วิธีตรวจสอบสัญญา DeFi บน BscScan (ทีละขั้นตอน)
ทุกการกล่าวอ้างของ TurboLoop สามารถตรวจสอบได้บน BscScan นี่คือวิธีตรวจสอบแต่ละรายการอย่างละเอียด — ใช้เวลาน้อยกว่า 5 นาที
วิธีตรวจสอบสัญญา DeFi บน BscScan (ทีละขั้นตอน)
วิธีที่ดีที่สุดในการแยกโปรโตคอล DeFi ที่น่าเชื่อถือออกจากโปรโตคอลที่น่าสงสัยคือการอ่านบล็อกเชนด้วยตัวคุณเอง คุณไม่จำเป็นต้องเป็นนักพัฒนา คุณไม่จำเป็นต้องเข้าใจ Solidity คุณเพียงแค่ต้องรู้ว่าจะคลิกแท็บใดและค่าควรเป็นอย่างไร BscScan ทำให้สิ่งนี้เข้าถึงได้ง่ายอย่างน่าทึ่ง — เมื่อมีคนแนะนำคุณเป็นครั้งแรก คุณสามารถตรวจสอบโปรโตคอล BSC ใดก็ได้ภายในเวลาไม่ถึงห้านาที
คู่มือนี้เขียนขึ้นสำหรับผู้อ่านที่สงสัย บางทีคุณอาจเคยเห็นการกล่าวอ้างของ TurboLoop — ผ่านการตรวจสอบ, สละสิทธิ์การเป็นเจ้าของ, LP ล็อก 100%, ซอร์สโค้ดสามารถอ่านได้สาธารณะ — และคุณต้องการหลักฐานที่คุณสามารถเห็นได้ด้วยตาของคุณเอง แทนที่จะเป็นหน้าการตลาดที่ขอความไว้วางใจจากคุณ ดี สัญชาตญาณนั้นคือสิ่งที่ปกป้องเงินทุนใน DeFi ด้านล่างนี้คือเส้นทางการคลิกที่แน่นอนเพื่อยืนยันแต่ละข้อเรียกร้องอย่างอิสระ
ข้อสังเกตเล็กน้อยก่อนที่เราจะเริ่ม: BscScan บางครั้งก็ออกแบบอินเทอร์เฟซใหม่ ชื่อแท็บย้าย ไอคอนถูกรีเฟรช เลย์เอาต์เปลี่ยนไป หากภาพหน้าจอในหัวของคุณไม่ตรงกับสิ่งที่คุณเห็น อย่าตกใจ — ความสามารถพื้นฐานยังคงเหมือนเดิม ซอร์สโค้ดที่ verified ยังคงเป็นซอร์สโค้ดที่ verified ฟังก์ชัน owner() ยังคงคืนค่าเดิม เราจะระบุวัตถุประสงค์พื้นฐานของแต่ละขั้นตอนเพื่อให้คุณสามารถค้นหาได้แม้ว่า UI จะถูกจัดเรียงใหม่ตั้งแต่เขียนสิ่งนี้
ขั้นตอนที่ 1: ค้นหาที่อยู่สัญญา
คุณไม่สามารถตรวจสอบสิ่งที่คุณไม่สามารถระบุตำแหน่งได้ ทุกโปรโตคอลที่ต้องการความไว้วางใจจะเผยแพร่ที่อยู่สัญญาหลักในที่ที่หาง่ายและปลอมแปลงได้ยาก
- เปิด security page ของ TurboLoop ที่อยู่สัญญาจะถูกเผยแพร่ที่นั่นพร้อมกับการทำธุรกรรมการ deploy รายงานการตรวจสอบ และลิงก์การล็อก LP
- คัดลอกที่อยู่เต็ม มันเริ่มต้นด้วย
0xและมีความยาว 42 ตัวอักษร ตรวจสอบหกตัวแรกและหกตัวสุดท้ายอีกครั้งกับแหล่งที่มา — ไซต์ฟิชชิ่งบางครั้งสลับตัวอักษรที่ดูคล้ายกันตรงกลางของที่อยู่ - บันทึกไว้ที่ใดที่หนึ่งชั่วคราว คุณจะวางมันลงใน BscScan ในขั้นตอนต่อไป
