Czym jest Rug Pull? Jak się przed nim chronić?

Tylko w pierwszej połowie roku 2023 roku na rynku zdecentralizowanych finansów (DeFi) skradziono ponad 650 milionów dolarów. Co ciekawe, scamy rug pull odpowiadają za ponad 78 milionów spośród tych strat. Tak przynajmniej wynika z czerwcowego raportu firmy zajmującej się cyberbezpieczeństwem, Beosin. W dzisiejszym artykule wyjaśnimy Ci, co to jest rug pull, na czym polega oraz jak nie stać się jego ofiarą. Tak więc zaczynamy!

Co to jest rug pull?

Rug pull to termin podchodzący od angielskiego zwrotu „pull the rug” (wyciągnąć spod kogoś dywan). Jest to scam polegający na tym, że zespół odpowiedzialny za rozwój projektu DeFi dumpuje tokeny lub wyciąga płynność z puli, pozostawiając inwestorów z nic nie wartą kryptowalutą.

W DeFi płynność oznacza liczbę kryptowalut wrzuconych do puli płynności i zablokowanych w smart kontrakcie. Jest to niezbędny warunek działania automatycznych animatorów rynku (AMM) i zdecentralizowanych giełd, takich jak np. Uniswap lub Pancakeswap.

Aby zrozumieć podstawy działania DEXów, zapoznaj się z naszym obszernym przewodnikiem na ten temat. Możesz go znaleźć pod tym linkiem.

W gruncie rzeczy, podobnie jak w przypadku scentralizowanych giełd, płynność jest niezbędna w protokołach DeFi, ponieważ dzięki niej użytkownicy mogą przeprowadzać transakcje pomiędzy różnymi aktywami bez wywoływania ogromnych wahań cen. Więcej na ten temat powiemy w kolejnych sekcjach tego poradnika.

Pssst! A czy wiesz, że na giełdzie kryptowalut Binance możesz otworzyć konto z dożywotnim 20% rabatem prowizje? :)

Rug pull są często kojarzone z sektorem zdecentralizowanych finansów. Wiąże się to z tym, że stworzenie tokena i wprowadzenie go na zdecentralizowaną giełdę jest banalnie proste. W procesie tym nie trzeba przechodzić przez proces Know Your Customer (KYC). Nie jest potrzebne również przeprowadzanie audytu kodu smart kontraktu u strony trzeciej, który zapewniłby, że nie ma on żadnych słabych punktów. Należy jednak również pamiętać, że audyt wcale nie musi gwarantować legalności projektu.

Na czym polega rug pull?

Skoro wiesz już, czym jest rug pull, wyjaśnijmy na czym, on polega. Zazwyczaj oszuści tworzą nowy token oparty na standardzie ERC-20 Ethereum. Jednak nie zawsze. W ostatnich latach rug pulle są przeprowadzane też na innych sieciach warstwy 1. Może to być, chociażby Solana, Avalanche czy Binance Smart Chain. Następnie token ten jest wprowadzany na DEX. W przypadku Ethereum może to być Uniswap, Solana – Raydium, Avalanche – TraderJoe, a na BSC zazwyczaj jest to PancakeSwap.

Po stworzeniu projektu twórcy muszą dostarczyć płynność i mogą to zrobić na dwa sposoby:

• Po pierwsze, jest to możliwe poprzez pulę płynności, wówczas dodają oni token sparowany z inną większą kryptowalutą, np. Etherem (ETH).
• Drugim sposobem na dodanie płynności jest IDO (Initial DEX Offering). W tym przypadku token jest wprowadzany na zdecentralizowaną giełdę, aby pozyskać fundusze od inwestorów.

Rodzaje rug pulli

Choć efekt oszustwa jest ten sam, a jest nim utrata pieniędzy przez inwestorów, możemy wyróżnić kilka rodzajów rug pulli w zależności od mechanizmu działania:

• Ograniczanie możliwości sprzedaży i honeypot

Pierwszym sposobem oszustwa może być manipulacja płynnością poprzez zaprogramowanie smart-kontraktu w taki sposób, że ograniczana jest możliwość zbywania tokenów przez inwestorów. Ograniczenia te mogą dotyczyć zarówno ich ilości, jak i czasu realizacji transakcji. W skrajnych przypadkach mamy do czynienia ze zjawiskiem nazywanym honeypot, który polega na tym, że nikt poza twórcami projektu nie ma możliwości sprzedaży posiadanych tokenów.

