Skip to content
TurboLoop
All articles

7 Pertanyaan yang Harus Diajukan Sebelum Menyetor ke Proyek DeFi Mana Pun

Daftar periksa berulang yang dapat Anda terapkan pada protokol DeFi mana pun — audit, kepemilikan renounced, sumber imbal hasil, kunci LP, dan sinyal komunitas.

7 Pertanyaan yang Harus Diajukan Sebelum Menyetor ke Proyek DeFi Mana Pun

7 Pertanyaan yang Harus Diajukan Sebelum Menyetor ke Proyek DeFi Mana Pun

Ribuan protokol DeFi diluncurkan setiap tahun. Sebagian besar gagal. Hanya segelintir yang berkembang. Perbedaan antara keduanya biasanya terlihat — jika Anda tahu apa yang harus dicari.

Tulisan ini bukan promosi penjualan. Ini adalah daftar periksa. Tujuannya adalah memberi Anda kerangka kerja yang dapat diulang dan dapat Anda terapkan pada protokol apa pun yang sedang Anda evaluasi — Turbo Loop, farm berikutnya yang muncul di linimasa Anda, atau chain yang belum pernah Anda dengar. Kami menggunakan Turbo Loop sebagai contoh kerja di akhir, tetapi pertanyaan-pertanyaan itu sendiri yang penting. Jika sebuah protokol tidak dapat menjawab kedelapan pertanyaan dengan jelas, jawabannya adalah pergi menjauh, terlepas dari merek di halaman pendaratannya.

Catatan pembingkaian singkat sebelum daftar periksa: lolos setiap pertanyaan di bawah ini tidak menghilangkan risiko. Smart contract dapat memiliki bug yang belum ditemukan. Oracle dapat gagal. Pasar dapat bergerak melawan suatu strategi. Yang dilakukan daftar periksa adalah menekan probabilitas kerugian katastrofik — rug, eksploitasi, penurunan perlahan — tajam ke bawah. Anda tetap bertanggung jawab untuk mengukur posisi dengan bijak dan melakukan due diligence Anda sendiri.

Daftar periksa due diligence DeFi 8 pertanyaan

1. Apakah smart contract telah diaudit — dan dapatkah Anda membaca laporannya?

Pertanyaan pertama adalah yang paling mudah dipalsukan. Setiap proyek mengatakan "telah diaudit." Jauh lebih sedikit yang dapat menghasilkan laporan.

Ketika Anda bertanya "apakah telah diaudit," Anda sebenarnya menanyakan tiga sub-pertanyaan:

  • Siapa yang melakukan audit? Firma yang dikenal dengan keterlibatan publik, atau toko tak bernama yang situs webnya berusia tiga bulan? Cari nama auditor di X, GitHub, dan daftar klien sebelumnya.
  • Apakah laporan lengkapnya publik? Bukan ringkasan satu halaman. PDF sebenarnya, dengan temuan, peringkat severity, dan tanggapan tim. Jika sebuah proyek tidak akan membagikan laporan, anggap itu sebagai "tidak."
  • Apakah temuan-temuan telah diselesaikan? Audit hampir selalu mengungkap masalah. Pertanyaannya adalah apakah tim memperbaiki temuan high dan critical sebelum peluncuran, dan apakah perbaikan tersebut ditinjau ulang.

Trik yang berguna: buka laporan dan langsung lompat ke bagian "High" dan "Critical". Jika Anda melihat daftar panjang tanpa catatan "resolved" atau "acknowledged with mitigation", itu masalah. Jika laporan sebagian besar bersifat informasional dan catatan optimisasi gas, itu sinyal yang lebih sehat.

Untuk panduan lebih mendalam tentang cara memverifikasi smart contract sendiri, lihat memverifikasi kontrak DeFi di BscScan.

2. Apakah kepemilikan telah renounced? Verifikasi di block explorer

Smart contract yang pemiliknya masih berupa dompet yang dikendalikan tim adalah kontrak yang dapat diubah oleh tim. Mereka dapat mengubah biaya. Mereka dapat menjeda penarikan. Dalam kasus terburuk, mereka dapat mencetak token atau memutakhirkan logika.

Berikut cara memeriksa, langkah demi langkah:

  1. Buka kontrak di BscScan atau Etherscan.
  2. Klik tab Contract, lalu Read Contract.
  3. Cari fungsi owner() dan klik.
  4. Baca alamat yang dikembalikan.

Jika alamat tersebut adalah 0x0000000000000000000000000000000000000000 (alamat burn), smart contract tersebut immutable — bahkan tim pun tidak dapat mengubahnya. Jika alamatnya yang lain, tim masih memiliki kendali.

Hati-hati dengan dua pola yang terlihat seperti renouncement tetapi bukan:

  • Pemilik multisig. Multisig lebih baik daripada satu dompet, tetapi smart contract masih dapat diubah. Tim masih dapat menarik tali; mereka hanya membutuhkan lebih banyak tanda tangan.
  • Pemilik timelock. Timelock menunda perubahan dengan jendela tetap. Berguna untuk keamanan, tetapi pemilik masih berfungsi.

