Cara mengenali potensi tarikan permadani di DeFi

Jika Anda seorang investor DeFi, salah satu perasaan paling menyakitkan di dunia adalah melalui apa yang dikenal sebagai "tarikan permadani", yang biasanya melibatkan pengembang proyek yang meninggalkan proyek dan melarikan diri dengan dana mereka. Ini dapat terjadi dalam beberapa cara, misalnya, saat pengembang memulai likuiditas awal, menaikkan harga, lalu menarik likuiditas, mencegah pemegang keluar dari posisi mereka. Metode umum lainnya adalah meluncurkan situs web tetapi menutupnya setelah menarik ratusan ribu deposit.

Menurut data Ciphertrace, pada paruh kedua tahun 2020, hampir 99% penipuan besar dan penyalahgunaan dana disebabkan oleh protokol DeFi yang mengeksekusi penarikan permadani dan penipuan keluar.

Contoh menarik permadani DeFi pada tahun 2020 meliputi: Lv.FinanceEmerald MineYfdexf.FinanceSharkTronUnicatsCompounder.Finance

Kami telah ditipu dua kali dalam sejarah investasi kami dan kami benar-benar memahami bagaimana rasanya uang hasil jerih payah Anda dicuri oleh penipu.

Dalam posting ini, kami mencoba membantu Anda menavigasi DeFi dan berpotensi menemukan tanda-tanda tarikan permadani.

Kode kontrak pintar tidak diverifikasi

Kontrak pintar biasanya terbuka bagi siapa saja untuk memverifikasi, sehingga publik dapat melihat bagaimana kode berfungsi, dan mengaudit fungsi yang mencurigakan.

Menyebarkan kode yang belum diverifikasi ke blockchain berarti tidak ada yang bisa melihat apa yang tertulis di dalam kode. Pelaku jahat dapat mengeksekusi kode berbahaya kapan saja dan mentransfer dana yang dikunci dalam kontrak pintar ke alamat lain tanpa izin Anda.

Pengembangan dan peluncuran yang terburu-buru dari contoh kontrak yang belum diverifikasi

Sebagian besar proyek yang sah membutuhkan waktu berbulan-bulan untuk direncanakan, dipromosikan, dan diluncurkan. Jika Anda menemukan bukti bahwa proyek sedang dikembangkan dan diluncurkan dengan tergesa-gesa, hal itu harus segera diperhatikan.

Misalnya, banyak proyek klon Uniswap hanya memotong basis kode Uniswap dan membuat perubahan cepat pada antarmuka front-end sambil meninggalkan banyak pekerjaan yang belum selesai. Ini semua adalah tanda karpet potensial.

Dalam kasus Wineswap yang menipu pengguna sebesar $344.000, pengembang tidak repot-repot mengubah nama token dalam kontrak dan hanya menggunakan milik Sushiswap.

Misalnya, banyak proyek bercabang tidak menawarkan manfaat atau fitur unik apa pun, sebaliknya mereka hanya melakukan tweak UI sederhana untuk proyek populer dan mengemas ulang diri mereka sendiri sebagai proyek yang sah, membuat mereka sangat mungkin melakukan penarikan karpet.

WaveSwap, kampanye media sosial palsu front-end yang mirip dengan Pancakeswap

Aktivitas media sosial dapat dipalsukan melalui bot dan perangkat lunak otomatis. Bot otomatis ini dapat menyukai, me-retweet, berkomentar, dan membagikan postingan dalam skala besar sambil berpartisipasi dalam kampanye airdrop.

Contoh akun media sosial palsu mungkin tampak jelas, dengan sedikit atau tanpa aktivitas selain menyukai atau me-retweet posting dan konten yang dipromosikan.

kemungkinan akun bot

Saat mendekati protokol DeFi, periksa akun media sosialnya - Twitter, Telegram, Discord untuk aktivitas bot. Apakah pengguna dan peserta sah, atau apakah mereka bot yang menyamar sebagai pengguna?

Tidak diaudit atau diaudit oleh firma audit yang tidak dikenal

Karena protokol DeFi saling berhubungan dengan DeFi lainnya dan dapat menyimpan dana pelanggan jutaan atau miliaran dolar, audit memainkan peran kunci dalam memberikan pendapat kedua tentang kualitas kontrak pintar. Namun, audit tidak mudah dilakukan dan banyak protokol telah diretas meskipun telah diaudit oleh perusahaan terkemuka.

Lapisan keamanan pertama adalah membuat kontrak pintar diaudit oleh perusahaan audit terkemuka. Menurut pendapat kami, firma audit terkemuka termasuk PeckShield, Trail of Bits, Quantstamp, dan Slowmist.

