نکات کلیدی

• راگ پول یکی از اسکم‌های دنیای کریپتو است که در آن توسعه دهندگان پروژه را رها کرده و با پول سرمایه‌گذاران فرار می‌کنند.
• معمولاً چنین سناریوهایی شامل تخلیه استخرهای نقدینگی، سوء استفاده از آسیب پذیری‌های قراردادهای هوشمند یا رها کردن کامل پروژه هستند.
• از جمله نشانه‌های خطر این کلاهبرداری می‌توان به کدهای بازرسی نشده، تیم‌های ناشناس، ادعاهای اغراق آمیز و امکان جابجایی آسان نقدینگی اشاره کرد.
• راگ پول‌ها یک یادآور قوی هستند تا همیشه پیش از واریز پول برای هر پروژه‌ای، تحقیقات کامل را انجام دهید.

مقدمه

اگر مدت زیادی است که در دنیای کریپتو فعالیت دارید، احتمالاً با چنین سناریویی آشنا هستید: یک توکن جدید رونمایی می‌شود، هیاهوی زیادی برای توکن مورد نظر شکل می‌گیرد، قیمت توکن به سرعت افزایش پیدا کرده و در نهایت همه چیز سقوط می‌کند. در این مرحله، سایت پروژه از دسترس خارج می‌شود، شبکه‌های اجتماعی آن غیرفعال شده و سرمایه‌گذاران در بهت و حیرت فرو می‌روند.

این نوع اگزیت اسکم (کلاهبرداری خروج) به عنوان راگ پول شناخته شده و تا به امروز ضررهای چشمگیری را برای سرمایه‌گذاران کریپتو به بار آورده است. در این مطلب با روش انجام این کلاهبرداری و کارهای قابل انجام برای اجتناب از آن آشنا می‌شوید.

راگ پول (rug pull) چیست؟

راگ پول در دنیای کریپتو یک کلاهبرداری است که در آن سازندگان یک پروژه کریپتو ناگهان کل نقدینگی را برداشت کرده یا پروژه را ترک کرده و سرمایه‌گذاران را با توکن‌های بی‌ارزش رها می‌کنند. این کلاهبرداری مثل دعوت شدن به یک شام گروهی است که در آن هزینه پذیرایی از قبل بین همه تقسیم شده اما میزبان پیش از هر گونه پذیرایی ناپدید می‌شود.

راگ پول‌ها به طرح‌های پامپ و دامپ سنتی شباهت دارند اما در آنها از ابزارهای پیچیده‌تری استفاده می‌شود مثل دستکاری قراردادهای هوشمند یا تخلیه استخرهای نقدینگی. این کلاهبرداری‌ها در دوره رونق دیفای در سال 2020 متداول‌تر شدند. در این دوره، راه‌اندازی توکن در اکسچنج‌های غیرمتمرکز با سرعت و راحتی بیشتری قابل انجام بوده و نظارت قانونی چندانی بر آن وجود نداشت. با توجه به کم بودن بررسی‌ها، تبهکاران می‌توانستند به راحتی از سیستم سوء استفاده کرده و سرمایه افراد را به تاراج ببرند.

راگ پول چطور انجام می‌شود؟

راگ پول‌ها به روش‌های مختلفی انجام می‌شوند و ممکن است به صورت فنی (از طریق کد مخرب در قراردادهای هوشمند) یا غیر فنی (با کنترل متمرکز یا تبلیغات اجتماعی) و یا ترکیب هر دو انجام شوند.

1. برداشت از استخر نقدینگی

در اکسچنج‌های غیرمتمرکز (مثل یونی سواپ یا پنکیک سواپ) توکن‌ها نیاز به استخرهای نقدینگی دارند تا کاربران امکان ترید کردن آنها را داشته باشند. این استخرها به کاربران امکان می‌دهند که توکن‌ها را به صورت مستقیم و بدون وابستگی به واسطه‌ها ترید کنند.

روش انجام راگ پول به این ترتیب است:

• یک تیم، توکن جدیدی را رونمایی کرده و آن را به استخر نقدینگی اضافه می‌کند. معمولاً این توکن‌ها با توکن دیگری مثل اتریوم یا تتر جفت می‌شوند.
• اولین خریداران وارد شده و باعث افزایش قیمت توکن و رشد استخر می‌شوند.
• با ورود خریداران بیشتر، استخر مورد نظر حاوی مقدار زیادی ارز با ارزش خواهد بود.
• سپس توسعه دهندگان پروژه، بدون اعلام قبلی تمام یا بیشتر نقدینگی را که اضافه کرده بودند، برداشت می‌کنند.
• حالا که تقریباً چیزی در استخر نمانده، بازار سقوط کرده و قیمت توکن مورد نظر تقریباً صفر می‌شود.