Tidak ada yang otomatis buruk — tetapi tidak ada yang sama dengan renounce 0x00...00 yang sebenarnya. Ketahui yang mana yang Anda lihat.

3. Dari mana imbal hasil berasal?

Ini adalah pertanyaan yang menyaring jumlah protokol buruk terbesar. Setiap imbal hasil memiliki sumber. Ada tepatnya empat jawaban jujur:

  • Biaya trading atau swap dari produk trading nyata yang digunakan.
  • Bunga lending yang dibayarkan oleh peminjam nyata.
  • Pendapatan eksternal — refund gas, penangkapan MEV, aset dunia nyata, imbal hasil treasury.
  • Hadiah validator/staking dari mengamankan suatu chain.

Ada juga satu jawaban tidak jujur yang dibungkus dengan berbagai cara: imbal hasil berasal dari setoran baru. Jika "bunga" pengguna A dibayar oleh prinsipal pengguna B, Anda sedang melihat Ponzi. Tidak peduli seberapa cantik UI-nya.

Uji sendiri. Baca dokumen dan temukan kalimat yang menjelaskan sumber imbal hasil. Jika Anda tidak dapat menyederhanakan kalimat itu menjadi salah satu dari empat kategori jujur, tanyakan di komunitas. Jika Anda tidak mendapatkan jawaban langsung, jawabannya adalah "setoran baru."

4. Apakah LP terkunci? Di mana? Untuk berapa lama?

Untuk protokol yang melibatkan token atau liquidity pool, kunci LP sangat penting. "LP" — liquidity pool — adalah pasangan token yang memungkinkan orang melakukan trading masuk dan keluar. Jika tim memegang token LP, mereka dapat menarik likuiditas kapan saja dan menjatuhkan harga ke nol. Itu adalah rug klasik.

Tanyakan tiga sub-pertanyaan:

  • Berapa banyak LP yang terkunci? 100% adalah standar untuk protokol yang kredibel. Apa pun yang kurang berarti sebagian dapat ditarik.
  • Di mana kontrak kunci? Locker terkemuka termasuk UNCX, Team Finance, dan Mudra. Verifikasi kunci di dashboard locker itu sendiri, bukan hanya di situs web proyek.
  • Untuk berapa lama? Kunci di bawah satu tahun lemah. Kunci multi-tahun menandakan komitmen. Kunci permanen (dikirim ke alamat burn) adalah standar emas.

Untuk pembahasan yang jauh lebih dalam tentang mengapa hal ini penting, baca kunci LP dijelaskan — mengapa keamanan likuiditas penting.

5. Apakah identitas tim diketahui — dan apakah itu penting?

Tim anonim tidak otomatis buruk. Beberapa protokol terbaik di DeFi dibangun oleh anon. Tetapi tim anon menaikkan standar pada setiap pertanyaan lain dalam daftar periksa ini. Jika Anda tidak tahu siapa di balik protokol, Anda sepenuhnya bergantung pada kode, audit, status renounce, dan kunci. Hal-hal itu harus benar-benar kedap udara.

Untuk tim yang doxxed, lakukan due diligence dasar. Cari pendirinya di LinkedIn, X, dan GitHub. Periksa proyek sebelumnya — sukses dan gagal. Tim dengan riwayat panjang dan dapat dilacak di ruang ini secara material lebih aman daripada tim yang muncul tiga bulan yang lalu.

Heuristik yang berguna: sebuah proyek seharusnya doxxed atau sepenuhnya diaudit dan renounced. Kombinasi yang seharusnya membuat Anda gugup adalah tim anon tanpa audit, atau tim doxxed yang kodenya belum pernah ditinjau.

6. Apakah token (atau token LP) dapat diverifikasi di block explorer?

Smart contract yang terverifikasi di BscScan atau Etherscan berarti tim telah mengunggah kode sumber dan explorer telah mengkonfirmasi bahwa kode tersebut cocok dengan bytecode yang di-deploy. Ini memungkinkan siapa saja — Anda, seorang auditor, peneliti yang penasaran — membaca kode yang sebenarnya, bukan hanya bytecode.

Jika kontrak tidak diverifikasi, anggap itu sebagai bendera merah. Tidak ada alasan baik bagi protokol yang sudah diluncurkan untuk membiarkan kontraknya tidak diverifikasi. Itu tidak biaya apa-apa dan hanya butuh beberapa menit.

Saat Anda berada di explorer, periksa juga:

  • Distribusi holder. Segelintir dompet yang memegang 90% adalah tanda peringatan.
  • Transaksi terbaru. Apakah ada pengguna nyata, atau hanya tim dan beberapa bot?
  • Tanggal pembuatan kontrak. Proyek "baru" yang kontraknya di-deploy dua tahun lalu dan tidak aktif itu mencurigakan. Begitu pula kontrak yang di-deploy kemarin dengan $10M TVL.

