Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

Rug pull в DeFi: признаки мошеннических проектов и как проверить протокол до вложения денег

Rug pull — схема мошенничества в DeFi, при которой создатели проекта искусственно привлекают инвесторов, а затем выводят ликвидность или продают зарезервированные токены, обнуляя стоимость актива для остальных участников. По данным DeFi Llama, rug pull и exit scam стабильно входят в топ причин потерь в DeFi. Большинство признаков скама можно выявить до вложения средств через on-chain анализ — но не все мошенничества очевидны заранее.

Автор: ~8 мин

Что такое rug pull и чем он отличается от взлома протокола?

Rug pull — намеренное мошенничество со стороны команды проекта: создатели изначально планируют обмануть инвесторов. Взлом — атака внешнего злоумышленника на уязвимость кода. Различие принципиально: при взломе команда может быть добросовестной, при rug pull — сама является источником ущерба. Формы rug pull: вывод ликвидности из пула (liquidity pull), продажа командных токенов (dump), внедрение скрытой функции mint или блокировки продаж (honeypot). Риск: некоторые rug pull замаскированы под взломы — команда инсценирует атаку для сокрытия кражи.

Источник: ЦБ РФ

Какие on-chain признаки указывают на высокий риск rug pull?

Ключевые красные флаги на блокчейне: концентрация токенов — если топ-10 адресов держат более 50% supply (проверяется на Etherscan во вкладке Token Holders); отсутствие lock на ликвидность — LP-токены не заблокированы на смарт-контракте (проверяется через DEXTools или команду напрямую); наличие функций mint без ограничений или blacklist в коде контракта; анонимный deployer-адрес с историей других провальных проектов. Риск: мошенники научились имитировать признаки легитимности — lock ликвидности можно сделать на короткий срок.

Как проверить распределение токенов и не является ли проект honeypot?

Распределение токенов проверяйте на etherscan.io: найдите контракт токена → вкладка Token Holders → оцените долю топ-адресов. Для проверки honeypot (невозможность продать токен) используйте honeypot.is или токен-анализаторы DEXTools и DEXScreener — они симулируют покупку и продажу токена и показывают, есть ли скрытые комиссии или блокировки на продажу. Риск: honeypot-функции могут активироваться не сразу, а после набора достаточного объёма ликвидности — проверка снижает, но не устраняет риск.

На что обратить внимание в социальных сетях и документации проекта?

Признаки скама в коммуникации: анонимная команда без верифицированной истории; whitepaper скопирован или содержит общие фразы без технической конкретики; обещания гарантированной доходности («100x», «застрахованный APY»); агрессивный реферальный маркетинг и давление «последний шанс купить». Признаки легитимности: публичная команда с историей в LinkedIn/GitHub; чёткая техническая документация; отсутствие обещаний доходности. Риск: даже публичные команды устраивали exit scam — верификация личности снижает, но не исключает риск.

Что такое «медленный rug pull» и почему он опаснее классического?

Медленный rug pull (slow rug) — постепенный вывод средств командой: разработчики снижают активность, перестают обновлять протокол, тихо продают командные токены малыми порциями, не вызывая резкого обвала. Инвесторы замечают проблему только спустя месяцы. Признаки: снижение TVL без объяснений, остановка разработки (нет новых коммитов в GitHub), выход ключевых участников команды, рост продаж с командных адресов. Риск: slow rug технически сложнее отличить от «честного провала» проекта — это затрудняет юридическое преследование.

Источник: ЦБ РФ

Можно ли вернуть средства после rug pull в РФ?

Практически — крайне сложно. Криптовалютные транзакции необратимы; если средства выведены в миксер или на биржу с низким KYC — отследить их технически возможно, но юридически взыскать почти нереально. В РФ можно подать заявление в полицию (статья 159 УК РФ — мошенничество), однако расследования трансграничных крипто-мошенничеств крайне редко заканчиваются возвратом средств. Налоговая сторона: убыток от мошенничества не уменьшает налоговую базу по НДФЛ автоматически — нужно доказать факт хищения. Риск: рассчитывать на возврат средств не стоит.

Источник: ЦБ РФ

Можно ли потерять деньги в легитимном протоколе так же, как при rug pull?

Да. Даже в аудированном легитимном протоколе возможны: взлом смарт-контракта, экономическая атака, депег стейблкоина, потеря приватных ключей. Разница в намерении: rug pull — намеренное мошенничество, взлом легитимного протокола — непредвиденный сбой. Финансовый результат для инвестора может быть одинаковым.