این راگ پول متداول‌ترین نوع بوده و امکان اجرای آن ظرف چند ساعت یا چند روز پس از رونمایی توکن وجود دارد.

2. دستکاری قراردادهای هوشمند

گاهی اوقات راگ پول از همان ابتدا برنامه ریزی می‌شود. در واقع به جای خروج ناگهانی، این کلاهبرداری در کد پروژه تعبیه شده است. ممکن است توسعه دهندگان قابلیت‌هایی را به قرارداد هوشمند اضافه کنند که به آنها امکان می‌دهد:

• توکن نامحدود تولید کنند که در نهایت باعث ریزش قیمت می‌شود؛
• با استفاده از قراردادهایی موسوم به هانی پات (ظرف عسل) مانع از فروش توکن توسط کاربران شوند. این قراردادهای هوشمند امکان خرید توکن را برای کاربران فراهم می‌کنند اما از فروش آن جلوگیری می‌کنند؛ در نتیجه باعث بی‌ارزش شدن توکن‌ها می‌شوند.
• انتقال مستقیم توکن‌ها از ولت کاربران بدون رضایت آنها.

تشخیص چنین کلاهبرداری‌هایی بدون بازرسی درست و مناسب کدها بسیار سخت است. بدتر اینکه، برخی از توکن‌های هانی پات به عنوان توکن تأیید شده تبلیغ می‌شوند. اما در موارد زیادی، کد مخرب پشت منطق پیچیده پنهان شده یا تنها پس از جذب سرمایه‌گذار کافی فعال می‌شود.

3. راگ پول اجتماعی

لزوماً همه راگ پول‌ها شامل استفاده از کدهای پیچیده نیستند. برخی از این کلاهبرداری‌ها بر پایه اعتماد انجام می‌شوند و همین مسئله باعث اثربخشی آنها می‌شود. معمولاً این کلاهبرداری‌ها با ایجاد علاقه برای یک پروژه از طریق شبکه‌های اجتماعی، جذب یک جامعه کاربری و تبلیغ توسط اینفلوئنسرها انجام می‌شوند. در چنین کلاهبرداری همه چیز معتبر و درست به نظر می‌رسد و یک توکن یا NFT رونمایی می‌شود که سرمایه‌گذاران را جذب می‌کند.

اما پس از جذب سرمایه‌گذاران کافی، تیم پروژه بدون باقی گذاشتن هر گونه اثری ناپدید می‌شود. سایت و کانال‌های شبکه‌های اجتماعی پروژه به همراه پول سرمایه‌گذاران ناپدید می‌شوند. اگر سازندگان پروژه کنترل کامل عرضه توکن را در اختیار داشته باشند، ممکن است این نوع راگ پول در پلتفرم‌های متمرکز یا لانچ پدهای آسیب پذیر هم رخ دهد. در نهایت، همه چیز بر اساس وعده‌های پوچ و تبلیغات اجتماعی انجام می‌شود.

چطور راگ پول‌ها را شناسایی کنیم؟

نمی‌توان گفت که هر پروژه‌ای با چنین ویژگی‌هایی اسکم است اما با در نظر گرفتن چند ویژگی می‌توان نشانه‌های هشدار را دید، از جمله:

تیم ناشناس

گرچه ناشناسی بخشی از فرهنگ کریپتو محسوب می‌شود اما پروژه‌هایی که شفافیتی راجع به توسعه دهندگان یا بنیانگذارانشان ندارند، چندان قابل اطمینان نیستند. در چنین شرایطی افراد تبهکار راحت‌تر می‌توانند با سرمایه کاربران فرار کنند.

عدم بررسی قراردادهای هوشمند

بررسی یا تأیید رسمی قراردادهای هوشمند به شناسایی باگ‌ها، آسیب پذیری‌ها و رفتارهای ناخواسته پیش از انتشار کد کمک می‌کند. بدون بررسی کد توسط شرکت‌های امنیتی معتبر، ریسک‌های مخفی در کد باقی می‌مانند؛ از جمله توابعی که امکان تولید نامحدود توکن یا کنترل کامل قراردادهای هوشمند را برای توسعه دهندگان فراهم می‌کنند.

