Tahun ini, Memecoin telah menjadi fokus pasar crypto dan ekosistem blockchain. Sejak awal tahun 2024, banyak memecoin dan launchpad memecoin seperti Pump.Fun telah muncul di ekosistem Solana dengan pertumbuhan yang mencengangkan, menarik banyak pengguna untuk berpartisipasi dalam penerbitan dan perdagangan berbagai memecoin. Perdagangan memecoin di ekosistem blockchain lainnya juga sangat panas, seperti SunPump di ekosistem TRON, yang menghasilkan laba bersih satu juta dolar AS hanya dalam dua minggu dan BNB Chain meluncurkan "Meme Innovation War Round 3".

Masalah dengan kegilaan memecoin adalah pengguna perlu menghindari berbagai risiko keamanan potensial. Sebelumnya, Beosin telah melakukan analisis mendalam terhadap keamanan peluncuran memecoin, memperingatkan akan risiko sentralisasi dari platform peluncuran seperti Dexx sebelumnya, dan mengaudit beberapa platform peluncuran Memecoin seperti Tokr.fun, Pumpup, dan Pump404.

Hari ini, kami akan menganalisis risiko umum dan metode jahat dalam memecoin dari perspektif keamanan, membantu pengguna umum untuk menguasai beberapa keterampilan untuk mengidentifikasi risiko terkait memecoin dan menghindari kerugian keuangan.

Risiko Pusat

Baru-baru ini, insiden Dexx mengingatkan pengguna untuk memperhatikan risiko sentralisasi dari platform terpusat. Dalam bagian ini, kami akan menganalisis peluncuran memecoin terbesar saat ini - Pump.Fun:

Melalui transaksi on-chain, kita dapat menemukan bahwa alamat kontrak inti Pump.Fun adalah 6EF8rrecthR5Dkzon8Nwu78hRvfCKubJ14M5uBEwF6P. Kode kontrak tidak open source dan dikendalikan oleh alamat multi-tanda tangan (7gZufwwAo17y5kg8FMyJy2phgpvv9RSdzWtdXiWHjFr8).

Namun, jika Anda memeriksa alamat multi-tanda tangan ini, sebenarnya dikontrol oleh satu alamat tunggal (4zJkeipCFGvfcJvKm4TY57ED9uEdL3sBRvs8TPdZKG5Q), yang menimbulkan risiko titik tunggal.

Pada 17 Mei, salah satu kunci privat Pump.Fun bocor akibat masalah operasional, menyebabkan kerugian sebesar $1,9 juta. Manajemen kunci privat dan penerapan tandatangan multi sangat penting dalam mencegah kegagalan titik tunggal.

Ketika Pump.Fun menerbitkan memecoin, pengguna perlu mencetak token melalui $SOL di 'inner pool'. Harga token dalam proses ini ditentukan oleh Bonding Curve. Untuk setiap memecoin, Pump.Fun akan membuat program Bonding Curve yang sesuai, di mana bidang data adalah sebagai berikut:

tokenTotalSupply diatur menjadi 1 miliar, dan virtualSolReserves, virtualTokenReserves, realTokenReserves, dan realSolReserves digunakan sebagai parameter AMM untuk menghitung harga token. Ketika pengguna lain mencetak 800 juta token di 'inner pool', bidang 'complete' menjadi benar, dan kemudian memecoin diperdagangkan secara publik di pool likuiditas yang dibuat di Raydium.

Mengecek data dari kontrak memecoin apa pun yang diterbitkan oleh Pump.Fun, kita dapat melihat bahwa alamat istimewa untuk otoritas pembaruan adalah Pump.fun Token Mint Authority (TSLvdd1pWpHVjahSpsvCXUbgwsL3JAcvokwaKt1eokM), yang bertanggung jawab atas pencetakan token. Bidang “mint” adalah alamat kontrak memecoin yang sesuai dan info token.