Эксклюзив от ИнвестХомяка

Чек-лист проверки DeFi-проекта на признаки rug pull

Параметр проверкиИнструментКрасный флаг
Концентрация токенов у топ-держателейEtherscan → Token HoldersТоп-10 адресов держат более 40–50% supply
Блокировка ликвидности (LP lock)DEXTools, Team.Finance, UnicryptLP-токены не заблокированы или lock менее 6 месяцев
Наличие honeypot / скрытых функцийhoneypot.is, DEXScreenerСимуляция продажи показывает ошибку или комиссию более 10%
Аудит смарт-контрактаGitHub проекта, сайты аудиторовАудит отсутствует или содержит неустранённые Critical-находки

Легитимный DeFi-протокол против типичного rug pull: сравнение признаков

КритерийЛегитимный протоколСкам / rug pull
КомандаПубличная, верифицированная история на GitHub/LinkedInАнонимная или псевдонимная без подтверждённого трека
ЛиквидностьLP заблокирована на 1+ год через смарт-контрактLP не заблокирована или lock на 1–3 месяца
АудитМинимум один публичный аудит с устранёнными Critical-находкамиАудит отсутствует или от неизвестного аудитора
ТокеномикаКомандные токены с vesting 1–4 года, публичный scheduleКомандные токены без vesting или с немедленным unlock
Обещания доходностиНет гарантий; описание рисков в документацииГарантированный APY, «100x», «застрахованный доход»

Как проверить DeFi-проект на признаки скама: пошаговый алгоритм

  1. Найти адрес контракта и проверить на Etherscan

    Получите официальный адрес контракта токена с сайта проекта или CoinGecko. Зайдите на etherscan.io, откройте контракт, изучите вкладки: Contract (верификация кода), Token Holders (концентрация), Transactions (история deployer-адреса).

  2. Проверить блокировку ликвидности

    Найдите адрес LP-пула (обычно указан в документации или на DEXTools). Проверьте, заблокированы ли LP-токены через Team.Finance, Unicrypt или аналогичный сервис. Убедитесь в сроке блокировки — менее 6 месяцев недостаточно.

  3. Запустить проверку на honeypot

    Введите адрес токена на honeypot.is или DEXScreener. Сервис симулирует покупку и продажу и показывает: можно ли продать токен, какова реальная комиссия при продаже, есть ли скрытые ограничения в коде.

  4. Изучить команду и историю проекта

    Проверьте GitHub проекта: дата создания репозитория, активность коммитов, число участников. Найдите упоминания команды в независимых источниках. Если проект существует менее 3 месяцев и команда полностью анонимна — риск максимален.

  5. Проверить токеномику и vesting командных токенов

    Найдите в whitepaper или документации: какая доля токенов зарезервирована для команды, когда и как они разблокируются. Проверьте on-chain: соответствует ли фактическое движение токенов с командных адресов задекларированному графику.

Частые вопросы

Можно ли потерять деньги в легитимном протоколе так же, как при rug pull?

Да. Даже в аудированном легитимном протоколе возможны: взлом смарт-контракта, экономическая атака, депег стейблкоина, потеря приватных ключей. Разница в намерении: rug pull — намеренное мошенничество, взлом легитимного протокола — непредвиденный сбой. Финансовый результат для инвестора может быть одинаковым.

Стоит ли доверять проектам, прошедшим листинг на крупных биржах (Binance, OKX)?

Листинг снижает, но не устраняет риск. Биржи проводят собственную проверку, однако история знает случаи, когда монеты с листингом на крупных площадках впоследствии оказывались мошенническими или терпели крах. Листинг — позитивный сигнал, но не замена самостоятельному due diligence.

Что делать, если я уже вложил деньги в подозрительный проект?

Немедленно отзовите все approve (разрешения) на доступ к вашему кошельку через revoke.cash — это предотвратит дальнейший вывод средств с кошелька, если контракт имеет соответствующие права. Если средства ещё в пуле — оцените риск: стоит ли выходить сейчас с убытком или ждать. Зафиксируйте все данные о транзакциях для возможного обращения в полицию.

Как отличить законный анонимный проект от мошенничества?

Анонимность сама по себе не является признаком скама — ряд уважаемых протоколов создан анонимными командами. Компенсирующие факторы: длительная история работы (1+ год), публичный аудит от известного аудитора, активное сообщество с независимыми разработчиками, заблокированная ликвидность на длительный срок. Анонимность в сочетании с отсутствием аудита и коротким сроком существования — высокий риск.

Есть ли инструменты для автоматической проверки токенов на скам?

Да. GoPlus Security (gopluslabs.io) предоставляет API и веб-интерфейс для анализа токенов на признаки honeypot, скрытые функции mint и blacklist, концентрацию ownership. DEXTools и DEXScreener отображают предупреждения о подозрительных контрактах. Эти инструменты полезны, но не заменяют ручную проверку — мошенники адаптируются и учатся обходить автоматические детекторы.

Похожие материалы

Источники