rounded

Penulis: Beosin

Memecoin tahun ini selalu menjadi fokus pasar kripto dan berbagai ekosistem blockchain utama. Sejak awal tahun, banyak Memecoin yang melonjak pesat dan platform peluncuran Memecoin Pump.Fun muncul di ekosistem Solana, menarik banyak pengguna untuk berpartisipasi dalam penerbitan dan perdagangan berbagai token Meme. Perdagangan memecoin di ekosistem lainnya juga sangat ramai, seperti SunPump di ekosistem TRON, yang dalam dua minggu memperoleh keuntungan bersih satu juta dolar; BNB Chain meluncurkan 'Perang Inovasi Meme'.

Dengan gelombang demam memecoin, masalah yang muncul adalah pengguna perlu menghindari berbagai risiko keamanan potensial. Sebelumnya, Beosin telah melakukan analisis mendetail tentang keamanan platform peluncuran Memecoin, memperingatkan risiko sentralisasi pada platform peluncuran seperti Dexx, serta mengaudit platform peluncuran Memecoin seperti Tokr.fun, Pumpup, Pump404, dan lainnya.


Hari ini, kami akan menganalisis risiko dan cara berbuat jahat yang umum dalam memecoin dari sudut pandang keamanan, membantu pengguna yang tidak memiliki dasar teknis untuk menguasai beberapa kemampuan untuk mengidentifikasi risiko terkait, dan menghindari kerugian dana.


Risiko sentralisasi


Baru-baru ini, peristiwa Dexx sekali lagi mengingatkan pengguna untuk memperhatikan risiko sentralisasi platform. Dalam bagian ini, kami akan menganalisis platform peluncuran memecoin terbesar saat ini, Pump.Fun:


Melalui transaksi blockchain, kita dapat menemukan alamat kontrak Pump.Fun adalah 6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P. Kode kontrak ini tidak bersifat sumber terbuka, dikendalikan oleh alamat multi-tanda tangan (7gZufwwAo17y5kg8FMyJy2phgpvv9RSdzWtdXiWHjFr8).


Namun setelah memeriksa alamat multi-tanda tangan ini, ternyata saat ini dikendalikan oleh satu alamat (4zJkeipCFGvfcJvKm4TY57ED9uEdL3sBRvs8TPdZKG5Q), sehingga ada risiko titik tunggal.


Tautan: https://solscan.io/account/6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P

Pada 17 Mei, Pump.Fun mengalami masalah operasi yang menyebabkan kebocoran kunci privat, menyebabkan kerugian sebesar 1,9 juta dolar. Pengelolaan kunci privat proyek dan penggunaan multi-tanda tangan sangat penting dalam mencegah kegagalan titik tunggal.

Saat melakukan penerbitan memecoin, pengguna perlu mencetak token melalui $SOL dalam 'kolam internal', dan harga token dalam proses ini ditentukan oleh Bonding Curve. Untuk setiap memecoin, Pump.Fun akan membuat program Bonding Curve yang sesuai, dengan field data sebagai berikut:


Di mana tokenTotalSupply diatur menjadi 1 miliar, virtualSolReserves, virtualTokenReserves, realTokenReserves, dan realSolReserves adalah parameter AMM yang digunakan untuk menghitung harga token. Ketika pengguna lain mencetak 800 juta token di 'kolam internal', field complete berubah menjadi true, lalu memecoin tersebut diperdagangkan secara publik di kolam likuiditas Raydium.


Dengan memeriksa data kontrak memecoin yang diterbitkan oleh Pump.Fun, kita dapat melihat bahwa alamat hak update Authority adalah Pump.fun Token Mint Authority (TSLvdd1pWpHVjahSpsvCXUbgwsL3JAcvokwaKt1eokM), bertanggung jawab untuk pencetakan. Field 'mint' adalah alamat kontrak memecoin yang sesuai dan informasi token.

Kontrak memecoin ini tidak memiliki fungsi perluasan token, ini adalah SPL token yang paling sederhana.


Oleh karena itu, tidak ada alamat istimewa yang dapat melakukan kejahatan melalui fungsi Permanent Delegate, TransferFee, dll., yang menyebabkan kerugian bagi pengguna yang berpartisipasi dalam transaksi memecoin.

Kontroversi peristiwa $Cheems


Pada 25 November, Binance mengumumkan peluncuran kontrak Cheems. Tokennya langsung melonjak 35%, lalu dalam waktu kurang dari 1 menit terjun lebih dari 60%, memicu banyak kontroversi.


