

Alamat yang terlibat dalam kontroversi ini termasuk:

• 0xbb8365B1BA2462ffdce9c894ada84478f474fefc

• 0x0d0707963952f2fba59dd06f2b425ace40b492fe

• 0xbff62cee932fe7496a88c9193e9ba3fd5eeff46d

Saat melakukan perdagangan memecoin, pengguna mungkin juga akan menemui token penipuan "Pi Xiu" (penipuan "貔貅盘").
Sebelumnya, Beosin telah mengilustrasikan penipuan semacam itu dengan studi kasus untuk membantu pengguna memahami dan mencegah jebakan ini. Berikut adalah pemecahan lebih komprehensif tentang penipuan memecoin umum:

Token Palsu

Setiap hari, jumlah besar memecoin baru diluncurkan di berbagai blockchain, menciptakan ilusi peluang tak terbatas untuk menjadi kaya.
Sebenarnya, proyek-proyek palsu meluas, sehingga sulit bagi pengguna untuk membedakan token asli dari yang palsu.

Banyak pengembang memecoin menyalin nama dan simbol dari proyek-proyek yang sudah populer, menciptakan kontrak token baru dengan nama yang identik.
Jika pengguna gagal memverifikasi alamat kontrak dengan cermat, mereka mungkin secara tidak sengaja membeli token palsu—atau bahkan token penipuan langsung—yang mengakibatkan situasi di mana token tersebut tidak dapat dijual.

Selain itu, perselisihan dalam komunitas kripto dan di antara penerbit token mengenai penulisan nama memecoin (kapitalisasi) juga telah menyebabkan volatilitas harga yang ekstrem.

Kontroversi terbaru dan fluktuasi harga yang melibatkan $NEIRO vs. $neiro dan $ELIZA vs. $eliza menggambarkan risiko tinggi yang terkait dengan memecoin.

Pengguna harus meneliti informasi memecoin yang relevan, memantau umpan balik komunitas, dan tetap waspada terhadap potensi manipulasi pasar oleh tim proyek melalui kontrol informasi.

Pembatasan Penjualan

Selama pengalaman perdagangan memecoin, pengguna mungkin mengalami penipuan “Pi Xiu” di mana token yang mereka beli entah tidak dapat dijual atau sangat sulit untuk dijual.
Berikut adalah metode umum yang digunakan oleh penipu melalui kode kontrak pintar untuk membatasi penjualan:

(1) Mekanisme Daftar Hitam / Daftar Putih

Penerbit token dapat menyertakan fungsi daftar hitam atau daftar putih ke dalam kontrak token untuk membatasi transfer token.

Sebagai contoh, jika alamat pengguna ditambahkan ke daftar hitam, mereka mungkin dicegah untuk memanggil fungsi seperti transfer() atau transferFrom() untuk memindahkan token.

• Hanya alamat yang tidak masuk daftar hitam yang diizinkan untuk mentransfer token.

Hanya alamat yang tidak ada dalam daftar hitam yang dapat digunakan untuk mentransfer token.

(2) Manipulasi Saldo

Penerbit juga dapat memanipulasi saldo token secara langsung melalui kontrak cerdas, secara drastis menurunkan saldo token pengguna.

• Jika perubahan saldo hanya dicatat dalam penyimpanan internal kontrak, korban masih akan melihat saldo awal mereka ditampilkan pada penjelajah blockchain tetapi sebenarnya tidak dapat menjual lebih dari saldo yang dimanipulasi.

• Jika pembaruan saldo dikonfirmasi di rantai, pengguna akan melihat kepemilikan memecoin mereka secara jelas berkurang—atau bahkan menjadi nol.

Berikut contoh kode Solidity yang mengatur saldo alamat yang masuk daftar hitam menjadi nol:

Di luar ekosistem EVM, Solana juga memiliki fitur manipulasi saldo serupa melalui ekstensi Delegasi Permanen:

• Permanent Delegate adalah ekstensi token Solana resmi yang memberikan administrator wewenang untuk mentransfer atau membakar token kapan saja.

• Awalnya dirancang untuk kasus penggunaan tertentu seperti pengembalian token atau pengawasan kepatuhan stablecoin.

• Selama penciptaan token, seorang pencipta dapat menginisialisasi Delegasi Permanen melalui perintah createInitializePermanentDelegateInstruction.