Kontrak-kontrak memecoin ini tidak memiliki fungsi perluasan token dan merupakan token SPL yang paling sederhana.

Oleh karena itu, tidak ada alamat istimewa yang dapat menggunakan Delegasi Tetap, Biaya Transfer, dan fungsi lainnya dalam perpanjangan token untuk berbuat jahat dan menyebabkan kerugian bagi pengguna ketika mereka berpartisipasi dalam perdagangan memecoin.

$Cheems Kontroversi

Pada 25 November, Binance mengumumkan daftar kontrak $Cheems. Harga $Cheems naik 35% dan kemudian jatuh lebih dari 60% dalam waktu kurang dari satu menit, menyebabkan banyak kontroversi di komunitas.

Menganalisis transaksi token $Cheems di rantai, kita dapat menemukan bahwa alamat penjualan token besar adalah 0xbb8365B1BA2462ffDce9C894Ada84478f474Fefc. Alamat tersebut dianalisis melalui Beosin KYT, dan hasilnya ditampilkan pada gambar:

Pada tanggal 25 November, alamat tersebut menjual 331,2 miliar $Cheems dalam 1 menit melalui Pancakeswap dan OKX DEX aggregator, dan memperoleh 406,21 $BNB, kemudian menyetorkan semua $BNB ke dalam alamat di Binance.

Meskipun banyak pengguna mempertanyakan apakah alamat ini adalah "perdagangan orang dalam", ini mungkin alamat uang pintar dengan beberapa transaksi beli dan jual:

Sejak 18 November, alamat telah mulai membangun posisi $Cheems, dan terus menjual secara kontinu selama proses tersebut. Pada 18 November, alamat pertama kali membeli sekitar 131 miliar $Cheems, dan 4 jam kemudian, menjual 41,3 miliar $Cheems. Pada 21 November, alamat juga menarik 379,5 miliar $Cheems dari bursa Gate.io, dan 2 jam kemudian, menjual 175,8 miliar $Cheems di rantai. Pada 22 dan 23 November, juga terdapat pembelian besar dan penjualan sebagian. Arus dana secara keseluruhan ditunjukkan dalam gambar di bawah ini:

Alamat terkait dalam insiden ini adalah

0xbb8365b1ba2462ffdce9c894ada84478f474fefc

0x0d0707963952f2fba59dd06f2b425ace40b492fe

0xbff62cee932fe7496a88c9193e9ba3fd5eeff46d

Selain risiko platform dan PVP on-chain, pengguna juga bisa mengalami penipuan “Pixiu” saat trading memecoin. Sebelumnya, Beosin telah membantu pengguna memahami jenis penipuan ini dan langkah-langkah pencegahan dengan kasus-kasus. Berikut adalah rangkuman yang lebih komprehensif tentang penipuan terkait memecoin:

Token palsu

Setiap hari diluncurkan sejumlah besar memecoin baru, dan tampaknya ada peluang untuk menjadi kaya di mana-mana. Sebenarnya, ada proyek-proyek tiruan yang tak ada habisnya, dan sulit bagi pengguna untuk membedakan token mana yang tepat untuk diperdagangkan.

Banyak pengembang memecoin akan menyalin nama dan logo token dari proyek-proyek populer dan membuat kontrak token dengan nama yang sama . Pengguna mungkin secara tidak sengaja memasuki proyek-proyek imitasi, atau bahkan platform penipuan atau honeypot karena mereka tidak memeriksa dengan cermat alamat kontrak token, yang mengakibatkan ketidakmampuan untuk menjual token.

Selain itu, perselisihan antara komunitas kripto dan penerbit token tentang kapitalisasi memecoin juga telah menyebabkan lonjakan dan penurunan harga token terkait. Perselisihan dan fluktuasi harga baru-baru ini antara $NEIRO dan $neiro, $ELIZA dan $eliza menunjukkan risiko yang sangat tinggi dari memecoin. Pengguna perlu memahami informasi memecoin terkait, umpan balik komunitas, dan berhati-hati terhadap pihak proyek yang memanipulasi pasar melalui berita.

