Cara Memverifikasi Kontrak DeFi di BscScan (Langkah demi Langkah)
Panduan praktis untuk memverifikasi kontrak DeFi di BscScan: source code, kepemilikan, fungsi admin, riwayat transaksi, kunci LP, dan laporan audit.
Cara Memverifikasi Kontrak DeFi di BscScan (Langkah demi Langkah)
Cara terbaik untuk memisahkan protokol DeFi yang dapat dipercaya dari yang mencurigakan adalah dengan membaca blockchain itu sendiri. Anda tidak perlu menjadi developer. Anda tidak perlu memahami Solidity. Anda hanya perlu tahu tab mana yang harus diklik dan apa nilai yang seharusnya muncul. BscScan membuat hal ini sangat mudah diakses — setelah seseorang memandu Anda untuk pertama kalinya, Anda dapat memverifikasi protokol BSC apa pun dalam waktu kurang dari lima menit.
Panduan ini ditulis untuk pembaca yang skeptis. Mungkin Anda sudah melihat klaim TurboLoop — telah diaudit, kepemilikan telah dilepaskan, 100% LP terkunci, source code dapat dibaca publik — dan Anda ingin bukti yang dapat Anda lihat dengan mata kepala sendiri, bukan sekadar halaman pemasaran yang meminta kepercayaan Anda. Bagus. Naluri itulah yang justru melindungi modal Anda di DeFi. Berikut adalah jalur klik yang tepat untuk mengonfirmasi setiap klaim secara independen.
Sedikit catatan jujur sebelum kita mulai: BscScan sesekali mendesain ulang antarmukanya. Nama tab berpindah, ikon diperbarui, tata letak bergeser. Jika tangkapan layar di benak Anda tidak cocok dengan apa yang Anda lihat, jangan panik — kemampuan dasarnya tetap sama. Source code yang terverifikasi tetaplah source code yang terverifikasi. Fungsi owner() tetap mengembalikan nilai yang sama. Kami akan menandai tujuan mendasar dari setiap langkah agar Anda dapat menemukannya meskipun UI telah disusun ulang sejak panduan ini ditulis.
Langkah 1: Temukan alamat kontrak
Anda tidak dapat memverifikasi sesuatu yang tidak dapat Anda temukan. Setiap protokol yang ingin dipercaya akan mempublikasikan alamat kontrak utamanya di tempat yang mudah ditemukan dan sulit dipalsukan.
- Buka halaman keamanan TurboLoop. Alamat kontrak dipublikasikan di sana bersama dengan transaksi deployment, laporan audit, dan tautan kunci LP.
- Salin alamat lengkapnya. Alamat tersebut dimulai dengan
0xdan memiliki panjang 42 karakter. Periksa ulang enam karakter pertama dan enam karakter terakhir dengan sumbernya — situs phishing kadang menukar karakter yang terlihat serupa di tengah alamat. - Simpan sementara di suatu tempat. Anda akan menempelkannya ke BscScan pada langkah berikutnya.
Mengapa ini penting: proyek yang menyembunyikan alamat kontraknya, menolak mempublikasikannya, atau hanya membagikannya melalui DM sedang menyembunyikan satu-satunya hal yang memungkinkan Anda memeriksa segalanya. TurboLoop mempublikasikan alamatnya secara jelas di /security justru karena kami ingin Anda melakukan persis seperti yang dijelaskan dalam panduan ini.
Langkah 2: Buka BscScan dan navigasi ke kontrak
BscScan adalah block explorer publik untuk Binance Smart Chain. Siapa pun dapat menggunakannya. Tidak ada pendaftaran, tidak ada koneksi wallet, tidak ada hambatan.
- Kunjungi bscscan.com.
- Tempelkan alamat kontrak ke kolom pencarian di bagian atas halaman.
- Tekan enter. BscScan akan memuat halaman ringkasan kontrak.
Anda akan melihat ringkasan di bagian atas — saldo BNB, transfer token, jumlah transaksi — dan deretan tab di bawahnya: Transactions, Internal Transactions, Token Transfers (BEP-20), Contract, Events, dan seterusnya. Tab Contract adalah tempat sebagian besar pekerjaan dilakukan.
Langkah 3: Konfirmasi bahwa source code telah diverifikasi dan terlihat
Ini adalah pemeriksaan dasar. Jika source code tidak dipublikasikan, tidak ada langkah lain dalam panduan ini yang berarti — Anda akan mengevaluasi kotak hitam.
- Klik tab Contract pada halaman kontrak.
- Cari tanda centang hijau di sebelah kata "Contract" atau teks yang berbunyi "Contract Source Code Verified." Pada kontrak TurboLoop, tanda ini ada.
- Di bawah banner verifikasi, Anda seharusnya melihat source code Solidity yang sebenarnya ditampilkan di halaman. Gulirlah. Anda tidak perlu membaca setiap baris — intinya adalah bahwa kode itu ada, lengkap, dan siapa pun yang melek Solidity dapat mengauditnya.