نقدینگی آنلاک شده

اگر پروژه‌ای نقدینگی خودش را قفل نکرده یا هیچ زمانبندی واضحی برای واگذاری توکن‌های تیم وجود نداشته باشد، این ریسک وجود دارد که توکن‌های پروژه و سرمایه آن هر لحظه برداشت و تخلیه شوند.

معمولاً پروژه‌های معتبر نقدینگی را قفل کرده و دوره‌های واگذاری مشخصی برای اعضای تیم پیاده سازی می‌کنند که بین یک تا چهار سال زمان می‌برد. گرچه این رویکرد هم تضمینی فراهم نمی‌کند اما به اعتماد سازی کمک کرده و نشان می‌دهد که تیم پروژه، متعهد به موفقیت آن در بلند مدت هستند.

وعده‌های اغراق آمیز

مراقب پروژه‌هایی که وعده سود تضمین شده یا بازده استثنائی می‌دهند باشید. اگر پروژه‌ای ادعای حمایت از سمت سرمایه‌گذاران، شرکت‌ها یا اینفلوئنسرهای سرشناس را دارد، لازم است که اثباتی برای این ادعاها ارایه شود از جمله اعلام عمومی یا همکاری‌های تأیید شده.

چطور از خودتان حفاظت کنید؟

گرچه هیچ راه تضمین شده‌ای برای اجتناب از همه راگ پول‌ها وجود ندارد اما می‌توان با انجام یکسری اقدامات، سطح ریسک را کاهش داد؛ از جمله:

تحقیق و بررسی راجع به پروژه

هیاهو، اخبار و تبلیغات اینفلوئنسرها را نادیده گرفته و خودتان پروژه‌ها را بررسی کنید. برای شروع، مقاله سفید پروژه را مطالعه کرده و با اهداف، فناوری و اقتصاد توکنی آن آشنا شوید. می‌توانید از بلاک اکسپلوررهایی مثل اتراسکن یا سول اسکن هم برای بررسی توزیع توکن استفاده کنید. تاریخچه تراکنش‌ها را بررسی کرده و به دنبال فعالیت‌های مشکوک احتمالی باشید.

بررسی قفل نقدینگی

بررسی کنید که آیا نقدینگی پروژه قفل شده یا خیر و اینکه برای چه مدتی قفل شده است. خیلی از پروژه‌های معتبر برای مدیریت قفل نقدینگی از سرویس‌های شخص ثالث استفاده می‌کنند تا این فرایند شفاف‌تر و قابل راستی آزمایی شود.

وجود بازرسی

بررسی کنید که آیا گزارش بازرسی پروژه در دسترس عموم قرار داشته و به روز هست یا خیر؛ چون گزارشات قدیمی‌تر، تغییرات اخیر کد را پوشش نمی‌دهند. گرچه بازرسی نمی‌تواند امنیت کامل را تضمین دهد اما به تشخیص باگ‌ها و آسیب پذیری‌های رایج و کدهای مخرب کمک می‌کند.

استفاده از پلتفرم‌های معتبر

برای آشنایی با توکن‌ها یا NFTهای جدید، پلتفرم‌های باسابقه‌ای را انتخاب کنید که فرایند بازرسی دقیقی دارند. پلتفرم‌های مشهوری مثل لانچ پول بایننس ضوابط سختگیرانه‌ای داشته و پیش از لیست کردن پروژه‌ها آنها را کاملاً بررسی می‌کنند.

جمع بندی

راگ پول‌ها بخش ناخوشایندی از فضای کریپتو هستند؛ به خصوص در حوزه‌هایی با سرعت رشد و توسعه چشمگیر مثل دیفای که هر روز پروژه‌های جدیدی در آنها رونمایی می‌شود. تیم‌های زیادی با حسن نیت در این فضا مشغول به کار هستند اما نبود نظارت و مقررات لازم باعث ایجاد فرصت‌هایی برای سوء استفاده از کاربران توسط افراد تبهکار شده است.

با افزایش تعداد و دسترس پذیری ابزارها و منابع آموزشی، شناسایی موارد مشکوک آسان‌تر می‌شود. اما لازم است که همیشه پیش از تصمیم به سرمایه‌گذاری، تحقیقات کامل را انجام داده و با احتیاط و تفکر منتقدانه اقدام کنید.