ทำไมสิ่งนี้ถึงสำคัญ: โปรเจกต์ที่ซ่อนที่อยู่สัญญา ปฏิเสธที่จะเผยแพร่ หรือแชร์เฉพาะใน DMs กำลังซ่อนสิ่งเดียวที่ช่วยให้คุณตรวจสอบทุกอย่างได้ TurboLoop เผยแพร่ที่อยู่ตรงกลางบน /security อย่างแม่นยำเพราะเราต้องการให้คุณทำตามที่คู่มือนี้อธิบาย
ขั้นตอนที่ 2: เปิด BscScan และไปยังสัญญา
BscScan เป็นบล็อก explorer สาธารณะสำหรับ Binance Smart Chain ใครๆ ก็ใช้ได้ ไม่มีการลงทะเบียน ไม่มีการเชื่อมต่อกระเป๋าเงิน ไม่มีความยุ่งยาก
- ไปที่ bscscan.com
- วางที่อยู่สัญญาลงในแถบค้นหาที่ด้านบนของหน้า
- กด Enter BscScan จะโหลดหน้าภาพรวมสัญญา
คุณจะเห็นสรุปที่ด้านบน — ยอดคงเหลือ BNB, การโอนโทเค็น, จำนวนธุรกรรม — และแถบแท็บด้านล่าง: Transactions, Internal Transactions, Token Transfers (BEP-20), Contract, Events และอื่นๆ แท็บ Contract คือที่ที่งานส่วนใหญ่เกิดขึ้น
ขั้นตอนที่ 3: ยืนยันว่าซอร์สโค้ดได้รับการตรวจสอบและมองเห็นได้
นี่คือการตรวจสอบพื้นฐาน หากซอร์สไม่ได้ถูกเผยแพร่ ไม่มีอะไรอื่นในคู่มือนี้สำคัญ — คุณกำลังประเมินกล่องดำ
- คลิกแท็บ Contract บนหน้าสัญญา
- มองหาเครื่องหมายถูกสีเขียวถัดจากคำว่า "Contract" หรือข้อความที่อ่านว่า "Contract Source Code Verified." บนสัญญาของ TurboLoop สิ่งนี้มีอยู่
- ใต้แบนเนอร์การตรวจสอบ คุณควรเห็นซอร์สโค้ด Solidity จริงที่แสดงบนหน้า เลื่อนดู คุณไม่จำเป็นต้องอ่านทุกบรรทัด — ประเด็นคือมันมีอยู่ มันสมบูรณ์ และใครก็ตามที่มีความรู้ Solidity สามารถตรวจสอบได้
- หากคุณเห็น "Contract Source Code Not Verified" แทน ให้หยุด อย่าฝากเงิน ทีมที่ไม่เผยแพร่ซอร์สโค้ดกำลังขอให้คุณเชื่อใจพวกเขาอย่างสุ่มสี่สุ่มห้า ซึ่งตรงกันข้ามกับสิ่งที่ DeFi ควรจะเป็น
การตรวจสอบบน BscScan หมายความว่า bytecode ที่ deploy บน-chain ตรงกับซอร์สที่มนุษย์อ่านได้ที่ทีมเผยแพร่ เป็นหลักฐานทางคริปโตที่โค้ดที่คุณอ่านได้คือโค้ดที่กำลังทำงานอยู่
ขั้นตอนที่ 4: ตรวจสอบแท็บ Read Contract — ยืนยันการสละสิทธิ์
แท็บย่อย Read Contract เปิดเผยฟังก์ชันที่ดูได้อย่างเดียว คุณสามารถเรียกใช้ได้จากเบราว์เซอร์ของคุณโดยไม่ต้องเชื่อมต่อกระเป๋าเงินและไม่ต้องจ่ายค่า gas นี่คือที่ที่คุณยืนยันว่าสิทธิ์ผู้ดูแลระบบถูกสละอย่างแท้จริง ไม่ใช่แค่การกล่าวอ้างในการตลาด