Penjualan Terbatas

Ketika pengguna membeli memecoin, mereka mungkin pernah mengalami penipuan seperti honeypots, di mana token yang dibeli tidak dapat dijual atau sulit untuk dijual. Berikut adalah cara umum di mana penipu membatasi pengguna dari penjualan melalui kode kontrak:

(1) Daftar Hitam/Daftar Putih

Penerbit token dapat membuat fungsi daftar hitam / daftar putih dalam kontrak token untuk membatasi transaksi token. Misalnya, jika alamat pengguna ditambahkan ke daftar hitam, pengguna mungkin tidak dapat memanggil transfer() atau transferFrom() dalam kontrak token untuk mentransfer token.

(2) Modifikasi saldo

Penerbit token juga dapat memanipulasi saldo token pengguna melalui kontrak pintar dan mengubah saldo token pengguna menjadi nilai yang sangat rendah. Jika pembaruan saldo hanya dicatat di dalam kontrak, korban masih bisa melihat token yang dipegangnya pada browser blockchain, tetapi sebenarnya dia tidak dapat menjual lebih banyak token daripada catatan kontrak. Jika saldo korban diperbarui di rantai, pengguna akan menemukan bahwa memecoin yang dibelinya telah berkurang atau bahkan memiliki saldo 0.

Berikut adalah contoh kode Solidity yang mengatur saldo dari alamat yang masuk daftar hitam menjadi 0:

Selain ekosistem EVM, Solana juga memiliki fungsi serupa untuk memodifikasi saldo - perluasan Delegasi Permanen dari program token:

Permanent Delegate adalah perluasan resmi dari fungsi token Solana. Administrator memiliki hak untuk mentransfer atau menghancurkan token kapan saja. Tujuannya adalah untuk diterapkan pada beberapa skenario aplikasi, seperti pengolahan kembali token dan pengawasan stablecoin. Saat membuat token, pembuat dapat menggunakan instruksi createInitializePermanentDelegateInstruction untuk menginisialisasi permanentDelegate.

Karena Delegasi Tetap memiliki terlalu banyak otoritas, beberapa hacker menggunakan ekstensi ini untuk menerbitkan token, menarik pengguna untuk membeli token mereka, dan kemudian mendapatkan keuntungan dari mereka dengan menghancurkan atau mentransfernya:

(3) Batas transaksi

Setelah pengguna membeli certain memecoins, mereka tidak dapat menjualnya karena ada batas penjualan yang ketat dalam kontrak: pengguna diharuskan melebihi jumlah token yang ditetapkan (dan jumlah token ini jauh melebihi jumlah token yang dimiliki pengguna) sebelum mereka dapat menjual atau pajak transaksi yang tinggi harus dipotong.

Seperti yang ditunjukkan dalam contoh kode di bawah ini, pengembang kontrak dapat mengubah parameter amountToBurn untuk mengatur pajak transaksi. Ketika parameter diatur menjadi 2, 50% dari jumlah token akan dikurangi dari transaksi pengguna.

Perpanjangan token Solana juga memiliki fungsi TransferFee, yang digunakan untuk mengumpulkan pajak pada setiap transaksi token. Untuk mengkonfigurasi TransferFee, Anda perlu menetapkan bidang berikut:

● Biaya dalam basis poin: Biaya yang dibebankan untuk setiap transfer, dalam basis poin

● Biaya maksimum: Batas atas biaya transfer

● Otoritas biaya transfer: dapat mengubah alamat TransferFee

● Penarikan dengan otoritas ditahan: Alamat ke mana token yang ditahan di akun token dapat ditransfer

Karena adanya batasan biaya transfer, metode penyetelan pajak transaksi untuk menerapkan cakram Pi Xiu di Solana tidak umum digunakan. Lebih umum bagi pengguna untuk menderita kerugian melalui transfer token atau penghancuran token.