- Jika Anda justru melihat "Contract Source Code Not Verified", berhenti. Jangan setor. Tim yang tidak mau mempublikasikan source code sedang meminta Anda mempercayai mereka secara membabi buta, yang justru kebalikan dari semangat DeFi.
Verifikasi di BscScan berarti bytecode yang di-deploy on-chain cocok dengan source code yang dapat dibaca manusia yang dipublikasikan oleh tim. Ini adalah bukti kriptografis bahwa kode yang dapat Anda baca adalah kode yang sedang berjalan.
Langkah 4: Periksa tab Read Contract — konfirmasi pelepasan kepemilikan
Sub-tab Read Contract menampilkan fungsi-fungsi view-only. Anda dapat memanggilnya dari browser tanpa koneksi wallet dan tanpa membayar gas. Di sinilah Anda mengonfirmasi bahwa hak istimewa admin benar-benar dilepaskan, bukan sekadar diklaim di materi pemasaran.
- Di dalam tab Contract, klik sub-tab Read Contract.
- Gulir daftar fungsinya. Cari
owner(). - Klik fungsi tersebut (atau klik tombol kecil "Query" di sebelahnya pada versi UI yang lebih baru).
- Nilai yang dikembalikan seharusnya
0x0000000000000000000000000000000000000000— alamat nol, kadang disingkat sebagai0x0. Ini adalah dead address. Tidak ada yang memegang private key-nya. Tidak ada yang dapat menandatangani transaksi dari alamat itu. - Selagi di sini, periksa juga fungsi read terkait admin lain jika ada — nama seperti
pendingOwner(),admin(), ataugovernance(). Semuanya juga seharusnya mengarah ke alamat nol atau ke status yang sudah dilepaskan serupa.
Ketika owner() mengembalikan alamat nol, setiap fungsi dalam kontrak yang memerlukan izin onlyOwner menjadi tidak dapat diakses secara permanen. Tidak ada yang dapat mengubah loop rates. Tidak ada yang dapat menjeda penarikan. Tidak ada yang dapat menguras kontrak. Aturan yang Anda lihat saat menyetor adalah aturan untuk selamanya — Sprint tetap di 7 hari dan 3%, Boost di 14 hari dan 10%, Power di 30 hari dan 24%, Ultimate di 60 hari dan 54%. Semua ini bersifat immutable karena satu-satunya orang yang dapat mengubahnya telah dihapus.
Langkah 5: Periksa tab Write Contract — konfirmasi fungsi admin telah dinonaktifkan
Read Contract memberitahu Anda apa status saat ini. Write Contract adalah tempat Anda mengonfirmasi bahwa tidak ada hal istimewa yang dapat dilakukan terhadapnya.
- Di dalam tab Contract, klik sub-tab Write Contract.
- Anda akan melihat daftar fungsi yang dapat memodifikasi status. Fungsi publik (seperti
depositdanclaim) dapat digunakan oleh siapa saja yang menghubungkan wallet — itulah cara pengguna berinteraksi dengan protokol. - Cari fungsi yang dibatasi oleh admin — nama seperti
setRate,pauseDeposits,migrate,withdrawAdmin, atau apa pun yang mengindikasikan kendali istimewa. - Jika Anda mencoba memanggil salah satunya (Anda perlu menghubungkan wallet untuk simulasi), panggilan itu akan revert. Karena owner adalah alamat nol, tidak ada pemanggil yang dapat lolos pemeriksaan access control. Fungsinya ada di kode tetapi tidak dapat dijangkau dalam praktiknya.
Inilah jaminan struktural. Bahkan jika private key salah satu anggota tim disusupi besok, penyerang tidak akan memiliki permukaan istimewa untuk dieksploitasi. Tidak ada yang dapat disusupi.
Langkah 6: Lihat riwayat deposit di Internal Txns dan Token Transfers
Sekarang periksa bahwa protokol benar-benar digunakan — dan digunakan oleh wallet asli, bukan bot loop yang merekayasa metrik kosmetik.
- Klik tab Internal Txns pada halaman kontrak utama. Tab ini menampilkan transfer antar kontrak, termasuk pembayaran dan distribusi reward.
- Klik tab Token Transfers (BEP-20). Tab ini menampilkan pergerakan USDT dan token lain yang masuk dan keluar dari kontrak.
- Cermati aktivitas terbaru. Anda seharusnya melihat ritme yang stabil dari deposit (USDT mengalir masuk) dan pembayaran (USDT mengalir keluar). Jendela pembayaran harian pukul 00:00 UTC akan terlihat sebagai sekelompok transfer keluar.
- Klik beberapa alamat pengirim secara acak. Mereka seharusnya terlihat seperti wallet asli — riwayat transaksi yang bervariasi, banyak counterparty, tanda-tanda bahwa wallet itu dipegang oleh manusia sungguhan, bukan skrip.
