Rug-pull là gì? Chi tiết cách nhận biết dấu hiệu dự án rug-pull

solfi_admin Thứ Năm, 26/05/2022

Rug-pull hay còn gọi là “kéo thảm” cho đến nay là loại gian lận phổ biến nhất trong DeFi kể từ sau khi cơn sốt ICO exit scams.

Theo CipherTrace, exit scam và rug-pull chiếm 99% các trường hợp gian lận DeFi vào năm 2020. Trên thực tế, rug-pull là một trong những nỗi lo lớn nhất của những nhà đầu tư crypto, khiến họ thức đêm, trằn trọc, cứ tự hỏi liệu số tiền khó kiếm được của họ có tan biến, do bị đánh cắp bởi các đội dev lừa đảo hay không.

Một số rugpulls phổ biến nhất trong không gian tiền điện tử bao gồm OneCoin (Hơn 4 tỷ đô la), Thodex Over (2 tỷ đô la), Luna Yield (10 triệu đô la), Snowdog (10 triệu đô la), Squid Game (3,36 triệu đô la) và mới đây là tin đồn DFI.Money (YFII) bị cáo buộc rug-pull khiến giá token mất 74% giá trị chỉ trong vòng 15 phút.

Bài viết này với mục đích giúp các bạn tìm kiếm các dấu hiệu nhất định mà một dự án có thể rug-pull, giúp bạn an toàn hơn trong thị trường DeFi.

Lưu ý, những dấu hiệu dưới đây chỉ nên được xem là kinh nghiệm và không nên được coi là tuyệt đối không chính xác. Một số dự án có thể có những dấu hiệu này và vẫn hoàn toàn ổn tại thời điểm đó. Nhưng suy cho cùng, tiền đầu tư vào crypto là của chính bạn, và cẩn thận là không thừa.

Rug-pull là gì?

Rug pull xuất phát từ cụm từ “pull the rug out from under (someone)”, có nghĩa là rút một cách bất ngờ. “rug pull” có thể dịch là “qua cầu rút ván”.

Trong lĩnh vực tiền mã hóa và hệ sinh thái phi tập trung (DeFi), “rug pull” là khái niệm chỉ các vụ lừa đảo mà dự án xây dựng sản phẩm bài bản. Sau đó phát hành token và niêm yết trên các sàn DEX  thông qua các pool thanh khoản như Uniswap hay PancakeSwap.

Tiếp đó, dự án sẽ tiến hành làm giá, marketing lôi kéo người dùng vào sử dụng và mua token đó trên các sàn DEX. Như vậy giá của token đó sẽ tăng lên và đến một mức nào đó đội dev sẽ rút pool hoặc xả toàn bộ token để lấy lợi nhuận và xóa dự án.

Rug-pull có thể được chia là hard rug-pull, soft rug-pull và fake rug-pull.

Hard rug-pull là khi đội dev mở một cửa sau trong đoạn code giao thức gốc cho phép họ dễ dàng rút tiền của người dùng bị khóa trong các hợp đồng thông minh. Đôi khi một cửa sau đã biết hoặc chưa biết trong giao thức bị phát hiện và các hacker lợi dụng lỗ hổng này. 

Các cửa hậu này đôi khi có sẵn trên giao thức, hoặc được ngụy trang một cách khéo léo (giống như phần mềm độc hại truyền thống khi nó lây nhiễm vào máy tính của bạn) và tiền của người dùng bị rút từ từ.

Một ví dụ khét tiếng trong thể loại rug-pull này là Squid Game token (SQUID). Trong vụ rug-pull SQUID, đội dev đẩy giá SQUID lên hơn 75.000%, trước khi bán phá giá token ở mức giá 2.860 đô la. 

Nếu biết cách kiểm tra hợp đồng thông minh, bạn có thể tránh loại rug-pull này. Hợp đồng thông minh tiết lộ bất kỳ thủ thuật ngầm nào được thiết kế để lừa gạt các nhà đầu tư. Hoặc nếu bạn không biết làm thế nào để kiểm tra, bạn nên lựa chọn các dự án đã được các auditor có tiếng như Certik, Quantstamp, Hacken,… audit để đầu tư.

Soft rug-pull là khi các nhà phát triển chỉ cần bán dần dần lượng token của họ và từ bỏ dự án, làm giảm giá token và khiến dự án chết chìm trong nước. Trường hợp này gây tranh cãi nhiều hơn vì về mặt kỹ thuật không có hành vi trộm cắp trực tiếp tiền của người dùng và các nhà phát triển có thể có quyền định đoạt số lượng token bán xả khi họ thấy phù hợp, nếu pool thanh khoản không bị khóa. 