(4) Penangguhan Perdagangan

Penerbit token dapat mengendalikan status jeda kontrak dalam kontrak untuk membatasi transaksi token. Begitu kontrak memasuki status jeda, fungsi transfer kontrak tidak akan tersedia dan pengguna tidak akan dapat melakukan perdagangan.

Misalnya, dalam contoh kode Solidity di bawah ini, transfer hanya akan memanggil _update untuk memperbarui saldo pengguna ketika kontrak tidak dalam keadaan ditangguhkan.

(5) Waktu penahanan minimum

Setelah pengguna membeli memecoin, mereka harus menahannya selama periode waktu minimum sebelum mereka dapat menukarnya kembali. Namun, periode ini ditetapkan oleh penerbit token dan dapat diubah sesuka hati. Mereka dapat mengubah waktu penahanan minimum menjadi nilai yang sangat besar sehingga pengguna tidak dapat menukar.

Sebagai contoh, dalam contoh kode Solidity berikut, transfer harus memenuhi waktu transfer saat ini yang lebih besar atau sama dengan waktu pembaruan terakhir pengguna + waktu penundaan yang diatur dalam kontrak.

Biaya unik

Setelah pengguna membeli memecoin, tidak akan dikenakan biaya saat melakukan perdagangan dengan pengguna lain. Namun, saat menjual melalui DEX (seperti Uniswap), akan dikenakan biaya penanganan. Selain menjual, pendapatan pengguna yang menambah likuiditas atau berpartisipasi dalam staking juga akan terpengaruh.

Sebagai contoh, dalam contoh kode Solidity di bawah ini, transaksi token akan dikenai pajak hanya ketika alamat tujuannya adalah alamat kontrak.

Atau biaya penanganan tidak dikurangkan dari jumlah transfer, tetapi juga dikurangi dari saldo pengirim. Jika metode ini tidak ditangani dengan baik, itu akan sangat memengaruhi harga di DEX dan menyebabkan nilai token kembali ke nol.

Penerbitan token tambahan

Menerbitkan token tambahan adalah cara umum untuk menerapkan Rug Pull. Karena pemilik kontrak token atau alamat istimewa memiliki hak untuk mencetak koin, mereka dapat menghasilkan keuntungan dengan menerbitkan token tambahan dan menjualnya. Ini adalah risiko potensial umum dalam ekosistem EVM, Solana, dan TON. Berikut adalah fungsi mint dari token Jetton TON yang memiliki mekanisme penerbitan tambahan:

Distribusi Token Terpusat

Masalah sentralisasi distribusi token adalah risiko umum dalam proyek blockchain. Sebagian besar pasokan token dikendalikan oleh tim proyek, yang dapat memanipulasi keputusan kunci dalam tata kelola on-chain melalui pemungutan suara token atau memanipulasi harga pasar melalui transaksi besar-besaran untuk memengaruhi aset pengguna.

Seperti yang ditunjukkan dalam kode Solidity di bawah, ketika token dideploy, jumlah total semua token akan dialokasikan kepada pengembang kontrak.

Peningkatan Proxy

Mode peningkatan proksi yang digunakan dalam kontrak token adalah mode desain kontrak pintar yang umum. Ini dapat mewujudkan peningkatan logika melalui kontrak proksi tanpa mengubah struktur data dari kontrak penyimpanan. Meskipun mode ini memberikan fleksibilitas, ia juga memiliki beberapa risiko dan bahaya potensial. Penerbit token dapat mengubah logika kontrak sesuka hati, menyebabkan kerugian atau pencurian aset pemegang token.

Seperti yang ditunjukkan dalam kode Solidity di bawah ini, Admin kontrak dapat mengubah alamat implementasi kontrak. Setelah diubah menjadi kontrak yang salah atau bahkan kontrak jahat, hal ini akan menyebabkan kerugian atau pencurian aset pengguna.