- ภายในแท็บ Contract คลิกแท็บย่อย Read Contract
- เลื่อนดูรายการฟังก์ชัน ค้นหา
owner() - คลิก (หรือคลิกปุ่ม "Query" เล็กๆ ถัดจากนั้นใน UI เวอร์ชันใหม่)
- ค่าที่ส่งคืนควรเป็น
0x0000000000000000000000000000000000000000— ที่อยู่ศูนย์ บางครั้งย่อเป็น0x0นี่คือที่อยู่ตาย ไม่มีใครถือ private key ไม่มีใครสามารถลงนามธุรกรรมจากมันได้ - ในขณะที่คุณอยู่ที่นี่ ให้สแกนหาฟังก์ชันอ่านที่เกี่ยวข้องกับผู้ดูแลระบบอื่นๆ หากมี — ชื่อเช่น
pendingOwner(),admin()หรือgovernance()พวกมันควรจะแก้ไขเป็นที่อยู่ศูนย์หรือสถานะที่ถูกสละสิทธิ์ที่คล้ายกัน
เมื่อ owner() คืนค่าที่อยู่ศูนย์ ทุกฟังก์ชันในสัญญาที่ต้องการสิทธิ์ onlyOwner จะไม่สามารถเข้าถึงได้อย่างถาวร ไม่มีใครสามารถเปลี่ยนอัตรา loop ได้ ไม่มีใครสามารถหยุดการถอนได้ ไม่มีใครสามารถระบายสัญญาได้ กฎที่คุณเห็นในเวลาฝากคือกฎตลอดไป — Sprint คงอยู่ที่ 7 วันและ 3%, Boost ที่ 14 วันและ 10%, Power ที่ 30 วันและ 24%, Ultimate ที่ 60 วันและ 54% สิ่งเหล่านี้ไม่สามารถเปลี่ยนแปลงได้เพราะบุคคลเดียวที่สามารถเปลี่ยนแปลงได้ถูกลบออกไปแล้ว
ขั้นตอนที่ 5: ตรวจสอบแท็บ Write Contract — ยืนยันว่าฟังก์ชันผู้ดูแลระบบถูกปิดใช้งาน
Read Contract บอกคุณว่าสถานะเป็นอย่างไร Write Contract คือที่ที่คุณยืนยันว่าไม่มีสิ่งใดที่ได้รับสิทธิ์สามารถทำได้กับมัน
- ภายในแท็บ Contract คลิกแท็บย่อย Write Contract
- คุณจะเห็นรายการฟังก์ชันที่สามารถแก้ไขสถานะได้ ฟังก์ชันสาธารณะ (เช่น
depositและclaim) สามารถใช้งานได้โดยใครก็ตามที่มีกระเป๋าเงินที่เชื่อมต่อ — นั่นคือวิธีที่ผู้ใช้โต้ตอบกับโปรโตคอล - มองหาฟังก์ชันที่ถูกจำกัดโดยผู้ดูแลระบบ — ชื่อเช่น
setRate,pauseDeposits,migrate,withdrawAdminหรืออะไรก็ตามที่บ่งบอกถึงการควบคุมที่มีสิทธิ์ - หากคุณพยายามเรียกใช้หนึ่งในสิ่งเหล่านี้ (คุณจะต้องเชื่อมต่อกระเป๋าเงินสำหรับการจำลอง) มันจะถูกยกเลิก เนื่องจากเจ้าของคือที่อยู่ศูนย์ ไม่มีผู้เรียกคนใดสามารถผ่านการตรวจสอบการควบคุมการเข้าถึงได้ ฟังก์ชันมีอยู่ในโค้ดแต่ไม่สามารถเข้าถึงได้ในทางปฏิบัติ