• Dumping

Schemat pump and dump to schemat szeroko znany w świecie inwestorów z różnych rynków. W przypadku kryptowalut, twórcy projektu zwiększają jego zasięgi i intensywnie go promują, tylko po to, aby w odpowiednim momencie, gdy cena osiągnie satysfakcjonujący ich poziom, wyprzedać wszystkie swoje żetony. Sprzedaż dużej ilości tokenów skutkuje gwałtownym załamaniem ceny.

• Kradzież płynności

Na scentralizowanej giełdzie mamy do czynienia z market makerem, który paruje dwie strony transakcji. W przypadku zdecentralizowanego krypto odbywa się to automatycznie poprzez korzystanie z puli płynności.

Inwestuj z brokerem XTB w ponad 5900 instrumentów! Akcje i ETF bez prowizji (do miesięcznego obrotu 100 000 EUR), kryptowaluty, waluty, surowce, konto IKE, ponad 200 godzin kursów i wiele innych :)

Przykład: Inwestor X postanawia zakupić 200 tokenów Y za ETH, gdzie wartość Y i ETH wykazuje stosunek 1:1. Przyjmijmy, że w puli znajduje się 20 000 Y i 20 000 ETH. W wyniku zakupu, do portfela inwestora trafiło 200 Y, w puli płynności pozostało więc 19 800 Y, z kolei stan ETH zmienił się z 20 000 na 20 200. W konsekwencji cena tokena Y wzrosła, ze względu na zwiększenie popytu.

Co jednak stanie się, gdy twórca projektu lub osoba kontrolująca pulę postanowi wycofać z puli wszystkie środki? Zrealizuje się jeden ze znanych schematów oszustwa typu rug pull – cena spadnie dramatycznie, a inwestor pozostanie z bezwartościowym tokenem w swoim portfelu.

Znane oszustwa rug pull

1. Onecoin

Onecoina, promowanego w pewnym momencie jako “lepszego Bitcoina”, współtworzyła “cryptoqueen”, Ruja Ignatov, która stała się twarzą całego przedsięwzięcia. Szturmem zdobyła popularność i zainteresowanych do wzięcia udziału w projekcie. W 2017 roku Ignatov rozpłynęła się w powietrzu, do dziś nie wiadomo nic na temat jej losów, choć znajduje się ona na liście 10 najbardziej poszukiwanych osób na świecie. Onecoin okazał się połączeniem schematu Ponziego, marketingu wielopoziomowego (MLM) i rug pull. Pochłonął 4 miliardy USD i uważany jest za jedno z największych oszustw finansowych na świecie.

2. Squid game

W 2021 Netflix wyemitował serial “Squid Game”, który okazał się światowym hitem i numerem jeden na liście najczęściej oglądanych seriali na tej platformie, wyprzedzając nawet “Stranger Things”. Na fali popularności serialu, powstała nawiązująca do niego kryptowaluta, która w szczytowym momencie osiągnęła kurs 2,861$. Dziś jeden token jest wart 0,006318$, a jego twórcy, jak się okazało, nie byli w żaden sposób powiązani ze wspomnianą produkcją. Wykorzystali jej popularność po to, aby osiągnąć jak największe zyski ze swojego oszustwa. Finalnie wyprowadzono ok. 3,3 mln USD.

3. Thodex 

Faruk Fatih Ozer był założycielem tureckiej giełdy kryptograficznej Thodex. W 2021 roku wstrzymano handel, argumentując to rzekomymi cyberatakami. Dość szybko okazało się jednak, że nie jest to zwykła przerwa techniczna a pieniądze inwestorów, wbrew zapewnieniom, wcale nie są bezpieczne. Choć po upadku giełdy Thodex Ozer zniknął, dokonano jego ekstradycji z Albanii do Turcji i grozi mu ponad 40 000 lat więzienia. Skala całego oszustwa szacowana jest na 2,5 miliarda USD.

Jak rozpoznać rug pull?

