У міру того, як розвиваються блокчейн технології, еволюціонують і методи шахрайських маніпуляцій. Одним із найбільш болючих явищ у світі Web3 став так званий rug pull. Це коли розробники або власники криптопроєкту раптово зникають із коштами інвесторів, залишаючи після себе лише порожні гаманці та розчарування.
Тож що таке rug pull, чим він такий небезпечний та як від нього вберегтись – розбиралася редакція Crypto Newsта поспілкувалася на цю тему з Артемом Козарем, адвокатом практики безпеки бізнесу в Juscutum.
Також коментарі надав радник, керівник практики форензік Asters Святослав Огреба.
Визначення: що таке rug pull у Web3-контексті
Це форма шахрайства, коли творці криптопроєкту чи токена штучно створюють ілюзію перспективності, щоб залучити якомога більше інвесторів. Це виглядає приблизно так: команда випускає новий токен або NFT, активно його просуває, обіцяючи швидке зростання вартості та унікальні переваги.
Користувачі купують активи, поповнюючи своїми коштами загальний фонд. І щойно сума досягає значних обсягів, організатори миттєво виводять усі кошти та зникають, залишаючи токен без будь-якої цінності.
Види rug pull: як проєкти «зникають» з вашими грошима
Rug pull проявляється у кількох основних форматах. Найпростіший варіант – миттєва втеча. Коли команда створює токен чи NFT, проводить агресивну маркетингову кампанію, збирає кошти та ліквідність, а потім зникає буквально за кілька годин або днів після запуску.
Також зловмисники можуть піти іншим сценарієм, через поступове виведення ліквідності. Так, шахраї місяцями підтримують видимість активної роботи, випускають оновлення чи новини, але непомітно продають свої токени або виводять частину капіталу з пулів.
Деякі злочинці вдаються і до більш замаскованих методів. Наприклад, зміна смартконтракту на користь організаторів або маніпуляції з умовами торгівлі, які блокують продаж токенів інвесторами, поки їхня вартість стрімко падає.
Як завчасно розпізнати ризиковані сигнали
Краще одразу побачити червоні прапорці, ніж потім розбиратися з наслідками. Цей принцип працює всюди, зокрема в протидії шахрайським маніпуляціям. Про найбільш характерні сигнали нашій редакції розповіли адвокат практики захисту бізнесу в Juscutum Артем Козарь та радник і керівник практики форензік Asters, Святослав Огреба. Експерти виділили декілька основних ознак.
Відсутність блокування ліквідності (liquidity lock)
Якщо кошти не заблоковані смартконтрактом на певний період, команда може в будь-який момент вивести їх із пулу. Без такого блокування ризик миттєвого зникнення з грошима значно зростає.
«Блокування ліквідності означає, що певну частину токенів або активів тимчасово заблоковано і не може бути продано або виведено з обороту, – пояснює Святослав Огреба. – Таке блокування часто використовується у проєктах DeFi (децентралізованих фінансів) для підвищення безпеки та довіри з боку інвесторів, оскільки гарантує, що розробники не зможуть вивести кошти».
Експерт говорить, що через блокування ліквідності розробники не можуть легко зникнути з усіма вкладеними коштами. Тому Огреба рекомендує блокувати ліквідність за допомогою смарт-контрактів щонайменше на три-п’ять років. Це дає токену час на зростання та залучення інвесторів. Ліквідність при цьому слід блокувати на 80–100%.
Наявність обмежень на продаж токенів
Неможливість продати куплені токени може свідчити про приховані механізми контролю, які ускладнюють вихід інвесторів і полегшують організаторам шахрайства реалізацію rug pull.
«Наявність обмежень на продаж токенів – ще один red flag, – говорить Святослав Огреба. – Якщо ви не можете продати токен, більш ніж ймовірно, що вона була закодована для обмеження можливості продажу».
Тож для перевірки цього фактору керівник практики форензік Asters радить купити невелику кількість монет та спробувати її продати.
«Якщо ви не можете продати, то, швидше за все, це rug pull», – зазначає Огреба.
Підозріла токеноміка
Коли понад 20–25% токенів належить кільком гаманцям (менше 10) або команді розробників, вони можуть одночасно продати їх і обвалити ціну, позбавивши інвесторів коштів. Крім того, насторожувати має і незвичний характер цієї токеноміки.
«Це можуть бути нереалістичні відсотки прибутку, бонуси за залучення нових учасників (ознаки фінансової піраміди) або надто агресивний маркетинг з обіцянками “швидкого збагачення”», – доповнює Артем Козар.
Адвокат від Jusctum також зазначає, що сигналом ризику є висока концентрація токенів у кількох гаманцях: розробники можуть продати їх одночасно, обваливши ціну.
Приховані функції та коди в смартконтрактах
Артем Козар говорить про наявність додаткових функцій, як-то “Backdoor” або “Proxy” у смартконтракті:
«Це можуть бути приховані функції, які дозволяють розробникам змінювати правила гри після запуску, наприклад, змінювати власника, виводити кошти з пулу ліквідності або навіть “мінтити” необмежену кількість нових токенів», – розповідає Артем Козар.
