Thị trường Crypto đã và đang dần trở thành “miếng mồi ngon” cho các tội phạm mạng, hay còn được gọi là Rug Pull. Những kẻ này đã tận dụng kẽ hở của cơn sốt tiền điện tử để scam nhà đầu tư mới hay nói cách khác là các dự án úp bô. Hành động Rug Pull là rủi ro nguy hại nhất mà các nhà giao dịch cần phải biết cách phòng tránh.
Rug pull là gì?
Rug pull xuất phát từ cụm từ “pull the rug out from under (someone)”, có nghĩa là rút một cách bất ngờ. “rug pull” có thể dịch là “qua cầu rút ván”.
Trong lĩnh vực tiền mã hóa và hệ sinh thái phi tập trung (DeFi), “rug pull” là khái niệm chỉ các vụ lừa đảo mà dự án xây dựng sản phẩm bài bản. Sau đó phát hành token và niêm yết trên các sàn DEX thông qua các pool thanh khoản như Uniswap hay PancakeSwap.
Tiếp đó, dự án kêu sẽ tiến hành làm giá, marketing lôi kéo người dùng vào sử dụng và mua token đó trên các sàn DEX. Như vậy giá của token đó sẽ tăng lên và đến một mức nào đó đội dev sẽ rút pool hoặc xả toàn bộ token để lấy lợi nhuận và xóa dự án.
Các vụ rug pull lớn trong lịch sử
Chainalysis đã đưa ra nghiên cứu cho rằng trong năm 2021, thị trường tiền mã hóa đã để xảy ra đến 24 vụ rug pull, gây thiệt hại đến 2,8 tỷ USD. Con số này chiếm đến 37% lượng tiền 7,7 tỷ USD bị thất thoát trong năm nay do các thủ đoạn lừa đảo crypto.
So với năm 2020, rug pull đã tăng vượt bậc cả về số lượng lẫn thiệt hại.
Thodex
Không phải tất cả các dự án rug pull đều là các dự án DeFi, rug bull lớn nhất trong lịch sử liên quan đến Thodex, một sàn giao dịch tiền điện tử tập trung của Thổ Nhĩ Kỳ. CEO đã biến mất ngay sau khi ngừng rút tiền của người dùng, dẫn đến thiệt hại hơn 2 tỷ USD.
Sushiswap
Có 1 dự án rug pull khá nổi tiếng trong thế giới Defi là Sushiswap. Sau khi dự án phát triển và giá SUSHI đạt đỉnh, một dev trong dự án là Chef Nomi đã bất ngờ rút lượng lớn thanh khoản trị giá 14 triệu USD làm cho giá trị của SUSHI bị giảm sâu. Khiến cho giá giảm từ 9$ xuống 1$ trong thời gian chưa đầy một tuần.
Tuy nhiên sau đó, Sam Bankman-Fried – CEO của FTX đã cứu vớt dự án bằng cách đứng ra nắm quyền kiểm soát từ tay Chef Nomi. Từ đó, dự án lấy lại được niềm tin từ cộng đồng và phát triển đến ngày hôm nay.
Các hình thức Rug Pull phổ biến
Sàn Dex luôn đề cao tính phi tập trung nên hầu hết các Dex cho phép bất kỳ ai cũng có thể tạo Pool thanh khoản và những kẻ xấu đã lợi dụng vô chính đặc điểm này để niêm yết các token lừa đảo như một cách tiếp cận dễ dàng hơn rất nhiều đến các nhà đầu tư.
Dự án rút thanh khoản
Đối với những dự án làm AMM, Farming thông thường họ sẽ cung cấp các mức APY cao ngất ngưỡng để thu hút người dùng bỏ thêm thanh khoản vào trong Pool đó.
Vì pool chưa được lock nên giá trị Pool cứ thế tăng lên cho đến khi dự án cảm thấy số tiền trong Pool đạt như kỳ vọng, họ sẽ rút tất cả các tài sản trong Pool ra và bỏ trốn.