Ví dụ: một giao thức yield farming đã từng rất hot tên Polywhale Finance. Giá của Polywhale giảm mạnh sau khi nhóm của họ từ bỏ dự án. Tuy nhiên không ai nhận ra điều này trước khi họ rút hơn 1 triệu đô la tiền mã hóa.

Đáng buồn là không một tài liệu audit nào có thể giúp phát hiện ra vụ rug-pull này, vì đó là quyết định thiếu thiện chí của những người sáng lập, và nó không được tiết lộ trong mã nguồn. 

Chỉ có phương pháp kiểm tra KYC mới giúp người dùng chọn đúng dự án với đội phát triển có tên tuổi rõ ràng. Nhưng ngay cả khi kiểm tra như vậy, không có gì đảm bảo họ sẽ trung thành với dự án. Điển hình là Andre Cronje – Founder Fantom, Solidly, và hàng loạt các dự án DeFi đã đột ngột rời bỏ đi, khiến token các dự án đó dump hàng loạt. Do đó, điều quan trọng là người dùng phải kiểm tra các dấu hiệu cho thấy một dự án là giao dịch thực sự bằng cách theo dõi sự phát triển thực sự của dự án theo thời gian.

Fake rug-pull ngược lại không phải là rug-pull. Đơn giản đó là hoạt động thị trường bất thường gây ra sự biến động lớn về giá token hoặc lợi nhuận từ yield-farming, khiến nó trông giống như rug-pull.

Vì vậy, những dấu hiệu nào mà giao thức bạn đã đầu tư có thể bị ảnh hưởng?

Cách nhận biết một dự án có dấu hiệu rug-pull

Đội ngũ phát triển mơ hồ

Các dự án phi tập trung phát triển mã thông báo riêng của họ đều có đội ngũ đứng sau, các bạn có thể kiểm tra trên trang web dự án của họ hoặc thông qua LinkedIn. Nhưng đa phần đội ngũ phát triển các dự án phi tập trung thường ẩn danh.

Thanh khoản không bị khóa

Khi một dự án không khóa thanh khoản, không có gì ngăn cản họ rút tài sản khỏi pool thanh khoản và biến mất. Các dự án danh tiếng thường khóa thanh khoản khoảng 80% đến 100% trong hơn 1 năm, chủ yếu là 3–5 năm.

Thanh khoản bị khóa luôn được hiển thị dưới dạng một hợp đồng thông minh nắm giữ một nguồn cung lớn token theo chủ sở hữu token.

Trên các AMM lớn đều có phần lock thanh khoản khi tạo, để dự án không thể rút pool trong 1 khoảng thời gian nhất định nhằm đem lại sự tin cậy cho nhà đầu tư. Hãy cẩn thận với các dự án có pool thanh khoản không được lock.

Phân phối token quá tập trung

Hầu hết các dự án lừa đảo đều có 5–10 ví nắm giữ một phần lớn nguồn cung cấp token, cho phép họ bán phá giá dự án một cách dễ dàng. Nếu một ví chứa từ 5% trở lên nguồn cung token, dự án rất có thể là một vụ lừa đảo.

Cách bạn có thể xem các ví nắm giữ token trên Etherscan, BscScan, CoinMarketCap, TRONSCAN,… Nhưng nếu thấy một dự án nhỏ và token của nó tăng giá cao đột xuất thì nên lưu ý với nó.

Trang web sơ sài và mạng xã hội hoạt động kém

Nếu trang web trông có vẻ ngắn gọn, sơ sài, rất có thể dự án đó không có uy tín. Ngoài ra, mạng xã hội của dự án có một vài dấu hiệu khả nghi. Ví dụ như, có rất nhiều tài khoản clone làm follower và thành viên cộng đồng clone. Hầu hết thời gian, họ chỉ xuất hiện seeding cho dự án mà không có bình luận nào trông có vẻ… thật. Trang dự án nhiều quảng cáo và gắn thẻ bằng bot.

Giá tăng vọt và APY phi thực tế

Ông bà ta có câu, mật ngọt chết ruồi. Hầu hết các vụ rugpulls có giá tăng vọt từ 0 đến 50 lần hoặc 100 lần trong vòng chưa đầy 24 giờ. Dự án được pump giá bởi 1 vài ví cá mập thường sẽ bị dump rất nhanh. Các dự án lừa đảo đôi khi đưa ra APY cực hấp dẫn, đôi khi lên tới 500% nhằm lôi kéo người dùng đến dự án.

Hạn chế bán

Khi các nhà đầu tư bị hạn chế bán token, đội dev sẽ dễ dàng bán bớt phần token của họ, lừa đảo các nhà đầu tư. Luôn mua một lượng nhỏ token và bán nó để kiểm tra xem dự án có giới hạn bán hay không.