7. Apakah matematikanya masuk akal?

Ini adalah pertanyaan yang paling banyak dilewati oleh pengguna ritel dan paling pertama dijalankan oleh profesional. Lihat imbal hasil headline dan tanyakan: di mana protokol harus menemukan uang itu?

Uji kasar di belakang amplop: ambil total value locked, kalikan dengan APY headline, dan itu adalah kewajiban imbal hasil tahunan protokol. Lalu lihat sumber pendapatan dan tanyakan apakah sumber-sumber itu secara masuk akal dapat menghasilkan pendapatan sebesar itu.

Jika sebuah protokol memiliki TVL $50M dan membayar APY 30%, ia membutuhkan $15M pendapatan nyata per tahun untuk berkelanjutan. Apakah volume trading mendukung itu? Apakah buku lending? Apakah ada sumber eksternal? Jika angka-angkanya tidak masuk akal, protokol meminjam dari setoran baru untuk membayar setoran lama. Ini soal kapan, bukan apakah.

8. Apa yang dikatakan sinyal komunitas di berbagai platform?

Pemeriksaan terakhir bersifat kualitatif tetapi penting. Protokol yang sehat memiliki komunitas yang:

  • Tersebar di berbagai platform — Telegram, X, Discord, channel regional — bukan hanya satu grup yang penuh shill.
  • Tersebar di berbagai bahasa dan wilayah. Basis pengguna global lebih sulit dipalsukan daripada grup pump berbahasa Inggris tunggal.
  • Mengajukan pertanyaan sulit dan mendapatkan jawaban nyata dari tim.
  • Memasukkan holder jangka panjang yang telah ada selama berbulan-bulan atau bertahun-tahun, bukan hanya postingan "saya baru saja masuk."

Kunjungi Telegram pada waktu acak dalam sehari. Apakah aktif di seluruh zona waktu, atau apakah semua orang tidur ketika Amerika Utara tidur? Apakah ada budaya mod yang melarang pertanyaan jujur, atau apakah pertanyaan sulit mendapatkan keterlibatan nyata?

Contoh kerja: menerapkan daftar periksa pada Turbo Loop

Mari kita jalankan delapan pertanyaan pada Turbo Loop dan lihat apa yang muncul.

  1. Diaudit? Ya. Laporan publik. Lihat halaman keamanan untuk laporan lengkap dan ringkasan bahasa awam di pembahasan mendalam keamanan.
  2. Kepemilikan renounced? Ya. Dapat diverifikasi di BscScan melalui owner()0x00...00.
  3. Sumber imbal hasil? Pendapatan eksternal yang nyata. Hadiah LP dari pool USDC/USDT, biaya Turbo Swap, dan biaya Turbo Buy. Setoran baru tidak digunakan untuk membayar deposan yang ada — Loop Plans membayar return tetap yang telah ditentukan sebelumnya yang didanai oleh pendapatan protokol yang berkelanjutan.
  4. LP terkunci? Terkunci 100%. Dapat diverifikasi on-chain.
  5. Identitas tim? Riwayat tim publik, dengan rekam jejak yang terlihat di seluruh ekosistem.
  6. Token / kontrak dapat diverifikasi? Ya. Diverifikasi di BscScan.
  7. Apakah matematikanya masuk akal? Ya. Empat Loop Plans bersifat tetap dan immutable: Sprint membayar 3% selama 7 hari, Boost membayar 10% selama 14 hari, Power membayar 24% selama 30 hari, dan Ultimate membayar 54% selama 60 hari. Setoran minimum adalah 1 USDT di BSC. Ini adalah return berbatas dan berbasis periode yang didanai oleh pendapatan biaya nyata, bukan klaim terbuka "1% per hari selamanya." Protokol juga telah menerbitkan $100K Challenge yang mengundang siapa saja untuk menemukan kerentanan.
  8. Sinyal komunitas? Komunitas yang terlibat di berbagai wilayah dan bahasa, aktif di seluruh zona waktu.

Delapan dari delapan. Itulah bagaimana protokol yang lolos daftar periksa terlihat.

Catatan penutup tentang risiko residual

Lolos daftar periksa ini perlu, bukan cukup. Smart contract dapat memiliki bug yang terlewat oleh auditor. Pasar dapat bergerak. Stablecoin dapat de-peg. Pembingkaian jujurnya adalah bahwa daftar periksa ini menyaring pelaku jahat yang jelas dan model yang tidak berkelanjutan — itu tidak menghilangkan risiko. Ukur posisi Anda sesuai, jangan pernah menyetor uang yang tidak mampu Anda kunci untuk seluruh jangka waktu plan yang dipilih, dan verifikasi semuanya on-chain sendiri daripada mempercayai satu sumber mana pun — termasuk tulisan ini.

Inti dari daftar periksa bukanlah menemukan protokol yang "sempurna." Ini adalah menolak menyetor ke protokol yang tidak dapat menjawab kedelapan pertanyaan ini dengan jelas. Disiplin tunggal itu akan menghemat lebih banyak uang daripada strategi pengejar imbal hasil apa pun yang pernah menghasilkan.

Found this useful?
Pass it along.