Inwestując w projekt DeFi, zawsze należy przeprowadzić własną dokładną analizę. Istnieje kilka aspektów, które już od początku mogą zwiastować rug pull. Należą do nich:

• Anonimowy zespół – Jest bardzo ważny czynnik, na który powinieneś zwrócić uwagę. Pozwól nam jednak rozwinąć tą kwestię. Anonimowość jest kwestią sporną w branży krypto. Istnieje bowiem wielu znanych programistów, którzy pracowali nad dobrze prosperującymi kryptowalutami. Właśnie dlatego fakt, iż zespół jest anonimowy, nie od razu skreśla dany projekt. Z drugiej strony, całkowicie anonimowy zespół może być czerwoną flagą. W takim przypadku zawsze powinieneś być ostrożny i zweryfikować np. wcześniejsze osiągnięcia.
• Niezrozumiały whitepaper – Jeżeli whitepaper (dokument, który przedstawia cel i elementy techniczne projektu), jest napisany w sposób niezrozumiały i dwuznaczny, oznacza to, że jest on bardziej koncepcyjny i nie stoi za nim żaden rzeczywisty produkt. Czasami whitepaper może być napisany w sposób, który wygląda bardziej na zagrywkę marketingową niż na faktyczną ofertę czegoś użytecznego.
• Nieproporcjonalna alokacja tokenów – Jeżeli dystrybucja tokenów faworyzuje deweloperów, powinna zapalić Ci się czerwona lampka. Przed inwestycją sprawdź alokację tokenów oraz harmonogram ich wydawania. Przy pomocy eksploratora bloków możesz sprawdzić dystrybucję, liczbę hodlerów oraz ile tokenów posiada każdy z nich. Zrównoważony podział podaży tokenów zazwyczaj oznacza bezpieczniejszą inwestycję.
• Brak blokady tokenów – Po IDO deweloperzy zrzekają się prawa do zarządzania tokenami poprzez zablokowanie ich w puli płynności, to tzw. liquidity locker. W legalnych projektach środki są zazwyczaj blokowane na pewien czas, im dłuższy, tym lepiej. Gwarantuje to, że przez dany okres rynek będzie miał odpowiednią płynność, aby na nim handlować. Deweloperzy, którzy planują rug pull, zazwyczaj nie blokują płynności, aby później móc w łatwy sposób wydrenować płynność, usuwając tokeny z puli.
• Brak okresu vestingu – Brak okresu vestingu oznacza, że pierwsi inwestorzy i sam zespół mogą zdumpować swoje tokeny, a to z kolei spowoduje tzw. powolny rug pull. Pierwotni inwestorzy, którzy nie widzą wizji projektu, ale weszli tylko dlatego, że udało się im być pierwszymi, z czasem wyprzedają swoje udziały, a to prowadzi do spadku ceny.
• Niska płynność i całkowita zablokowana wartość (TVL) – Zanim zainwestujesz w dany projekt DeFi, warto, abyś sprawdził jego płynność. Możesz to zrobić, np. patrząc na wolumen w ciągu ostatnich 24 godzin. Jeżeli płynność jest niska, zespołowi dużo łatwiej jest manipulować ceną tokena.
• Całkowita zablokowana wartość – Jeżeli projekt posiada jakiś mechanizm stakingowy lub pozwala na zapewnienie płynności, to warto również zwrócić uwagę na całkowitą zablokowaną w nim wartość (TVL). Ta metryka jest dość oczywista – pokazuje, ile pieniędzy jest w danym momencie zablokowanych w projekcie. Im TVL jest wyższa, tym więcej inwestorów wierzy w daną kryptowalutę i stojący za nią zespół.

Jak uchronić się przed oszustwem rug pull?

W rug pullu chodzi przede wszystkim o to, aby stworzyć jak największy, choć fałszywy, szum dotyczący projektu, starając się jednocześnie prezentować go w jak najbardziej legalny sposób. Niektórzy oszuści fałszują nawet ataki na swoje protokoły, nadając sobie pozory legalności.

Po zaangażowaniu wystarczającej liczby ofiar i zapewnieniu projektowi wystarczającej płynności oszuści mogą sprzedać tokeny należące do zespołu za jednym razem po wysokiej cenie, jednocześnie drenując pulę płynności.