Dengan menganalisis transaksi token $Cheems di blockchain, kita dapat menemukan alamat penjualan token adalah 0xbb8365B1BA2462ffDce9C894Ada84478f474Fefc. Dengan analisis Beosin KYT pada alamat tersebut, hasilnya seperti yang ditunjukkan pada gambar:


Pada 25 November, alamat tersebut menjual 331,2 miliar $Cheems melalui Pancakeswap dan agregator DEX OKX dalam waktu 1 menit, mendapatkan 406,21 $BNB, kemudian menyimpan semua $BNB di alamat tersebut ke Binance.

Grafik aliran dana Beosin KYT meskipun

Banyak pengguna meragukan alamat ini sebagai 'penipuan tikus', tetapi melalui analisis KYT tentang transaksi masa lalu alamat ini, alamat ini mungkin adalah Alamat Uang Cerdas, dengan banyak transaksi spekulatif:


Sejak 18 November, alamat tersebut mulai mengumpulkan $Cheems, dan selama proses pengumpulan juga melakukan sejumlah penjualan. Pada 18 November, alamat tersebut pertama kali membeli sekitar 1310 miliar $Cheems, 4 jam kemudian, mereka menjual 413 miliar $Cheems. Pada 21 November, alamat tersebut juga menarik 3795 miliar $Cheems dari bursa Gate.io, 2 jam kemudian, kembali menjual 1758 miliar $Cheems di blockchain. Pada 22 dan 23 November, juga ada banyak pembelian, serta beberapa tindakan penjualan. Aliran dana secara keseluruhan ditunjukkan pada gambar berikut:

Grafik aliran dana Beosin KYT

Alamat terkait dalam perselisihan ini adalah

0xbb8365b1ba2462ffdce9c894ada84478f474fefc

0x0d0707963952f2fba59dd06f2b425ace40b492fe

0xbff62cee932fe7496a88c9193e9ba3fd5eeff46d


Selain risiko platform dan PVP on-chain, pengguna juga mungkin menghadapi penipuan 'penipuan pipi' saat melakukan transaksi memecoin. Sebelumnya, Beosin telah membantu pengguna memahami penipuan pipi semacam itu dan langkah-langkah pencegahannya, berikut adalah penjelasan yang lebih lengkap tentang penipuan memecoin:


Token palsu tiruan

Di setiap rantai, setiap hari ada banyak memecoin baru yang diluncurkan, seolah-olah ada peluang kaya di mana-mana. Namun pada kenyataannya, proyek-proyek penipuan muncul satu demi satu, sulit bagi pengguna untuk membedakan keaslian token.

Banyak penerbit memecoin akan menyalin nama dan simbol token dari proyek yang sudah sukses, menciptakan kontrak token dengan nama yang sama. Pengguna mungkin terjebak dalam salinan palsu, bahkan dalam penipuan, karena tidak memeriksa alamat kontrak token dengan cermat, sehingga token tidak dapat dijual.


Selain itu, perselisihan antara komunitas kripto dan penerbit token mengenai penulisan besar-kecil memecoin juga menyebabkan harga token terkait melonjak dan terjun bebas. Perselisihan dan fluktuasi harga terbaru $NEIRO dan $neiro, $ELIZA dan $eliza menunjukkan risiko tinggi dari memecoin, pengguna perlu memahami informasi terkait memecoin, umpan balik komunitas, dan berhati-hati terhadap manipulasi pasar oleh pihak proyek melalui informasi.

Membatasi penjualan


Dalam pengalaman pengguna saat membeli memecoin, mereka mungkin menemui penipuan serupa 'penipuan pipi', di mana token yang dibeli tidak dapat dijual atau sulit untuk dijual. Berikut adalah cara umum penipu membatasi penjualan pengguna melalui kode kontrak:

(1) Daftar hitam / daftar putih


Penerbit token dapat mengatur fungsi daftar hitam / daftar putih dalam kontrak token untuk membatasi perdagangan token, misalnya jika alamat pengguna dimasukkan ke dalam daftar hitam, maka pengguna tersebut mungkin tidak dapat memanggil transfer() atau transferFrom() dalam kontrak token untuk memindahkan token.


Hanya alamat yang tidak ada dalam daftar hitam yang dapat melakukan pemindahan token

(2) Mengubah saldo


Penerbit token juga dapat mengendalikan saldo token pengguna melalui kontrak pintar, mengubah saldo token pengguna menjadi nilai yang sangat rendah. Jika pembaruan saldo hanya tercatat di dalam kontrak, maka korban masih bisa melihat token yang mereka miliki di blockchain explorer, tetapi sebenarnya tidak dapat menjual token yang melebihi jumlah yang tercatat dalam kontrak. Jika pembaruan saldo korban tercatat di blockchain, pengguna akan menemukan bahwa memecoin yang mereka beli berkurang atau bahkan saldo menjadi 0.