นี่คือการรับประกันเชิงโครงสร้าง แม้ว่า private key ของสมาชิกในทีมจะถูกบุกรุกในวันพรุ่งนี้ ผู้โจมตีก็ไม่มีพื้นผิวที่มีสิทธิ์ที่จะใช้ประโยชน์ ไม่มีอะไรให้บุกรุก
ขั้นตอนที่ 6: ดูประวัติการฝากใน Internal Txns และ Token Transfers
ตอนนี้ตรวจสอบว่าโปรโตคอลถูกใช้งานจริง — และใช้งานโดยกระเป๋าเงินจริง ไม่ใช่ bot loops ที่เล่นเกมสถิติที่ไร้สาระ
- คลิกแท็บ Internal Txns บนหน้าสัญญาหลัก สิ่งนี้แสดงการโอนจากสัญญาไปยังสัญญา รวมถึงการจ่ายเงินและการกระจายรางวัล
- คลิกแท็บ Token Transfers (BEP-20) สิ่งนี้แสดงการเคลื่อนไหวของ USDT และโทเค็นอื่นๆ เข้าและออกจากสัญญา
- สแกนกิจกรรมล่าสุด คุณควรเห็นการฝากอย่างต่อเนื่อง (USDT ไหลเข้า) และการจ่ายเงิน (USDT ไหลออก) หน้าต่างการจ่ายเงินรายวัน 00:00 UTC จะปรากฏเป็นกลุ่มของการโอนออก
- คลิกที่อยู่ผู้ส่งแบบสุ่มสองสามที่อยู่ พวกมันควรดูเหมือนกระเป๋าเงินจริง — ประวัติการทำธุรกรรมที่หลากหลาย คู่ค้าหลายราย สัญญาณของการถูกถือโดยมนุษย์จริงมากกว่าสคริปต์
โปรโตคอลที่ดีมีกิจกรรมที่ต่อเนื่องและเป็นธรรมชาติจากชุดที่อยู่หลากหลาย ประวัติที่ว่างเปล่าหรือกิจกรรมที่ถูกครอบงำโดยกระเป๋าเงินที่เชื่อมโยงกันอย่างชัดเจนเพียงไม่กี่ใบเป็นสัญญาณเตือนที่ควรพิจารณาอย่างจริงจัง
ขั้นตอนที่ 7: ตรวจสอบการล็อก LP อย่างอิสระ
การล็อก liquidity pool คือสิ่งที่ป้องกัน "rug pull" — ทีมถอนสภาพคล่องที่รวมกันและหายไป การล็อกโทเค็น LP ด้วยสัญญา time-lock ของบุคคลที่สามจะลบทางออกนั้นอย่างถาวร
- จาก security page ของ TurboLoop ค้นหาลิงก์ไปยังการล็อก LP มันชี้ไปยังบริการล็อกของบุคคลที่สาม เช่น Unicrypt หรือสัญญาล็อกที่ verified ที่คล้ายกัน
- คลิกผ่านไปยังหน้าล็อก มันจะแสดงสัญญาโทเค็น LP, จำนวนที่ล็อก, วันที่ปลดล็อก และผู้ที่ล็อกมัน
- ยืนยันว่า 100% ของโทเค็น LP ถูกล็อก การล็อกบางส่วนหมายถึงการป้องกันบางส่วน
- สังเกตวันที่ปลดล็อก มันควรจะอยู่ในอนาคตอันไกล หรือในบางกรณีตั้งค่าเป็น
uint256.max(มีผลตลอดไป) - หากคุณระมัดระวังเป็นพิเศษ ให้คัดลอกที่อยู่สัญญาล็อกและค้นหาบน BscScan แยกต่างหาก ยืนยันว่าสัญญาล็อกนั้นได้รับการตรวจสอบ, ตรวจสอบ และใช้งานอย่างแพร่หลาย ผู้ล็อกที่มีชื่อเสียงมีโปรเจกต์หลายร้อยหรือหลายพันที่ใช้พวกเขา