Dự án bị xả sập
Còn đối với những dự án không hoạt động theo cách kêu gọi người dùng cung cấp thanh khoản thì thường sẽ có những đoạn code lạ với mục đích ngăn chặn nhà đầu tư khi mua token đó sẽ không thể bán hoặc chỉ có thể bán ra với số lượng nhỏ giọt không đáng kể.
Điều này khiến cho các nhà đầu tư gần chỉ có một chiều giao dịch mua. Sau khi làm truyền thông, tạo được fomo đẩy giá lên đỉnh điểm thì cũng chính là lúc dự án xả hết số lượng token mà họ nắm giữ và biến mất.
Hay có những thủ đoạn lừa đảo trắng trợn hơn đó là dự án tự động mint ra thêm token để xả ra thị trường.
Các cách nhận biết các dự án Rug Pull
Rug Pull rất nguy hiểm, nếu không may mua phải dự án Rug Pull thì gần như bạn sẽ mất trắng. Tuy nhiên vẫn có một số dấu hiệu để bạn nhận biết một dự án Rug Pull.
Dev ẩn danh
Điều này không hẳn đúng bởi vì có rất nhiều dự án dev ẩn danh nhưng hoạt động rất tốt, các sản phẩm phát triển theo thời gian và đáp ứng nhu cầu người dùng như Pancakeswap… Tuy nhiên với những dự án có ý định Rug Pull thì không dại gì dev lại công khai ra mặt cả.
Thanh khoản không được lock
Nếu thanh khoản của một dự án không được lock thì “money game” đó đội ngũ dự án gần như đang kiểm soát hoàn toàn. Bởi vì chỉ với một thao tác Remove Liquidity trên chính Pool thanh khoản mà bạn đang giao dịch thì toàn bộ thanh khoản trên Pool này sẽ chuyển về ví của Devs – người tạo ra Pool.
Tuy nhiên, để qua mặt một số nhà đầu tư, dự án lại tinh vi hơn khi thực hiện lock thanh khoản trên danh nghĩa. Thay vì lock thanh khoản thông qua một đơn vị thứ 3 thì các dự án này họ dùng số LP token để đi farm.
Số LP đem đi farm sẽ được contract hiển thị dưới dạng đang lock nhưng việc lock qua cơ chế này hoàn toàn không có ý nghĩa. Cũng như chúng ta farm LP token trên các nền tảng khác như Pancakeswap, Quarry,… các LP token này hoàn toàn có thể unstake bất kỳ lúc nào.
Website sơ sài và lượt tương tác ảo trên các kênh Social Media
Một số dự án khi muốn tăng sự uy tín trên phương tiện truyền thông đã âm thầm mua các lượt tương tác ảo. Những dịch vụ tương tác ảo này thực chất được rao với mức giá rất rẻ.
Do đó nếu nhìn vào một dự án có đội ngũ ẩn danh và Telegram hay Twitter của dự án lại có những tài khoản bot follow chiếm phần lớn thì rõ ràng dự án chỉ đang muốn tạo ra một sự phong bạt.
Dự án có contract chưa được audit bởi đơn vị uy tín
Một số dự án khi muốn tăng độ uy tín đối với người dùng, họ sẽ phải trả một khoản phí để bên thứ 3 đứng ra chứng thực Contract của họ không có dấu hiệu Scam. Tuy nhiên khoản phí cho việc Audit này là khá cao đối với những dự án Startup.
Do đó, đây là một điều kiện cần nhưng không hẳn là một điều kiện đủ để kết luận ngay dự án có Scam hay không.
Một số đơn vị Audit nổi tiếng trong thị trường có thể kể đến như:
- Trailofbits.com
- Cryptomaniac
- Certik.org
- Quantstamp.com
- Github.com/crytic/slither
- Github.com/crytic/building-secure-contracts
- …
Cách tránh dự án Rug Pull
Những dấu hiệu như lượt tương tác ảo hay thông tin về đội ngũ dự án chỉ cần để ý kỹ một chút là chúng ta hoàn toàn có thể check được.
Với những dự án có team Devs ẩn danh, không có sự tham gia của các quỹ đầu tư uy tín như một cơ sở để đặt lòng tin vào dự án thì những dự án dạng này, chúng ta cần đặc biệt lưu ý đến Contract của họ. Bởi đây chính là thành phần cốt lõi của một dự án Crypto chứ không phải là vẻ ngoài thiết kế “bóng bẩy” trên Website.
