Memahami Honeypot, Rug Pull, & Risiko Smart Contract
Setiap hari, ratusan token baru diluncurkan di Ethereum, BNB Smart Chain, Base, dan blockchain EVM lainnya. Walaupun banyak yang merupakan proyek sah, sejumlah besar di antaranya mengandung kode berbahaya yang dirancang untuk mencuri dana investor. Token honeypot, rug pull, dan kontrak penipuan tetap menjadi ancaman paling umum dalam keuangan terdesentralisasi (DeFi), menyebabkan kerugian miliaran setiap tahun.
Token honeypot adalah smart contract yang dirancang agar investor bisa membeli tetapi tidak bisa menjual. Kode kontrak berisi fungsi tersembunyi yang memblokir transaksi jual, mengenakan biaya 100% pada transfer, atau membatasi penjualan hanya ke alamat yang masuk whitelist. Dari luar, token tampak diperdagangkan secara normal di bursa terdesentralisasi, tetapi siapa pun yang membelinya akan mendapati token mereka terkunci permanen.
Teknik Honeypot Umum dalam Kode Solidity
Pengembang penipuan menggunakan metode yang semakin canggih untuk menyembunyikan logika berbahaya di dalam smart contract. Teknik honeypot yang paling umum meliputi:
- Blacklist transfer — Kontrak menyimpan pemetaan alamat tersembunyi. Begitu Anda membeli, alamat Anda diam-diam ditambahkan ke blacklist yang memblokir semua transfer keluar.
- Manipulasi biaya dinamis — Biaya jual dimulai dari 0% agar terlihat aman, tetapi pemilik memanggil sebuah fungsi setelah peluncuran untuk mengubahnya menjadi 99% atau 100%, sehingga penjualan menjadi tidak bernilai.
- Batas transaksi maksimum — Kontrak menetapkan jumlah jual maksimum ke angka yang sangat kecil (atau nol), sehingga secara efektif mencegah transaksi jual yang berarti.
- Pembajakan approval — Kontrak mengganti fungsi approve ERC-20 standar untuk diam-diam mencabut atau mengalihkan approval token, sehingga fungsi jual di DEX rusak.
- Bom logika bersyarat — Pembatasan jual aktif hanya setelah nomor blok, stempel waktu, atau jumlah holder tertentu tercapai, sehingga pengujian awal terlihat aman.
Cara Kerja Rug Pull: Hal yang Perlu Diperhatikan
Rug pull lebih luas daripada honeypot. Ini mengacu pada mekanisme apa pun yang memungkinkan deployer kontrak menguras nilai investor. Tidak seperti honeypot yang menjebak token di dompet, rug pull secara aktif menarik likuiditas atau menjatuhkan harga token. Indikator penting dalam kode smart contract meliputi:
- Kepemilikan belum dilepas — Jika pemilik kontrak belum melepaskan kepemilikannya, mereka tetap memiliki fungsi admin yang dapat mengubah biaya, menghentikan perdagangan, memasukkan alamat ke blacklist, atau menarik dana kapan saja.
- Fungsi mint tersembunyi — Fungsi yang memungkinkan pemilik membuat token baru tanpa batas. Ketika dijalankan, peningkatan suplai besar-besaran ini menjatuhkan harga mendekati nol.
- Likuiditas tidak terkunci — Jika token liquidity pool (LP) tidak dikunci dalam kontrak time-lock, deployer dapat menghapus seluruh likuiditas dari pasangan DEX secara instan, membuat token tidak bisa diperdagangkan.
- Pola upgrade proxy — Kontrak proxy yang dapat di-upgrade memungkinkan pengembang mengganti seluruh logika kontrak setelah peluncuran. Kontrak yang tampak aman bisa berubah menjadi berbahaya dengan satu transaksi.
- Ketergantungan pada panggilan eksternal — Kontrak memanggil alamat eksternal yang dikendalikan pengembang. Kontrak eksternal ini dapat mengembalikan nilai yang berbeda dari waktu ke waktu, sehingga diam-diam mengubah perilaku token.