การล็อกไม่ใช่ TurboLoop ที่บอกว่า "เราล็อก LP แล้ว" — มันเป็นสัญญาที่แยกต่างหากที่ verified บน-chain ที่ถือโทเค็นโดยไม่มีทางที่ TurboLoop จะเรียกคืนได้ก่อนเวลาปลดล็อก การแยกนั้นคือจุดประสงค์ทั้งหมด
ขั้นตอนที่ 8: ตรวจสอบรายงานการตรวจสอบ
การตรวจสอบเชื่อมโยงทุกอย่างเข้าด้วยกัน มันคือบริษัทรักษาความปลอดภัยบุคคลที่สามที่อ่านซอร์สโค้ดเดียวกันกับที่คุณเห็นบน BscScan และยืนยันว่าโค้ดทำงานตามที่อ้าง ไม่มี backdoor ที่ซ่อนอยู่หรือช่องโหว่ที่รู้จัก
- เปิดรายงานการตรวจสอบที่ลิงก์จาก
/security - ตรวจสอบวันที่ของการตรวจสอบและเวอร์ชันของโค้ดที่ถูกตรวจสอบ ให้จับคู่เวอร์ชันกับสิ่งที่ deploy (ซอร์สบน BscScan ควรตรงกัน)
- อ่านส่วน Findings รายงานสะอาดไม่จำเป็นต้องหมายถึงไม่มีข้อค้นพบเลย — แต่หมายถึงว่าข้อผิดพลาดระดับ critical และ high ถูกแก้ก่อน deploy
- สังเกตผู้ตรวจสอบ บริษัทที่น่าเชื่อถือเผยแพร่รายงานสาธารณะและมีผลงานที่คุณสามารถตรวจสอบได้ด้วยตัวเอง
จะทำอย่างไรกับสิ่งที่คุณพบ
ถ้าการตรวจสอบทุกขั้นตอนข้างต้นผ่าน — ซอร์สที่ verified, owner เป็นที่อยู่ศูนย์, LP ถูกล็อก, audit สะอาด, การใช้งานจริง — คุณได้ทำการตรวจสอบมากกว่าผู้ใช้ DeFi ส่วนใหญ่แล้ว คุณรู้ในเชิงโครงสร้างว่าโปรโตคอลทำอะไรกับทุนของคุณได้บ้างและทำอะไรไม่ได้บ้าง คุณรู้ว่าแผน Loop ทั้งสี่ (Sprint 7d/3%, Boost 14d/10%, Power 30d/24%, Ultimate 60d/54%) ถูกตรึงไว้เพราะไม่มีใครสามารถเปลี่ยนแปลงพวกมันได้ คุณรู้ว่าการฝากขั้นต่ำ 1 USDT บน BSC จะอยู่ภายใต้กฎเดียวกันในวันพรุ่งนี้เช่นเดียวกับวันนี้
เริ่มจากเล็กๆ ได้ การฝากทดสอบ 1 USDT ให้คุณยืนยันว่าที่คุณอ่านบน-chain ตรงกับประสบการณ์ในแอป — การจ่ายผลตอบแทนมาถึงในช่วง 00:00 UTC, การถอนดำเนินการตามตาราง, กลไกจริงตรงกับเอกสาร
หากคุณต้องการลงรายละเอียดมากขึ้น security deep dive อธิบายข้อรับประกันเฉพาะของ TurboLoop อย่างละเอียด สำหรับกรอบการประเมินโปรเจกต์ DeFi ทั่วไป what to watch for in a DeFi project ครอบคลุมธงแดงและธงเขียวที่ควรตรวจสอบก่อนฝาก และหากมีคำถามเกี่ยวกับฟังก์ชันเฉพาะหรือวิธีตีความสิ่งที่คุณเห็นบน-chain FAQ น่าจะตอบได้
ห้านาทีที่คุณใช้บน BscScan ก่อนฝากครั้งแรกเป็นห้านาทีที่มีค่ายิ่งใน DeFi ทำให้เป็นนิสัยเถอะ