浅析最常见的虚拟币投资骗局——Rug Pull(拉地毯骗局)

区块链的诞生为我们开创了一个全新的加密时代，基于区块链的去中心化应用程序（Dapp）、去中心化金融（DeFi）、去中心化交易所（DEX）、智能合约等，为人们提供了全新的投资方式和工具。

近年来，在区块链安全事件中，尤其是 DeFi 领域的犯罪高频词里，「Rug Pull」必有一席之地。2021 年，全球因 Rug Pull 骗局损失的虚拟货币超过了 28 亿美元，Rug Pull 已然成为加密行业发展的新障碍。

什么是 Rug Pull

Rug Pull，顾名思义，是指像从脚底下“拉地毯”一样拉走某种东西，使人措手不及。

与加密行业中诸多新兴术语一样，Rug Pull 的定义并不是一成不变的，通俗地说，Rug Pull 就是指项目方卷款跑路，是典型的退出骗局。

Rug Pull 的形式和类型

Rug Pull 通常发生在 DeFi 领域。由于在区块链上创建新代币既便宜又简单，而且无需代码审计，就可以在去中心化交易所（DEX）上发行，这使得 Rug Pull 的犯罪成本相当低廉，只要牛“吹”得足够到位，“韭菜”吸引得足够多，就可以举起 Rug Pull 这把大镰刀进行收割。

Rug Pull 大致上可以分为两种形式和三种类型。

两种形式

根据“软偷硬抢”的原则，Rug Pull 分为“硬拉”和“软拉”两种形式，“硬拉”的项目方主观恶意较强，窃取流动性和提前预设恶意代码、漏洞等都是“硬 Rug Pull”。

相较前者，“软 Rug Pull”的项目方隐藏得更深，从合约代码等方面可能无法发现项目方的 Rug Pull 意图，但他们会采取抛售资产、倾销的手段，来加速投资者手中的货币贬值。不过，更多的 Rug Pull 采取的是“软硬兼施”，以更快地达到他们的目的。

三种类型

1、窃取流动性

许多新的 DeFi 项目会涌现出自己的原生代币，项目开发人员将这些代币与 ETH、USDT、BNB 等主流代币进行配对，并允许用户将其与配对的代币进行交换，以更高的回报吸引投资者，也就是所谓的在去中心化交易所（DEX）中创建流动性资金池。之后项目方通过炒作等种种手段，为流动资金池吸引投资以抬高代币价格。根据 DEX 的规则，项目代币和与之配对的主流代币价格成反比，当代币上涨到一定程度后，项目方又立刻从流动性池中提取所有主流代币，使项目代币价格一落千丈。

案例：

2021 年 12 月，热门链游项目《币安英雄（BNB Heroes）》暴雷，BNBH/WBNB流动性池的流动性在 2021 年 12 月 5 日至 2021 年 12 月 7 日期间断崖式下跌，币价跌幅超 90%，一度从从 3.8 美元跌至 0.19 美元。知帆安全团队在《币安英雄（BNBH）崩盘，币价狂泄，钱都去哪儿了？》一文中对资金流向做了详细分析。

2、限制出售

项目开发人员会在智能合约中做手脚，在编写代码时对卖盘进行一个限定，通常情况下，使项目方是唯一可以出售项目代币的一方，也就是唯一受益者。当散户投资者不断用手中的主流代币兑换项目代币，项目代币拉高到一定预期价格时，项目方就会立即执行相应操作，卷走投资者的资金跑路。

案例：2021 年，与热播网剧《鱿鱼游戏》同名的虚拟货币“SQUID（鱿鱼币）”发布后，价格突然一路飙升，一周内疯涨几十万倍达到 2861.8 美元（约合人民币 18309 元）顶点。11 月 1 日，鱿鱼币突发闪崩，5 分钟内币价从顶点跌至 0.0007 美元，几乎为零。在崩盘的前几天，就有投资者发现，他们无法在唯一可以交易该币种的虚拟货币交易平台 Pancakeswap（知名 DEX 之一）上出售鱿鱼币。数据统计，闪崩后仍有4万人持有该虚拟货币，项目方则通过 Tornado Cash 转移了资金。如同“鱿鱼游戏”一般，鱿鱼币的真正赢家也只有项目方本身。

以上两个案例均已被收录为知帆科技《2021年区块链和虚拟货币犯罪趋势研究报告》的“八大虚拟货币典型骗局”，公众号后台回复“报告”可获得完整版报告。

3、倾销

倾销就是项目方将代币价格炒作到一定高度后，迅速抛售手中的大量项目代币，换取主流、稳定的虚拟货币，这一举措会让项目方发行的代币价格迅速下跌，大量投资者手中持有的项目代币严重贬值。