Bez wystarczającej płynności inwestorzy są zmuszeni do sprzedaży po znacznie niższej cenie. W ten sposób tracą pieniądze. Jeżeli projekt nie jest audytowany przez znaną firmę audytorską, wówczas twórcy mogą przemycić tzw. „backdoory” ukryte w kodzie smart kontraktu protokołu. Gdy cała płynność zostanie wydrenowana, a środki inwestorów znajdą się w rękach zespołu deweloperów, zespół ten często usuwa wszelkie ślady. Z sieci znika oficjalna strona internetowa i kanały mediów społecznościowych.

Nikt nie chciałby znaleźć się w takiej sytuacji, należy więc zachować szczególną ostrożność. Biorąc pod uwagę skalę przestępstw w świecie krypto, musimy zdawać sobie sprawę z tego, że ich ofiarami padają ludzie na różnym poziomie świadomości i zasobów. Jest jednak kilka rzeczy, na które warto zwrócić szczególną uwagę.

1. W pierwszej kolejności przeanalizuj projekt, który wzbudza Twoje zainteresowanie, pod kątem niepokojących sygnałów, wymienionych powyżej. Jeśli żaden z tych elementów nie występuje, warto przejść do poszukiwania informacji na temat samego projektu, jak i jej twórców jako zespołu (firmy) i pojedynczych osób. Zespół zakłada różne kanały social media, najczęściej wykorzystując fałszywą tożsamość lub pozostając kompletnie anonimowym. Social media, które warto sprawdzać to Linkedin, Twitter, Telegram itd. Należy tutaj zaznaczyć, że nie wszystkie anonimowe zespoły okazują się, być oszustami. Anonimowość może też wynikać z samej idei kryptowalut. W branży tej jest to bowiem bardzo mocno ceniona wartość.
2. Sprawdź audyt smart kontraktu, choć jak wspomnieliśmy wyżej, nie jest to stuprocentowa gwarancja bezpieczeństwa, jest to ważny aspekt, na który należy zwrócić uwagę.
3. Zweryfikuj, czy smart kontrakt posiada blokadę wypłaty środków dla twórców projektu (liquidity locker). Na im dłuższy czas środki są zablokowane, tym lepiej, choć przyjmuje się, że powinien być to przynajmniej okres jednego roku.
4. Oceń realność obietnic twórców projektu, ponieważ nierealistyczne APY (Annual Yield Percentage) to zwiastun problemów. APY to procentowy zwrot z inwestycji za rok. Wysoki APY nie musi wcale oznaczać, że projekt jest oszustwem, ale przekłada się na wyższe ryzyko. W końcu coś, co wygląda zbyt pięknie, aby być prawdziwe, zazwyczaj takie nie jest. Czasami nie mamy do czynienia z klasycznym rug pullem, ale innym rodzajem oszustwa, np. takim jak piramida finansowa.

Zachowanie ostrożności pozwala zminimalizować ryzyko inwestycji w podejrzane projekty. Pamiętaj jednak, że na scamy zawsze najbardziej narażone są te osoby, które nie mają doświadczenia i wiedzy na temat danego instrumentu i jego specyfiki. Z tego względu, na początku swojej przygody z kryptowalutami, warto trzymać się tych z nich, które są znane i bezpieczne, np. BTC czy ETH. Choć nadal bardzo dużo mówi się o dywersyfikacji portfela jako jednym z elementów zarządzania ryzykiem, dla osoby nie posiadającej wiedzy, dobranie odpowiednich aktywów jest zadaniem wyjątkowo trudnym i w rezultacie, generującym potencjalnie większe straty.

Inwestowanie jest ryzykowne. Inwestuj odpowiedzialnie.

Powiązane wpisy:

Jak chronić się podczas handlu na dApps i unikać oszustw? Oszustwa NFT: 7 popularnych kantów. Jak się chronić? Czym jest Binance Megadrop i jak na nim zarobić? Kim jest górnik Bitcoin i jak nim zostać? Wskaźnik MACD – wszystko co musisz o nim wiedzieć Co to jest CeFi? Czym różni się od DeFi? Co to jest Web5? Czym różni się od Web3? APR i APY w kryptowalutach. Co oznaczają i czym się różnią? ETF a CFD – czym się od siebie różnią? Co to jest Pocket Network (POKT)? Jak wpisuje się w narrację DePin?