Mengapa Pencocokan Pola Gagal Menghadapi Penipuan Modern
Pemindai token tradisional mengandalkan pencocokan pola — membandingkan kode kontrak dengan basis data pola berbahaya yang sudah dikenal. Meskipun ini dapat menangkap penipuan dasar, pengembang penipuan modern secara khusus menulis kode mereka untuk melewati pemeriksaan ini. Mereka mengganti nama fungsi, membagi logika berbahaya ke beberapa panggilan internal, menggunakan blok assembly untuk menyembunyikan operasi, dan mengaburkan nama variabel.
Analisis AI fungsi demi fungsi menyelesaikan masalah ini dengan benar-benar membaca dan memahami apa yang dilakukan setiap fungsi, terlepas dari bagaimana kode ditulis. Alih-alih memeriksa "apakah nama fungsi ini cocok dengan pola penipuan yang dikenal?", AI bertanya "apa yang sebenarnya dilakukan fungsi ini saat dijalankan?". Hal ini menangkap teknik eksploitasi baru, logika yang disamarkan, dan backdoor yang ditulis khusus yang belum pernah dilihat basis data pola sebelumnya. Pelajari cara kerja pemindai kami.
Understanding Your Laporan Audit Scores
Setiap audit smart contract menghasilkan empat skor utama pada skala 1–10:
- Skor Keamanan — Mengukur keamanan keseluruhan kontrak: hak admin, kontrol akses, validasi input, dan perlindungan terhadap vektor serangan umum seperti reentrancy dan integer overflow.
- Skor Tokenomics — Mengevaluasi desain ekonomi token: struktur biaya, mekanisme suplai, keadilan distribusi, dan apakah model tokenomics berkelanjutan atau dirancang untuk menguntungkan pihak dalam.
- Skor Likuiditas — Menilai kesehatan likuiditas: ukuran pool relatif terhadap kapitalisasi pasar, status penguncian likuiditas, distribusi token LP, dan kerentanan terhadap serangan penghapusan likuiditas.
- Skor Rug Pull — Secara khusus mengukur risiko rug pull: status kepemilikan, kemampuan mint, fungsi pause, mekanisme blacklist, pola proxy, dan fungsi apa pun yang dapat menguras nilai dari holder.
Memindai Token di Berbagai Blockchain
Penipuan smart contract ada di setiap blockchain yang kompatibel dengan EVM. Walaupun Ethereum dan BNB Smart Chain (BSC) melihat volume token penipuan tertinggi, jaringan yang lebih baru seperti Base, Arbitrum, Blast, Scroll, dan Berachain semakin sering menjadi target seiring pertumbuhan ekosistem DeFi mereka. Pengembang penipuan menyebarkan kontrak berbahaya yang identik di banyak chain sekaligus untuk memaksimalkan jangkauan mereka.
Pemindaian multi-chain sangat penting karena pola penipuan berbeda di tiap ekosistem. Penipuan di BSC sering menggunakan pola honeypot yang lebih sederhana dan menargetkan investor yang kurang berpengalaman, sementara penipuan di Ethereum cenderung menggunakan teknik upgrade proxy dan panggilan eksternal yang lebih canggih. Jaringan Base dan Layer 2 melihat campuran keduanya, sering kali dengan siklus deployment yang lebih cepat sehingga investor memiliki lebih sedikit waktu untuk bereaksi.
Sebelum membeli token apa pun di blockchain mana pun, menganalisis kode smart contract adalah salah satu cara paling efektif untuk melindungi investasi Anda. Tidak ada pemindai yang menangkap 100% penipuan, tetapi analisis AI fungsi demi fungsi secara signifikan mengurangi risiko menjadi korban token honeypot, rug pull, dan eksploit smart contract lainnya. Punya pertanyaan? Lihat FAQ kami atau hubungi kami.