Berikut adalah contoh kode Solidity yang mengatur saldo alamat daftar hitam menjadi 0:


Selain ekosistem EVM, Solana juga memiliki fungsi serupa untuk mengubah saldo - perluasan Permanent Delegate dari program token:

Permanent Delegate adalah perluasan fungsi token resmi Solana, di mana administrator memiliki hak untuk memindahkan atau menghancurkan token kapan saja. Tujuannya adalah untuk digunakan dalam beberapa skenario aplikasi, seperti penarikan token dan pengawasan stablecoin. Saat membuat token, pencipta dapat menggunakan instruksi createInitializePermanentDelegateInstruction untuk menginisialisasi permanentDelegate.

Karena hak Permanent Delegate terlalu besar, beberapa peretas memanfaatkan fungsi perluasan ini untuk menerbitkan token, menarik pengguna untuk membeli token mereka, lalu mendapatkan keuntungan dengan menghancurkan atau memindahkan:

Menggunakan Permanent Delegate untuk menghancurkan token

(3) Ambang transaksi


Setelah pengguna membeli beberapa memecoin, alasan mereka tidak dapat menjualnya adalah karena kontrak menetapkan ambang penjualan yang ketat: mengharuskan pengguna memiliki jumlah token yang melebihi batas yang ditentukan (dan jumlah token ini jauh melebihi kepemilikan token pengguna) untuk dapat menjual atau harus dikenakan pajak transaksi yang tinggi.

Seperti yang ditunjukkan dalam contoh kode di bawah ini, pengembang kontrak dapat mengubah parameter amountToBurn untuk mengatur pajak transaksi, ketika parameter diatur ke 2, pengguna harus mengurangi 50% jumlah token saat bertransaksi.


Dalam perluasan fungsi token Solana juga ada TransferFee, digunakan untuk mengenakan pajak pada setiap transaksi token. Untuk mengkonfigurasi TransferFee, perlu mengatur field berikut:

  • Biaya dalam basis poin: biaya yang dikenakan untuk setiap transfer, dalam basis poin.

  • Biaya maksimum: Batas biaya transfer.

  • Otoritas biaya transfer: dapat mengubah alamat TransferFee

  • Otoritas penarikan yang ditahan: dapat memindahkan token yang ditahan dalam akun token.

Karena ada batas biaya transfer, maka cara untuk mengenakan pajak transaksi di Solana untuk mencapai penipuan tidak umum, lebih banyak melalui pemindahan token atau penghancuran token yang menyebabkan pengguna mengalami kerugian.

(4) Menangguhkan transaksi


Penerbit token dapat mengontrol status penghentian kontrak dalam kontrak untuk membatasi perdagangan token, begitu kontrak masuk ke status terhenti, semua fungsi transfer kontrak tidak dapat digunakan, dan pengguna juga tidak dapat melakukan transaksi.

Misalnya, bagian contoh kode Solidity di bawah ini, transfer hanya akan memanggil _update untuk memperbarui saldo pengguna jika kontrak tidak dalam status terhenti.

(5) Waktu memegang minimum


Setelah pengguna membeli memecoin, mereka harus memegangnya selama waktu tertentu sebelum dapat melakukan transaksi lagi. Namun, waktu tersebut diatur oleh penerbit token dan dapat diubah sesuka hati. Mereka dapat mengubah waktu memegang minimum menjadi nilai yang sangat besar sehingga pengguna tidak dapat melakukan transaksi.

Misalnya, bagian dari contoh kode Solidity di bawah ini, transfer hanya akan dilakukan jika waktu transfer saat ini lebih besar dari atau sama dengan waktu pembaruan terakhir pengguna + waktu penundaan yang ditetapkan dalam kontrak.

Biaya unik


Setelah pengguna membeli memecoin, saat melakukan transaksi dengan pengguna lain, tidak akan dikenakan biaya transaksi. Namun ketika menjual melalui DEX (seperti Uniswap), akan dikenakan biaya transaksi, selain dari penjualan, hasil pengguna yang menambahkan likuiditas atau berpartisipasi dalam staking juga akan terpengaruh.

Misalnya, bagian contoh kode Solidity di bawah ini, transfer hanya akan dikenakan pajak transaksi jika alamat to adalah alamat kontrak.

atau pengambilan biaya tidak dilakukan dari jumlah transfer kali ini, tetapi secara tambahan mengurangi saldo pengirim, cara ini jika tidak ditangani dengan baik, dapat serius mempengaruhi harga di DEX, menyebabkan nilai token menjadi 0.