Namun, karena izin Delegasi Tetap begitu luas, beberapa pelaku jahat mengeksploitasi fungsionalitas ini:

• Mereka mengeluarkan token,

• Menarik pengguna untuk membeli,

• Kemudian transfer atau hancurkan token yang dipegang pengguna untuk keuntungan.

Contoh: Menggunakan Delegasi Tetap untuk membakar token pengguna.

Gunakan Delegasi Permanen untuk menghancurkan token

(3) Ambang Batas Transaksi

Alasan lain pengguna mungkin menemukan diri mereka tidak dapat menjual memecoin adalah adanya ambang batas transaksi yang sangat ketat yang diatur dalam kontrak:

• Kontrak pintar mungkin memerlukan pengguna untuk memiliki jumlah token yang jauh melebihi apa yang sebenarnya mereka miliki untuk mengeksekusi penjualan.

• Atau mungkin memberlakukan pajak transaksi yang sangat tinggi.

Sebagai contoh, dalam potongan kode berikut, pengembang kontrak menyesuaikan parameter amountToBurn untuk memanipulasi pajak transaksi:

• Ketika parameter diatur ke 2, itu efektifnya memberlakukan pajak 50% pada setiap transaksi pengguna.

Dalam ekstensi token Solana, ada juga fitur TransferFee, yang memungkinkan pajak diterapkan pada setiap transaksi token.
Mengkonfigurasi TransferFee memerlukan pengaturan bidang berikut:

• Biaya dalam basis poin: Biaya yang dibebankan untuk setiap transfer, diukur dalam basis poin.

• Biaya maksimum: Batas atas biaya transaksi.

• Otoritas biaya transfer: Alamat yang diotorisasi untuk memodifikasi Biaya Transfer.

• Penarikan otoritas ditahan: Alamat yang diizinkan untuk mentransfer token yang ditahan dari akun token.

Karena ada batas biaya maksimum, sangat jarang bagi Solana menggunakan biaya transaksi yang berlebihan untuk membuat penipuan Pi Xiu. Sebaliknya, kerugian lebih sering disebabkan melalui transfer token atau penghancuran token.

(4) Menjeda Transaksi

Penerbit token dapat menerapkan fungsi jeda di seluruh kontrak untuk membatasi perdagangan.
Saat kontrak memasuki keadaan ditunda, fungsi transfer token menjadi benar-benar dinonaktifkan, mencegah perdagangan lebih lanjut.

Sebagai contoh, dalam potongan kode Solidity di bawah ini, transfer token hanya dapat terjadi jika kontrak tidak dijeda:

(5) Waktu Menahan Minimum

Setelah membeli sebuah memecoin, pengguna mungkin terpaksa untuk menyimpannya untuk jangka waktu minimum sebelum diizinkan untuk melakukan perdagangan.
Masa simpanan ini ditetapkan sewenang-wenang oleh penerbit token, dan mereka dapat mengubahnya kapan saja.
Dengan menetapkan waktu penahanan yang sangat lama, pengguna dapat efektif terperangkap dan dicegah dari menjual.

Contoh potongan Solidity:

Mekanisme Biaya Unik

Setelah pengguna membeli memecoin, tidak akan dikenakan biaya penanganan saat melakukan perdagangan dengan pengguna lain. Ketika dijual melalui DEX (seperti Uniswap), biaya penanganan akan dikenakan. Selain dari penjualan, pendapatan pengguna dari menambah likuiditas atau berpartisipasi dalam staking juga akan terpengaruh.

Sebagai contoh, dalam contoh kode Solidity di bawah ini, transfer hanya akan mengenakan biaya transaksi token jika alamat tujuannya adalah alamat kontrak.

Atau biaya penanganan tidak dikurangkan dari jumlah transfer, tetapi juga mengurangi saldo pengirim. Begitu metode ini tidak ditangani dengan benar, itu akan sangat memengaruhi harga di DEX, menyebabkan nilai token kembali ke 0.

Pengurangan tambahan dalam saldo dari alamat pengirim

Pencetakan Token

Mencetak token adalah cara umum untuk melakukan penarikan karpet.