Protokol yang sehat memiliki aktivitas yang berkelanjutan dan organik dari kumpulan alamat yang beragam. Riwayat kosong atau aktivitas yang didominasi oleh segelintir wallet yang jelas saling terhubung adalah tanda peringatan yang patut dianggap serius.
Langkah 7: Verifikasi kunci LP secara independen
Kunci liquidity pool adalah hal yang mencegah "rug pull" — sebuah tim menarik likuiditas yang dikumpulkan dan menghilang. Mengunci LP token dengan kontrak time-lock pihak ketiga menghilangkan jalan keluar itu secara permanen.
- Dari halaman keamanan TurboLoop, temukan tautan ke kunci LP. Tautan ini mengarah ke layanan kunci pihak ketiga seperti Unicrypt atau kontrak kunci terverifikasi serupa.
- Klik untuk membuka halaman kunci. Halaman ini akan menampilkan kontrak LP token, jumlah yang terkunci, tanggal unlock, dan siapa yang menguncinya.
- Konfirmasi bahwa 100% LP token terkunci. Kunci parsial berarti perlindungan parsial.
- Catat tanggal unlock-nya. Tanggal tersebut seharusnya jauh di masa depan, atau dalam beberapa kasus diatur ke
uint256.max(yang artinya selamanya). - Jika Anda ekstra hati-hati, salin alamat kontrak kunci dan cari di BscScan secara terpisah. Konfirmasi bahwa kontrak kunci itu sendiri telah diverifikasi, diaudit, dan banyak digunakan. Locker yang bereputasi memiliki ratusan atau ribuan proyek yang menggunakan mereka.
Kunci ini bukan TurboLoop yang mengatakan "kami sudah mengunci LP" — melainkan kontrak terpisah dan terverifikasi yang menyimpan token on-chain tanpa cara bagi TurboLoop untuk mengambilnya kembali sebelum waktu unlock. Pemisahan itulah seluruh intinya.
Langkah 8: Cocokkan dengan laporan audit
Audit mengikat semuanya. Audit adalah firma keamanan pihak ketiga yang membaca source code yang sama yang dapat Anda lihat di BscScan dan mengonfirmasi bahwa kode itu melakukan apa yang diklaim, tanpa pintu belakang tersembunyi atau kerentanan yang diketahui.
- Buka laporan audit yang ditautkan dari
/security. - Periksa tanggal audit dan versi kode yang diaudit. Cocokkan versi tersebut dengan apa yang di-deploy (source di BscScan seharusnya sesuai).
- Baca bagian findings. Audit yang bersih tidak harus berarti nol temuan — yang penting adalah semua temuan dengan tingkat kritis dan tinggi telah diselesaikan sebelum deployment.
- Catat nama auditor-nya. Firma yang bereputasi mempublikasikan laporannya secara publik dan memiliki rekam jejak yang dapat Anda cari secara independen.
Apa yang harus dilakukan dengan temuan Anda
Jika setiap pemeriksaan di atas lolos — source terverifikasi, owner di alamat nol, LP terkunci, audit bersih, penggunaan aktif — Anda telah melakukan due diligence yang lebih banyak daripada mayoritas pengguna DeFi pada umumnya. Anda tahu, secara struktural, apa yang dapat dan tidak dapat dilakukan protokol terhadap dana Anda. Anda tahu bahwa keempat Loop Plans (Sprint 7d/3%, Boost 14d/10%, Power 30d/24%, Ultimate 60d/54%) bersifat tetap karena tidak ada yang dapat mengubahnya. Anda tahu bahwa deposit minimum 1 USDT Anda di BSC akan tunduk pada aturan yang sama besok seperti hari ini.
Anda dapat memulai dari yang kecil. Deposit uji coba 1 USDT memungkinkan Anda mengonfirmasi bahwa apa yang Anda baca on-chain cocok dengan apa yang Anda alami di aplikasi — pembayaran yang tiba pada 00:00 UTC, penarikan yang diproses sesuai jadwal, mekanisme nyata yang cocok dengan dokumentasi.
Jika Anda ingin mendalami lebih jauh, security deep dive membahas jaminan spesifik TurboLoop secara lebih rinci. Untuk kerangka kerja yang lebih luas dalam mengevaluasi proyek DeFi apa pun, hal-hal yang perlu diperhatikan dalam proyek DeFi membahas tanda merah dan hijau yang patut diperiksa sebelum menyetor di mana pun. Dan jika muncul pertanyaan tentang fungsi tertentu atau bagaimana menafsirkan apa yang Anda lihat on-chain, FAQ kemungkinan besar menjawabnya.
5 menit yang Anda habiskan di BscScan sebelum deposit pertama Anda adalah 5 menit paling berharga yang akan Anda habiskan di DeFi. Jadikanlah itu kebiasaan.