Mengurangi saldo dari alamat pengirim secara tambahan

Penerbitan token tambahan

Penerbitan token tambahan adalah cara umum untuk melakukan Rug Pull. Karena pemilik kontrak token atau alamat istimewa memiliki hak untuk mencetak token, mereka dapat memperoleh keuntungan dengan menerbitkan token tambahan dan menjualnya. Ini adalah risiko potensial yang umum di ekosistem EVM, Solana, dan TON, berikut adalah fungsi mint dari token Jetton tertentu di TON, yang memiliki mekanisme penerbitan tambahan:

Sentralisasi distribusi token


Masalah sentralisasi distribusi token adalah risiko umum dalam proyek blockchain, di mana sebagian besar pasokan token dikuasai oleh tim proyek, yang dapat memanipulasi keputusan kunci dalam pemerintahan on-chain melalui voting token atau memengaruhi harga pasar melalui transaksi besar yang memengaruhi aset pengguna.

Seperti yang ditunjukkan dalam kode Solidity di bawah ini, saat penerbitan token, semua total jumlah token akan dialokasikan kepada penerbit kontrak.


Upgrade proxy


Kontrak token yang menggunakan mode upgrade proxy adalah pola desain kontrak pintar yang umum, yang memungkinkan pembaruan logika melalui kontrak proxy tanpa mengubah struktur data kontrak penyimpanan. Meskipun pola ini membawa fleksibilitas, ada juga beberapa risiko dan bahaya potensial. Penerbit token dapat mengubah logika kontrak sesuka hati, yang menyebabkan kehilangan atau pencurian aset pemegang token.

Seperti yang ditunjukkan dalam kode Solidity di bawah ini, Admin kontrak dapat mengubah alamat kontrak yang diimplementasikan, dan jika diubah menjadi kontrak yang salah atau bahkan kontrak jahat, maka akan menyebabkan kehilangan atau pencurian aset pengguna.


Bagaimana menghindari jebakan?


Penipuan muncul di tengah gelombang demam memecoin, jika pengguna tidak lebih berhati-hati, mereka bisa terjebak dalam penipuan terkait, menyebabkan kerugian dana. Oleh karena itu, tim keamanan Beosin menyarankan pengguna:

1. Melihat secara rasional efek kaya mendadak dari Memecoin dan efek promosi KOL. Setelah peluncuran token baru di DEX, pengguna perlu tetap rasional, tidak terjerat dalam emosi FOMO, dan tidak mengikuti tanpa berpikir.

2. Jangan percaya pada 'informasi internal' atau 'berita rahasia'. Ini biasanya adalah metode jebakan yang digunakan dalam penipuan, tujuannya adalah untuk menarik pengguna melakukan investasi berisiko tanpa melakukan penyaringan dan penelitian informasi.

3. Sebelum membeli token, pengguna harus memeriksa poin kunci berikut:

  • Apakah kontrak token bersifat open source

  • Apakah ada laporan audit

  • Apakah ada mekanisme daftar hitam / daftar putih

  • Apakah ada pajak transaksi, cara pengenaan pajak transaksi secara spesifik

  • Apakah ada mekanisme penghentian

  • Apakah ada mekanisme khusus seperti pembatasan volume perdagangan, jumlah minimum kepemilikan token, waktu memegang terpendek, dll.

  • Fungsi yang dapat dipanggil oleh pemilik kontrak, apakah haknya terlalu tinggi

  • Apakah kontrak menggunakan mode proxy

  • Bagaimana hak pemilik kontrak dikelola, apakah menggunakan multi-tanda tangan atau melepaskan

Beosin sebelumnya telah melakukan audit keamanan menyeluruh terhadap beberapa platform peluncuran memecoin dan kontrak token, termasuk Tokr.fun, Pumpup, dan Pump404, untuk memastikan keamanan kode kontrak, serta keakuratan logika implementasi bisnis, demi menjaga keamanan dana proyek dan pengguna.


4. Banyak platform perdagangan dan alat pemantauan risiko akan mencantumkan item deteksi kontrak token untuk pengguna, merujuk pada informasi ini dapat membantu pengguna meningkatkan akurasi dalam mengidentifikasi penipuan. Sebelum melakukan transaksi, pengguna dapat merujuk pada hasil deteksi dari berbagai alat keamanan, berikut adalah alat deteksi risiko yang umum digunakan:

  • Honeypot: https://honeypot.is/

  • Token Sniffer: https://tokensniffer.com/

  • OKX: https://www.okx.com/zh-hans/web3/dex-market

  • GoPlus: https://gopluslabs.io/token-security

  • De.Fi: https://de.fi/scanner

  • Beosin Alert: https://chromewebstore.google.com/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji

Kesimpulan


Dalam artikel ini, kami merangkum cara-cara umum memecoin berbuat jahat, dari situ kita bisa melihat bahwa meskipun memecoin penuh dengan peluang dan kemungkinan, itu juga disertai dengan berbagai jebakan. Pengguna harus tetap waspada dan berhati-hati terhadap transaksi memecoin untuk mengurangi risiko kerugian dana. Dalam dunia Web3, keamanan selalu menjadi yang utama.