Jika pemilik kontrak atau alamat istimewa memiliki hak mencetak, mereka dapat mengeluarkan token tambahan dan menjualnya untuk keuntungan.

Ini adalah risiko yang sering terjadi di seluruh ekosistem EVM, Solana, dan TON.

Berikut adalah contoh fungsi mint dari token Jetton di TON yang mencakup kemampuan pencetakan.

Pemberian Token Terpusat

Distribusi token terpusat adalah risiko utama di mana tim proyek mengontrol sebagian besar pasokan token.

• Mereka dapat memanipulasi keputusan tata kelola melalui pemungutan suara token.

• Mereka juga dapat menggerakkan pasar dengan melakukan pembelian atau penjualan besar.

Contoh: Dalam Solidity, semua token mungkin dialokasikan ke alamat pengembang saat kontrak diciptakan:

Peningkatan Proxy

Menggunakan kontrak proxy adalah desain kontrak pintar yang umum yang memungkinkan logika ditingkatkan tanpa mengubah struktur penyimpanan.
Sementara ini meningkatkan fleksibilitas, itu juga memperkenalkan risiko serius:

• Penerbit dapat sewenang-wenang memodifikasi logika kontrak,

• Potensial menyebabkan kerugian atau pencurian aset pemegang token.

Contoh: Dalam Solidity, seorang admin dapat memperbarui alamat logika:

Bagaimana Tetap Aman?

Dengan penipuan merajalela selama gejolak memecoin, pengguna harus ekstra waspada.
Tim keamanan Beosin merekomendasikan:

1. Tetaplah Rasional
   Berhati-hatilah terhadap narasi memecoin 'mendadak kaya' dan histeria influencer.
   Tetaplah rasional setelah token baru diluncurkan di DEX—hindari FOMO dan mengikuti buta.

2. Jangan Percaya pada "Tips dari Orang Dalam" atau "Berita Rahasia"
   Ini seringkali perangkap yang dirancang untuk memikat pengguna ke dalam investasi berisiko tanpa penelitian yang memadai.

3. Sebelum Membeli Token Apapun, Verifikasi Poin-Poin Kunci Ini:

   • Apakah kontrak token open-source?
   • Apakah itu memiliki laporan audit?
   • Apakah itu menggunakan mekanisme daftar hitam/daftar putih?
   • Apakah ada pajak transaksi? Bagaimana cara pengumpulannya?
   • Apakah ada mekanisme jeda?
   • Apakah ada pembatasan khusus (misalnya, waktu penahanan minimum, batasan jumlah transfer)?
   • Fungsi apa yang dapat dipanggil oleh pemilik kontrak? Apakah hak istimewa terlalu tinggi?
   • Apakah kontrak menggunakan pola proxy?
   • Bagaimana otoritas pemilik kontrak dikelola (multisig atau ditinggalkan)?

4. Gunakan Alat Deteksi Risiko
   Banyak platform dan alat menyediakan pemeriksaan kontrak otomatis.
   Selalu silangkan referensi dari beberapa sumber sebelum trading.
   Alat yang direkomendasikan:

   • Honeypot
   • Token Sniffer
   • OKX Pasar Web3 DEX
   • GoPlus
   • Pemindai De.Fi
   • Ekstensi Chrome Peringatan Beosin

Ringkasan

Dalam artikel ini, kami merangkum praktik jahat umum di dunia memecoin.

Meskipun ada peluang dan kegembiraan, memecoin datang dengan berbagai perangkap.

Pengguna harus tetap sangat waspada dan hati-hati saat trading memecoin untuk meminimalkan risiko kerugian keuangan.

Di dunia Web3, keamanan selalu menjadi prioritas utama.

Penafian:

1. Artikel ini adalah hasil cetak ulang dari [ForesightNews], dengan hak cipta milik penulis asli [Beosin].
   Jika ada keberatan terhadap pembaruan, silakan hubungiGate Belajartim untuk penanganan yang cepat.

2. Penolakan: Pandangan dan opini yang terdapat dalam artikel ini semata-mata milik penulis dan tidak merupakan nasihat investasi.

3. Versi bahasa lain dari artikel ini telah diterjemahkan oleh tim Gate Learn. Menyalin, mendistribusikan, atau menjiplak artikel yang telah diterjemahkan tanpa menyebutkanGate.iodilarang.