案例：

2022 年 7 月，狗狗币的衍生币项目 Teddy Doge 被质疑发生 Rug pull，项目方的钱包出售了价值超过 450 万美元的原生 TEDDY 代币，兑换成 1 万枚 BNB（约255万美元）和 200万 枚 BUSD（200万美元），致使其代币 TEDDY 价格接近归零。一边是倾销钱包中的代币，一边项目方还在 Teddy Doge 的社群中“装模作样”地安抚投资人，说项目方正在尝试修复相关问题。

其他领域的Rug Pull

在一些中心化的领域也会有 Rug Pull 发生。由于项目高度中心化，没有流动性功能，甚至有的都没发行代币，但是它们掌握着用户的巨额资产，因此可以不受限制地限制用户的资金提取、转移用户资产。

2021 年 4 月，土耳其的大型中心化交易所 Thodex 突然宣布停止用户提取资金，停止运营，不久后创始人跑路。Thodex 加密货币交易骗局影响了近 39.1 万名客户，丢失的加密货币资产总价值超过 20 亿美元，这是 2021 年最大的 Rug Pull 骗局。

如今如火如荼的 NFT 领域也同样存在 Rug Pull。

2022 年 3 月，美国司法部（DOJ）指控Frosties创始人 Ethan Nguyen（"Frostie"）和 Andre Llacuna（"heyandre"）共谋诈骗洗钱，这是该机构认定第一个 NFT Rug Pull 案件。这个项目是由 8888 个冰激凌造型的 NFT 组成的主题为“凉爽、美味和独特”的合集，项目方大肆宣传，并向投资者承诺会有抽奖、实物商品和“特别基金”等来维持 Frosties 项目的长期运营。但是他们并没有履行承诺，当这些 Frosties NFTs 销售一空时，两名创始人立刻关闭了网站并转移资金跑路了。

如何识别 Rug Pull 骗局？

项目合约代码等内容对于参与 DeFi 项目的普通人来说往往过于复杂，难以分辨其中陷阱。那么我们应该如何识别 Rug Pull 骗局？以下这几点“高危”现象一定要注意：

1、新项目代币突然暴涨

有的新项目推出时间极短，却意外大涨，吸引了一大波“追涨”的投资人。这种项目很有可能是想吸引散户入局，然后大笔抛售。

2、项目开发人员匿名或造假

虽然在去中心化的项目中，项目方“匿名”看起来理所当然，但是事实证明，优秀的项目方的核心人员的信息往往都是公开且真实可靠的。对于匿名、甚至是身份造假的项目方，其发生 Rug Pull 的可能性也就越大。

SQUID（鱿鱼币）团队成员，来源官网（已下架）

3、代码无外部审计

正规且高质量的项目都会经由可靠的第三方机构进行代码审计，未经外部审计的项目更容易出现合约造假、后门等情况。

4、无流动性锁定

流动性池锁定机制由 Uniswap 创立，锁定了流动性池的项目安全性较高，有权威第三方参与的锁定流动性池的项目安全性更高。流动性池未经锁定的项目，项目方可以轻易撤出流动性池，令投资者蒙受损失。投资者还应检查已锁定的流动性池的百分比，锁定的比例和项目安全性成正比，总值锁定（TVL）比例应介于80%到100%。

5、虚假的社交媒体活动

如果一个项目的社交媒体账户的转发、点赞、评论等多是水军、机器人，与其相关的新闻、词条下的内容也都是明显的水军和机器人，都是“虚假的繁荣”，鲜有真实用户，那么这个项目发生跑路的可能性也非常高。

6、劣质的视觉设计或白皮书

如果一个项目的宣传物料呈现出“五毛钱特效”的“山寨感”，那么相信你的直觉，十有八九它是不靠谱的。还有粗制滥造、完全不走心的白皮书，这些都只是为了圈钱而做的敷衍。

7、大量 KOL 带货，吹鼓巨额收益

和其他所有诈骗团伙一样，这些项目方也会寻找大量 KOL 进行口碑营销，花式带货，营造出一种该项目代币炙手可热的假象，各种推波助澜加上巨额收益、回报承诺，仿佛不买就会“血亏一个亿”。投资人头脑一热就会忽视项目方本身的巨大漏洞，砸入大把钱款，最终只能等来代币归零和项目方跑路的噩耗。