mercoledì 24 marzo 2021

Cosa Sono I Rug Pulls? Crypto, DeFi ed Exit Scam

"È come essere in una stanza e stare in piedi su un tappeto. Non pensi a niente e credi di stare bene. Poi, qualcuno toglie il tappeto da sotto di te ed improvvisamente cadi e ti fai male"

Le ICO (Initial Coin Offer) che erano diventate trend nel 2017 (portando anche a moltissimi scam), ormai non vanno più di moda.
"Rug Pulls" ed in generale "Exit Scam" infatti hanno costituito il 99% di tutti gli schemi di frode inerenti criptovalute nella seconda metà del 2020. In realtà anche il 2021 non è iniziato molto diversamente. 
Si tratta di un rapporto di CipherTrace, secondo il quale, i criminali hanno "incassato" $ 1,9 miliardi nel 2020. La maggior parte di questa attività criminale rientra nei reati di "frode e appropriazione indebita". La seconda categoria più popolare, secondo CipherTrace, sono gli attacchi hacking.
Una piattaforma piramidale chiamata WoToken è stato responsabile di uno scam di $ 1,1 miliardi.
Non sai come riconoscerli? Vai qui: Riconoscere Scam e Rug Pulls Di Token (Smart Contract)


RUG PULLS
Anche la DeFi  è stata particolarmente vulnerabile, soprattutto grazie ai già citati "Rug Pulls" uno scam in cui i truffatori drenano liquidità da un protocollo, lasciando gli investitori con nessuna possibilità di agire.
Un po' come fornire un tappeto (grandi possibilità di guadagno, ritorni folli, etc) e poi ad un tratto, toglierlo da sotto i piedi degli utenti, scappando con tutti i soldi.
Sostanzialmente si crea un nuovo token, lo si mette in un pool di liquidità, si dà la possibilità di tradarlo (con BNB sulla BSC e con ETH sulle piattaforme di ETH) e dopo un po' si svuota il pool di liquidità (BNB, ETH) lasciando gli acquirenti con un token senza valore.
A seguito di "Rug Pulls", ci vanno di mezzo anche gli holders che non utilizzano il protocollo dove avviene la rimozione di liquidità perchè il destino di quel token è ormai segnato (andrà a 0). Poiché la quantità di crypto (quindi denaro) rinchiusi nei pools di liquidità (di ETH ma più recentemente anche grazie alla Binance Smart Chain) è più che triplicata nell'ultimo anno, anche i rischi sono ben più alti. Quando certi protocolli vengono avviati rapidamente per sfruttare il ciclo di hype che si crea attorno a queste piattaforme (che spesso garantiscono interessi altissimi a 3-4 zero), si mettono a rischio gli utenti che potrebbero cadere vittime di Exit Scam ma anche di bug dello smart contract. 
Quando si carica liquidità su un dex ( AMM ), si ottiene il token LP, questo token andrebbe burnato (inviato ad un address morto). Questo impedisce la rimozione di liquidità (gli scammers tuttavia potrebbero comunque comprare lo stesso token nelle prime fasi, quando vale ancora nulla, utilizzando tanti address. Altre strategie che i truffatori usano infatti è quello di pompare il token e poi dumparlo nel tempo o improvvisamente vendendo tutto).
Negli ultimi mesi, abbiamo assistito ai dump di Beer Finance (i founders detenevano oltre il 50% dei token nel loro portafoglio) e BFI con sito web e pagine social cancellate.
Tra i record di velocità quello di Wine Swap (autori di un Exit Scam, dopo solo 1 ora dal lancio) anche se Binance è riuscito a recuperare gran parte della liquidità (del resto la gran parte dei nodi della Binance Smart Chain sono centralizzati ed appartengono a Binance). ChessFarm è stato anche protagonista di una truffa di uscita nel novembre 2020 ma si può menzionare anche VikingSwap che ha scammato recentemente (un clone di Goose Finance che a sua volta stava imitando il modello di SushiSwap su ETH). Il token ha perso il 90% in poche ore e nel gruppo Telegram venne rilasciato un inquietante messaggio di presa in giro:

"On Ode To Warriors"

Gli utenti si sono catapultati nei pools, provando a riprendersi la loro liquidità ma ormai era troppo tardi, intanto Viking (il token nativo) scendeva sempre di più a causa delle massicce vendite (anche degli holders).
Tra i Rug Pulls più grossi, sicuramente quello di Meerkat Finance, secondo i founders degli hacker avevano rubato 31 milioni di dollari dai loro portafogli. Tuttavia si è trattato di un Rug Pulls in piena regola con liquidità drenata (circa $ 31 milioni di dollari in BNB e BUSD).
Successivamente, l'account Twitter e il sito Web del progetto sono stati cancellati, scatenando le accuse di fuga con i soldi.
Qualcosa di simile si è visto anche su TurtleDex (TTDX). Il protocollo ha prosciugato 9.000 BNB, circa 2,5 milioni di dollari, prima di cancellare il gruppo Telegram, il sito web ufficiale e la pagina Twitter. Anche qui un "Rug Pull". 
Jet Fuel Finance, un protocollo di Yield Farming che listava TurtleDex, ha confermato la truffa su Twitter. In quelle ore, su PancakeSwap c'erano gravi problemi di liquidità poiché gli utenti vendevano disperatamente i token TTDX che stavano dumpando scendendo quasi a 0.
La morale della storia è che bisogna sempre fare le proprie ricerche prima di avventurarsi in acque inesplorate e torbide.
Qui se vuoi vedere un Rug Pulls dal vivo (del token Squid Game):


TOKEN MALEVOLO
Sotto vediamo l'implementazione di un codice malevolo che garantisce la possibilità solo di acquistare tale risorsa, senza poterla venderla. 
Più specificamente, questo codice si applica a chiunque tranne che al creatore. Pertanto, è possibile creare un nuovo token, listarlo su un dex (Uniswap in questo caso) e iniziare a fare Trading. Gli utenti possono acquistare ma non vendere mai. Nel momento in cui qualcuno se ne accorgerà, il danno sarà già fatto. Il Rug Pulls è la conseguenza inevitabile.

Nessun commento:

Posta un commento