Do đó, ở phần này mình sẽ tập trung chia sẻ cách check Smart Contract của một dự án để bạn có thể xác định được dự án có phải là một kẻ lừa đảo trong tương lai hay không.
Contract đã được Verify
Một dự án khi đã được Verified Source Code sẽ tránh được trường hợp đội Devs có thể tuỳ ý chỉnh sửa nội dung Code. Do đó, đây là một điểm đáng lưu ý đầu tiên.
Dự án đã được Verify
Check quyền Owner MasterChef có được chuyển sang Timelock hay không?
Đây chính là kẻ hở để những dự án Scam thực hiện hành vi Rug Pull Crypto. Vì vậy chúng ta cần quan tâm những thành phần như:
Hàm Migrate có tác dụng giúp thay đổi token LP trong Pool thanh khoản trong trường hợp dự án thay đổi địa chỉ Contract hoặc nền tảng nâng cấp lên Version mới. Thực chất đây là một việc rất hữu ích nhưng với một nền tảng không rõ danh tín, đội Devs sẽ lạm dụng cơ hội này để rút hết tất cả tài sản trên Pool ra ví riêng.
Do đó, nếu là một dự án mới và thông tin chưa rõ ràng nếu tồn tại hàm này trong Contract thì chúng ta nên đề phòng. Cụ thể để check hàm này, chúng ta làm như sau:
Bước 1: Dán Contract của dự án mà bạn muốn check vào các trình khám phá blockchain như BscScan / Etherscan /…
Check Contract của một dự án trên Etherscan
Bước 2: Chọn mục Contract và tìm kiếm hàm Migrate.
Hàm Migrate trong Source Code của một dự án
Thành phần thứ hai cần quan tâm đó là MasterChef và Timelock Contract.
MasterChef là Contract thực hiện nhiệm vụ mint ra token và chia cho mỗi Pool.
Còn Timelock Contract sẽ đóng vai trò như một bên trung gian được chuyển quyền Owner từ MasterChef. Trong khoảng thời gian bị lock, Owner sẽ bị mất quyền kiểm soát MasterChef – Ví mint token.
⇒ Do đó, chúng ta cần check xem quyền kiểm soát ví mint token của Owner đã được chuyển sang cho Timelock hay chưa. Cụ thể chúng ta sẽ thực hiện các bước như sau:
Bước 1: Tại giao diện sau khi tìm kiếm Contract cần check, chọn Tab “Read Contract”. Sau đó, di chuyển xuống mục Owner và nhấn chọn địa chỉ của Contract đó.
Check ví mint Token của dự án
Bước 2: Tiếp tục chọn sang Tab “Read Contract” để check xem ai đang kiểm soát ví mint token này.
Chọn sang Tab “Read Contract”
Bước 3: Di chuyển đến mục Owner và truy cập vào địa chỉ đó.
Di chuyển đến mục Owner và truy cập vào địa chỉ đó
Bước 4: Nếu tên của Contract là “Timelock” thì quyền kiểm soát ví mint token đã được chuyển.
Trên đây là những thao tác cơ bản để bạn có thể check được một số thông tin quan trọng trong Source Code của một dự án. Tuy nhiên, với tốc độ phát triển rất nhanh của thị trường Crypto và có thể tiếp tục tạo ra vô vàn những trend mới mà xen lẫn trong đó là không ít dự án Scam.
Do đó, trước khi đầu tư vào một dự án bạn cần phải giữ một cái đầu lạnh và Research thật kỹ về dự án, kết hợp những thao tác check Contract phía trên để hạn chế rủi ro đầu tư vào những dự án Scam nhé!
Tổng kết
Khi ngành công nghiệp blockchain đang phát triển lớn mạnh hơn, rug pull đang trở nên phổ biến hơn trong tiền điện tử và DeFi cũng như các dự án NFT, GameFi. Mọi người cần phải có sự nghiên cứu kỹ lưỡng và tìm kiếm những dấu hiệu rõ ràng, để có thể tránh được chúng.