Um Rug Pull (Puxada de Tapete) é um ato malicioso no qual os desenvolvedores de criptomoedas abandonam um projeto e fogem com os fundos do projeto ou vendem seus ativos pré-minerados.
As extensões de Rug Pull são mais comuns no ecossistema DeFi, pois os DEXs permitem que desenvolvedores mal-intencionados listem seus tokens sem qualquer verificação ou auditoria prévia.
O que é uma Fraude Rug Pull?
O ecossistema DeFi junto com DApps é conduzido inteiramente por usuários, em que qualquer desenvolvedor pode criar seus próprios projetos, enquanto os usuários podem optar por comprar se acreditarem que o projeto tem valor.
Embora isso seja atraente, essa liberdade também tem uma desvantagem enorme, pois os desenvolvedores mal-intencionados podem facilmente criar e listar tokens fraudulentos. Em particular, os agentes mal-intencionados tiram vantagem do padrão ERC-20, que reduziu significativamente as barreiras técnicas e financeiras para a criação de novos tokens.
Outro elemento chave dos tap pulls são as trocas descentralizadas (DEXs), como Uniswap (UNI) e SushiSwap (SUSHI), que, ao contrário das trocas centralizadas (CEXs), permitem a listagem de tokens sem auditoria.
Um relatório da CipherTrace, empresa de análise de blockchain, descobriu que 99% de todas as principais fraudes ocorridas durante o segundo semestre de 2020 resultaram de DeFi tap pulls e outros golpes de saída.
A imensa quantidade de dinheiro fluindo para o DeFi (de US $1,7 bilhão no início de 2020 para US $130 bilhões em maio de 2021) atraiu um grande número de agentes mal-intencionados. Os analistas de segurança notaram uma semelhança nas táticas usadas com a oferta inicial de moedas (ICO mania) de 2017.
Como Funcionam as Fraudes Rug Pulls?
As fraudes Rug Pulls operam de forma semelhante aos esquemas de pump e dump, pois ambos tiram proveito da falta de regulamentação no espaço de criptomoedas, da desinformação, do shilling e do medo de perder (FOMO).
A diferença é que o pump e os dumps normalmente operam em um intervalo de tempo mais curto, giram em torno da ação do preço dos tokens de baixo volume e não exigem o envolvimento dos desenvolvedores do token.
Por outro lado, rug pulls envolvem insiders decolando com a maioria dos fundos do usuário, emparelhando seu token com outro token (valioso), como Bitcoin (BTC) ou Ethereum (ETH). Depois que os investidores trocaram seus tokens pelo token fraudulento, os desenvolvedores drenam a liquidez do pool dos tokens valiosos, “puxando o tapete” dos investidores.
Outra tática comum são as grandes pre-mines de desenvolvedor, que em muitos casos são ocultadas dos investidores ou explicadas como um cofre de projeto, fundo de desenvolvedor ou eventual queima.
O golpe só é revelado quando esses fundos são vendidos rapidamente quando o preço do token aumenta o suficiente.
Os rug pulls são geralmente realizados por meio de backdoors intencionalmente escritos nos do projeto contratos inteligentes que permitem aos desenvolvedores drenar e manipular tokens fixados ou bloqueados de outra forma.
Em qualquer caso, o rug pull rapidamente leva o preço a zero, deixando qualquer investidor que não saiu antes com um monte de tokens inúteis.
Uma Fraude Típica de Rug Pull Tem a Seguinte Aparência:
Primeiro, um desenvolvedor mal-intencionado cria um token (vamos chamá-lo de SCAM) sem nenhum caso de uso real, normalmente apenas copiando e colando o código de outro token ou modelo e alterando algumas linhas.
Em seguida, o desenvolvedor adiciona liquidez de SCAM a um DEX, como Uniswap ou Sushiswap, e começa a usar o token por meio de grupos de mensagens e mídia social, geralmente pagando influenciadores.
Depois disso, conforme o preço do token aumenta, promessas de rendimentos incríveis e o FOMO faz com que mais e mais usuários adicionem tokens com valor real (normalmente ETH) ao pool de liquidez, fazendo com que os usuários comprem apenas SCAM diretamente, aumentando o preço ainda mais.
Uma vez satisfeito com seus ganhos, o desenvolvedor do SCAM drena toda a liquidez da plataforma e sai com um carregamento de tokens valiosos, e todos os investidores que não abandonaram o navio logo ficam com tokens sem valor, sem lugar para sacar.
O desenvolvedor pode repetir facilmente esse processo qualquer número de vezes com um token e pseudônimo diferente.
Exemplo de um Rug Pull?
Compounder Finance (CP3R) era um clone auto-descrito de Harvest and Yearn Finance (YFI) que se parecia com muitos dos outros projetos de DeFi yield farming que haviam tomado o setor em 2020. Em 1.º de dezembro, apenas 22 dias após seu o contrato inteligente foi lançado, o projeto “puxou o tapete” dos investidores drenando mais de US $10,8 milhões de seus contratos inteligentes.