Perusahaan audit akan meninjau basis kode proyek dan, tergantung pada tingkat keparahannya, mengungkap masalah yang mungkin perlu diperbaiki. Setelah audit, laporan audit dapat dipublikasikan.

Contoh audit untuk memeriksa kode

Mengandalkan perusahaan audit yang kurang bereputasi dapat menimbulkan risiko yang signifikan terhadap dana pengguna, karena mereka dapat menurunkan kualitas audit mereka, atau mungkin tidak memiliki pengalaman yang signifikan dalam mengaudit kontrak pintar yang kompleks. Beberapa proyek mungkin mempekerjakan banyak auditor untuk mengaudit kode kontrak pintar untuk menentukan keterpercayaan protokol.

Menggunakan platform ulasan pihak ketiga seperti DeFi Safety juga dapat membantu meredakan kekhawatiran tentang berbagai faktor seperti kualitas kode, tim, prosedur pengujian, prosedur keamanan, dan kontrol akses.

Keamanan DeFi

Tidak ada timelocks atau multi-tanda tangan

Kontrak pintar seringkali dapat ditingkatkan, atau memiliki fungsi yang dipanggil oleh administrator, biasanya alamat tempat kontrak diterapkan.

Fungsi-fungsi ini dapat mencakup pembuatan kumpulan likuiditas baru atau mengubah parameter protokol seperti biaya penarikan dalam kasus AMM.

Timelock biasanya adalah sepotong kode yang mengantri perubahan smart contract di belakang escrow berbasis waktu, yang pada dasarnya mengunci fungsionalitas smart contract hingga periode waktu yang telah ditentukan telah berlalu. Misalnya, jika kontrak memiliki timelock 48 jam, maka setiap perubahan yang dilakukan melalui smart contract harus diantrekan dan hanya dapat dieksekusi setelah 48 jam.

Timelock memberi pengguna cukup waktu untuk bereaksi terhadap perubahan kontrak pintar, dan jika mereka menolak perubahan tertentu, mereka dapat menarik dana dari protokol sebelum perubahan dijalankan.

Pancakeswap menggunakan timelock 6 jam untuk memberi pengguna waktu untuk bereaksi terhadap perubahan protokol.

Tanpa timelock, administrator atau tata kelola smart contract dapat mengirimkan transaksi jahat dalam waktu singkat dan merusak seluruh protokol. Beberapa proyek mungkin menggunakan multisig alih-alih timelock untuk menerapkan perubahan pada protokol. Dalam kasus multisig, di mana banyak tanda tangan diperlukan untuk mengeksekusi transaksi, transaksi dapat diatur untuk disahkan oleh mayoritas penanda tangan sebelum dikirim secara on-chain.

Banyak protokol menggunakan multisig untuk mengontrol parameter. Misalnya, Curve adalah salah satu penandatangan multisig tata kelola yEarn Finance, yang mengelola pencetakan token YFI baru. Jika sebuah proyek tidak memiliki persyaratan ini maka harap sangat berhati-hati karena pengembang memiliki kendali penuh atas deposit Anda dan dapat menarik atau mentransfernya sesuka hati.

Ada banyak cara proyek baru dapat menipu Anda dari dana Anda, dan metode di atas sama sekali bukan satu-satunya cara untuk melindungi uang hasil jerih payah Anda.

Faktanya, jika sesuatu tampak terlalu bagus untuk menjadi kenyataan bagi Anda, atau secara intuitif terasa mencurigakan, hindarilah. Tidak ada alasan untuk mempertaruhkan semua modal Anda hanya untuk serakah untuk beberapa dolar ekstra.

DeFi bisa menjadi ruang yang berbahaya karena ini adalah ruang yang tidak diatur dengan banyak aktor jahat yang mencoba mengelabui Anda di setiap langkah — mulai dari rekayasa sosial hingga mencoba membuat Anda menyerahkan seed frase Anda.

Catatan editor: Judul aslinya adalah "Cara menemukan potensi tarikan permadani di DeFi", judul artikel ini telah diubah sesuai dengan keterbacaan saluran komunikasi; Penulis: Stakingbits​

Sumber: sedang

Penafian: Cointelegraph Chinese adalah platform informasi berita blockchain, dan informasi yang diberikan hanya mewakili pendapat pribadi penulis, yang tidak ada hubungannya dengan posisi platform Cointelegraph Chinese, dan bukan merupakan nasihat investasi dan keuangan apa pun. Pembaca diminta untuk menetapkan konsep mata uang dan konsep investasi yang benar, dan dengan sungguh-sungguh meningkatkan kesadaran akan risiko.