Dấu hiệu lạ trong hợp đồng thông minh

Theo Ledger, dưới đây là một ví dụ tuyệt vời để hiểu lý do tại sao biết đọc một hợp đồng thông minh là điều cần thiết. Hai kẻ lừa đảo đã bắt chước founder của một trò chơi nổi tiếng trên Solana có tên là Space Falcon và tặng nạn nhân 2 NFT mà anh ta có thể stake để kiếm phần thưởng.

Tất nhiên, đó không phải là Space Falcon thực sự, và nếu nạn nhân approve loại hợp đồng thông minh này, 100% số tiền trong ví sẽ không cánh mà bay. May mắn thay, anh chàng này đã tiến hành thẩm định và đọc hợp đồng thông minh (nhờ tính minh bạch của blockchain!) để nhận ra rằng đó thực chất là một “hợp đồng lừa đảo”. Cuối cùng nhờ đó mà tránh được một vụ scam.

Và bạn không cần phải là một lập trình viên hay phải học qua ngôn ngữ lập trình Solidity để hiểu cách đọc hợp đồng thông minh của hầu hết các dự án tiền điện tử này. Đối với các dự án phi tập trung, bạn có thể kiểm tra đoạn code hợp đồng thông minh trên trang GitHub của dự án.

Hãy dành một chút thời gian để đọc tweet này để hiểu rõ hơn.

Trước khi bạn đầu tư tiền của mình vào bất kỳ dự án tiền điện tử nào, hãy dành thời gian để kiểm tra mã hợp đồng thông minh của dự án. Vậy làm thế nào?

Một dự án có ý định rug-pull thông thường sẽ có đoạn lệnh này trong mã hợp đồng thông minh của nó:

Hãy chú ý những dấu hiệu dưới đây: Đoạn function này cho phép ceoAddress (chủ sở hữu hợp đồng) chuyển tiền từ hợp đồng đến địa chỉ của anh ta.

Trong thực tế, dev sẽ không dễ dàng đặt tên function là “migrate”, họ có thể đặt tên đoạn code là bất cứ thứ gì họ muốn, nhưng điều quan trọng là những gì bên trong lệnh Function. Bạn hãy quan sát rõ ràng!

Nếu đoạn code của dự án có phần này, rất có thể nó là một dự án rug-pull, vì một khi hàm này được gọi, nó cho phép chủ sở hữu hợp đồng hoặc bất kỳ địa chỉ cụ thể nào, chuyển tất cả tiền ra khỏi hợp đồng.

Nếu người gọi là “ceoAddress“, thì toàn bộ số dư hợp đồng sẽ được chuyển đến “ceoAddress“. Bởi vì “ceoAddress” là người bắt đầu dự án, đây chính xác là cách đội dev rug-pull. Tất nhiên, biến này có thể đặt tên là bất cứ cái gì mà coder muốn, không nhất thiết phải là “ceoAddress“. 

Một yếu tố quan trọng khác mà bạn không nên để bị lừa là trạng thái hợp đồng “vertified“. Hợp đồng đã được “vertified” không giống với hợp đồng đã được kiểm toán!

“Verified” ngụ ý hợp đồng đã được triển khai Đầu ra JSON khớp với ABI của hợp đồng trên blockchain! Tóm lại, điều này không có nghĩa là hợp đồng được bảo mật !!!

Audit hợp đồng thông minh thường được thực hiện bởi một bên thứ ba, để đảm bảo rằng hợp đồng không có lỗi và không chứa mã ẩn. Ngay cả khi hợp đồng đã được “audited”, bạn nên kiểm tra kỹ tính hợp pháp của tổ chức audit đó.

Lưu ý cuối cùng, có rất nhiều cách khác nhau để các đội dev sửa đổi mã hợp đồng thông minh nhằm lừa đảo nhà đầu tư. Tuy nhiên, đây là phương pháp rõ ràng nhất và được sử dụng phổ biến nhất. Hướng dẫn này sẽ giúp bạn tránh những trò lừa đảo trắng trợn đang diễn ra hàng ngày trong thế giới tiền điện tử của chúng ta.

Cùng học tập và nâng cao kiến thức crypto với BlockSolFi tại Cryptopedia và Đầu tư. Và đừng quên tham gia bàn luận ngay cùng chúng mình tại Telegram và Facebook.

Đọc thêm:

Fear & greed index là gì? Có nên đầu tư theo chỉ số tham lam và sợ hãi?

8 câu hỏi cần trả lời trước khi đầu tư vào một dự án crypto