Bagaimana menghindari penipuan?

Ada banyak penipuan dalam kegilaan Memecoin. Jika pengguna tidak hati-hati, mereka mungkin jatuh ke penipuan terkait dan kehilangan dana mereka. Oleh karena itu, tim keamanan Beosin merekomendasikan pengguna untuk:

1. Berpikir rasional tentang efek cepat kaya Memecoin dan efek publisitas KOL. Setelah token baru terdaftar di DEX, pengguna perlu tetap rasional, hindari FOMO, dan hindari mengikuti tren secara buta.

2. Jangan percayai "informasi internal" atau "informasi rahasia". Biasanya ini adalah penipuan yang menyiapkan perangkap untuk menarik pengguna agar mengambil risiko dan berinvestasi tanpa mengecek dan meneliti informasinya.

3. Sebelum membeli token, pengguna harus memeriksa titik-titik kunci berikut:

● Apakah kontrak token open source?

● Apakah ada laporan audit?

● Apakah ada mekanisme daftar hitam/daftar putih?

● Apakah ada pajak transaksi? Bagaimana pajak transaksi dikumpulkan?

● Apakah ada mekanisme jeda?

● Apakah ada mekanisme khusus seperti membatasi volume transaksi, jumlah minimum yang harus dipegang, waktu minimum yang harus dipegang, dll.

● Apakah fungsi yang dapat dipanggil oleh pemilik kontrak terlalu tinggi?

● Apakah kontrak menggunakan mode proxy

● Bagaimana mengelola hak kepemilikan kontrak, apakah akan melebih-lebihkan atau menyerah

Beosin sebelumnya telah melakukan audit keamanan terperinci pada sejumlah platform peluncuran memecoin dan kontrak token, termasuk Tokr.fun, Pumpup, dan Pump404, untuk memastikan keamanan kode kontrak, kebenaran logika implementasi bisnis, dan keamanan dana proyek dan pengguna.

1. Banyak platform perdagangan dan alat pemantauan risiko akan mencantumkan item deteksi kontrak token untuk pengguna. Merujuk pada informasi ini akan membantu pengguna meningkatkan akurasi dalam mengidentifikasi penipuan. Pengguna dapat merujuk pada hasil deteksi dari beberapa alat keamanan sebelum melakukan perdagangan. Berikut adalah alat deteksi risiko yang umum digunakan:

● Honeypot: https://honeypot.is/

● Token Sniffer: https://tokensniffer.com/

● OKX: https://www.okx.com/zh-hans/web3/dex-market

● GoPlus: https://gopluslabs.io/token-security

● De.Fi: https://de.fi/scanner

● Peringatan Beosin: https://chromewebstore.google.com/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji

Ringkasan

Dalam artikel ini, kami merangkum cara umum dari penipuan terkait memecoin. Dari ini, kita dapat melihat bahwa meskipun memecoin penuh dengan peluang dan kemungkinan, tetapi juga disertai oleh berbagai perangkap. Pengguna harus tetap waspada dan berhati-hati dalam transaksi memecoin untuk mengurangi risiko kerugian modal. Di dunia Web3, keamanan selalu menjadi prioritas utama.

Penafian:

1. Artikel ini dicetak ulang dari [Beosin]. Semua hak cipta adalah milik penulis asli [Beosin]. Jika ada keberatan terhadap cetakan ulang ini, silakan hubungi Gate Learntim, dan mereka akan menanganinya dengan cepat.
2. Penyangkalan Tanggung Jawab: Pandangan dan pendapat yang diungkapkan dalam artikel ini semata-mata milik penulis dan tidak merupakan saran investasi apa pun.
3. Terjemahan artikel ke dalam bahasa lain dilakukan oleh tim Gate Learn. Kecuali disebutkan, menyalin, mendistribusikan, atau menjiplak artikel yang diterjemahkan dilarang.