No total, $750.000 em Wrapped Bitcoin (WBTC), $4,8 milhões em ETH, $5 milhões em DAI e quantias menores de outros tokens foram roubados. O preço do CP3R caiu 98,8% no período de 24 horas e estagnou completamente pouco depois.
Tabela de preços CP3R
Para piorar a situação, o CP3R foi realmente auditado pela firma de auditoria de contratos inteligentes Solidity Finance, que sinalizou uma configuração suspeita de contrato inteligente com temporizador, juntamente com o alto nível de controle da equipe de desenvolvimento.
Depois que a auditoria foi concluída, os desenvolvedores furtivamente entraram em uma porta dos fundos oculta que lhes permitiu retirar todos os fundos do projeto por meio do bloqueio de tempo de 24 horas, que embora público, estava claramente sem monitoramento.
Um grande problema é que qualquer auditoria solicitada por um projeto provavelmente vai se concentrar em ameaças externas, em vez do risco que os próprios desenvolvedores podem representar para os investidores.
No caso do CP3R, os investidores optaram por ignorar uma grande falha de segurança, embora a configuração do timelock tenha sido sinalizada pela auditoria.
Como Você Pode Reconhecer um Golpe Rug Pull?
Como acontece com todos os golpes, a maneira mais fácil é exercer a devida diligência. Sempre considere o caso de uso do token, nunca invista em algo que você não entende e nunca se precipite em um projeto simplesmente porque ele promete altos retornos ou aumentou drasticamente. Lembre-se sempre do velho ditado que diz que:
“Se algo parece bom demais para ser verdade, provavelmente é”.
Liquidez
As trocas descentralizadas determinam algoritmicamente os preços dos tokens em um pool de liquidez de acordo com os saldos disponíveis. A maneira mais fácil de se proteger de um rug pull é verificar a quantidade de liquidez na poll.
Os tokens legítimos tendem a ter dezenas de milhões (senão bilhões) de dólares em liquidez total, junto com uma quantidade significativa de tokens bloqueados por um determinado período de tempo.
Preços em Alta
Assim como acontece com pump e dumps, os investidores em potencial devem suspeitar muito de qualquer projeto cujo preço dispara em apenas algumas horas. Se você perceber que o valor de um token aumenta, tente descobrir o porquê.
Se não houve uma nova parceria, uma nova listagem na bolsa ou qualquer outro anúncio significativo, pode ser simplesmente uma tentativa de levar você e outros investidores a colocar dinheiro do FOMO.
Táticas de Nomenclatura
Os tokens fraudulentos costumam ter nomes semelhantes a projetos mais conceituados e estabelecidos.
Robert Leshner, fundador do criador de mercado automatizado DeFi (AMM Compound Finance COMP) observou que o rug pull CP3R usou intencionalmente um nome muito semelhante ao seu projeto para atrair vítimas desinformadas. Outros exemplos deste tipo de fraude incluem Yfdexf Finance e TRUAMPL.
Táticas de Marketing
Assim como muitos outros golpes, os rup pulls não são projetados com nenhum caso de uso prático em mente. Como tal, eles dependem muito do marketing para atrair um lote inicial de investidores e começar a empurrar o preço para cima.
Isso geralmente envolve o uso intenso de mídia social, junto com os chamados “influenciadores” de criptomoedas em plataformas como Instagram e TikTok. Um exemplo desse tipo de estratégia de rug pull é o token Save The Kids (KIDS), que atraiu um grande número de investidores com promoções de mídia social antes de o golpe ser efetivado.
Pesquisa de Antecedentes
A grande maioria que comentem este tipo de fraude são executados por equipes anônimas ou pseudônimas. Se o site do projeto não tiver nenhuma informação significativa (como nomes reais, experiência anterior de criptomoeda, perfis do LinkedIn, etc.) sobre a equipe, você deve ter cuidado.
Considere se o projeto tem alguma parceria com organizações respeitáveis ou se seu white paper faz algum sentido (se houver).
Em Resumo Sobre os Golpes Rug Pulls
Tal como aconteceu com a da mania ICO em 2017 e agora mais recentemente com a explosão do DeFi, os golpistas seguirão onde quer que o dinheiro vá.
Certos aspectos do ecossistema DeFi, como a conveniência de criar e listar novos tokens, tornaram os golpes mais fáceis de realizar do que nunca.
Assim como o DeFi desbloqueou um mundo inteiramente novo de finanças para milhões em todo o mundo, também desbloqueou um enorme grupo de vítimas em potencial para atores mal-intencionados.
Apesar de serem comuns, os fundos perdidos em rug pull quase nunca são recuperados e, na maioria dos casos, os golpistas podem desaparecer sem deixar vestígios.
Sem a proteção ou supervisão de qualquer autoridade central, os investidores são, em grande parte, deixados à própria sorte, caso algo dê errado.
Como tal, é fundamental exercer a devida diligência antes de investir em um projeto DeFi, especialmente quando parece bom demais para ser verdade.