Експерт зазначає, що якщо код смартконтракту не оприлюднений на блокчейн-експлорері, наприклад на Etherscan, інвестори не можуть перевірити його на шкідливі функції.
Як захиститись від rug pull?
Святослав Огреба та Артем Козар радять, щоб уникнути ризику rug pull, інвестору ретельно перевіряти проєкт перед вкладенням коштів та звертати увагу на кілька важливих моментів.
Прозорість команди
Анонімність розробників або відсутність публічних профілів підвищує ризик їхнього зникнення із коштами інвесторів. Надійні команди мають відкриті акаунти в LinkedIn, Twitter та історію участі у інших проєктах.
Якісний аудит та технічні характеристики
Проведений аудит смартконтрактів значно знижує ризик шахрайства. Також важливо перевіряти, чи заблокована ліквідність, чи немає обмежень на продаж токенів і яка структура токеноміки.
Маркетинг та комунікація
Занадто агресивна рекламна кампанія через неофіційні канали або інфлюєнсерів, обіцянки швидкого збагачення та нереалістичні плани розвитку повинні насторожувати.
Реалістичний план розвитку
Користувачам слід оцінювати, наскільки чітко та детально описані технології та стратегія проєкту. Загальні фрази та обіцянки швидкого прибутку – червоний прапорець.
Технічні характеристики
Святослав Огреба підкреслює, варто перевіряти, чи впроваджено блокування ліквідності, чи немає обмеження на продаж токенів та яка токеноміка проєкту.
Спільнота проєкту
Артем Козар рекомендує звертати увагу на активність та здоров’я спільноти в Telegram, Discord та інших каналах. Реальні обговорення та залученість користувачів свідчать про надійність, тоді як лише позитивні коментарі від ботів – сигнал ризику.
«Для захисту від шахрайства звичайним користувачам варто поєднувати технічний аналіз із юридичним та економічним. Не покладайтеся лише на обіцянки, рекламу та рекомендації. Шукайте всю доступну інформацію про проєкт. Перевірте, чи є у команди публічні профілі (LinkedIn, Twitter), чи вони були залучені до інших успішних проєктів», – підсумовує Козар.
Чи допоможе аудит смартконтракту?
За словами Святослава Огреби, аудит смартконтрактів знижує ризик rug pull, але важливо перевіряти репутацію аудитора та легітимність звіту, звернувшись до компанії офіційно. Водночас Артем Козар наголошує, що це далеко не гарантія безпеки захисту:
«Аудит смартконтракту – це важливий, але не вичерпний захід. З правової точки зору, він може лише засвідчити, що код контракту не містить очевидних вразливостей, які могли б бути використані для виведення коштів. Аудитор перевіряє код, а не моральні наміри команди».
Адвокат пояснює, що шахраї можуть приховати зловмисні функції або використати “proxy” контракт, який змінює логіку після аудиту. Тож аудит показує стан коду лише на момент перевірки, і його результати стають неактуальними при змінах. Також відомі випадки підробки звітів або роботи неавторитетних компаній, тому завжди варто перевіряти легітимність аудитора та звіт.
Чи реально повернути кошти?
Артем Козар відзначає, що це найскладніше питання з юридичної точки зору. Повернути кошти вкрай важко, а часто – неможливо. За словами експерта, шахраї часто використовують децентралізацію як «щит», стверджуючи, що «код – це закон» і вони не несуть відповідальності.
Анонімність команди, крос-чейн транзакції та використання міксерів ускладнюють відстеження коштів. Якщо команда була анонімною, правоохоронцям важко ідентифікувати та затримати злочинців. Плюс міжнародний характер криптовалютних транзакцій ускладнює співпрацю між органами різних країн.
«Повернення коштів можливе лише у разі, якщо вдається ідентифікувати злочинців, довести їхні зловмисні наміри та отримати судовий ордер на заморожування активів. Це довгий і складний процес, що вимагає залучення міжнародних експертів і правоохоронних органів», – говорить Козар.
Якщо кошти потрапляють на централізовану біржу, їх можна заморозити, проте шахраї зазвичай уникають таких платформ, щоб не втратити контроль над активами.
Водночас Святослав Огреба стверджує, що для ефективного повернення коштів потрібно проводити крипторозслідування, визначаючи ключових осіб і шляхи виведення активів.
«Особливості функціонування криптосередовища надають такі можливості, але цей процес може зайняти час, оскільки ці ж самі особливості дають переваги і шахраям, – коментує керівник практики форензік Asters. – Наприклад, можливість швидко переводити кошти на гаманці багатьох користувачів та наявність інструментів, які підвищують рівень анонімності здійснення транзакцій (міксери, бріджи, конфіденційні монети тощо)».
Тож як підсумував Артем Козар, ефективний захист від rug pull починається з ретельної перевірки проєкту на ранніх стадіях. Якщо шахрайство вже відбулося, юридичні механізми стають дуже складними, і успіх значною мірою залежить від конкретних обставин та можливості ідентифікувати злочинців.
Запис Що таке rug pull і як його розпізнати: анатомія найпоширенішого шахрайства в Web3 спершу з'явиться на cryptonews.com.ua.
