Amber avatar
Coin98 Insights
Nơi chia sẻ tất cả những kiến thức Crypto từ cơ bản đến nâng cao, kinh nghiệm đầu tư Bitcoin và các hình thức đầu tư tiền điện tử khác.

Rug Pull là gì? Dấu hiệu nhận biết & Cách phòng tránh Rug Pull

Các dự án DeFi đã giải quyết được nhiều bài toán của thị trường crypto và mở ra nhiều cơ hội cho các nhà đầu tư. Song hành với đó là những rủi ro tiềm ẩn chưa thể kiểm soát. Và rug pull là một trong số đó. Rug pull là gì?
Amber avatar
vych
13 min read
Published Aug 03 2023
Updated Aug 04 2023
Amber media

Các dự án DeFi đã giải quyết được nhiều bài toán của thị trường crypto và mở ra nhiều cơ hội cho các nhà đầu tư. Song hành với đó là những rủi ro tiềm ẩn chưa thể kiểm soát. Và rug pull là một trong số đó. 

Vậy rug pull là gì? Có bao nhiêu hình thức rug pull và chúng gây hại như thế nào? Ngoài ra, các dấu hiệu để nhận biết rug pull và cách phòng tránh rug pull là gì?

Rug pull là gì? 

Rug pull là một hình thức lừa đảo, mô tả việc các nhà phát triển tiền điện tử hay NFT đột ngột rút thanh khoản và khiến tài sản người dùng nắm giữ bị mất giá trị. Rug pull xảy ra với tần suất dày đặc hơn trong thị trường tiền điện tử. 

Thuật ngữ rug pull có nguồn gốc từ thành ngữ trong tiếng anh là “to pull the rug out” from someone, nói về việc một người có chủ ý kéo tấm thảm dưới chân gây ảnh hưởng tới người khác đứng trên đó. Tương tự, trong thị trường crypto, rug pull cũng giống việc dự án rút thanh khoản đột ngột khiến nhà đầu tư “điêu đứng". 

advertising
rug pull là gì
Rug pull có nguồn gốc từ một thành ngữ trong tiếng anh.

Rug pull hoạt động như thế nào?

Quy trình cơ bản để dự án thực hiện rug pull như sau: 

quy trình rug pull
Quy trình rug pull thông thường

Đầu tiên, đội ngũ lừa đảo tạo dự án và phát hành một loại token, tài sản hay NFT thông qua smart contract (hợp đồng thông minh). 

Kế tiếp, dự án sẽ đưa token vào pool thanh khoản chung với các loại token khác (BTC, ETH, BNB…) nhằm tạo giá trị ban đầu cho token scam này. 

Sau đó, dự án tìm cách thu hút các nhà đầu tư bằng nhiều hình thức như thuê các bên truyền thông lớn, mục đích để thổi giá token scam tăng lên hàng trăm lần. Giá tăng mạnh sẽ kích hoạt lòng tham, khiến nhà đầu tư FOMO và “xuống tiền” mua token scam.  

Cuối cùng, khi thu hút đủ lượng người tham gia như một trò ponzi, dự án sẽ có 2 phương án để thực hiện hành vi lừa đảo:

Thứ nhất, fast rug pull khiến giá nhanh chóng tuột không phanh về 0 trong thời gian ngắn.
Thứ hai, slow rug pull khiến giá giảm dần trong nhiều ngày (hình thức này sẽ giúp dự án khó bị buộc tội hơn so với fast rug pull).

Nguyên nhân của việc tạo token dưới dạng hợp đồng thông minh sẽ giúp kẻ lừa đảo dễ dàng cài mã độc và thực hiện các lệnh rút thanh khoản đột ngột.

Tác động của rug pull

Các vụ rug pull là mối đe doạ với thị trường crypto và đem đến những hệ quả xấu vì chúng có thể: 

Gây thất thoát tài sản cho nhà đầu tư
Khiến các dự án dừng hoạt động
Khiến toàn thị trường crypto bị nhìn nhận là một nơi đầy rủi ro hơn là một ngành công nghệ blockchain đáng mong đợi 

Số liệu ghi nhận bởi Comparitech cho thấy, từ năm 2021 đến thời điểm viết bài, thị trường crypto ghi nhận 662 vụ lừa đảo bằng hình thức rug pull ở mảng DeFi lẫn NFT với tổng thiệt hại hơn 26 tỷ USD.

Số liệu các vụ rug pull từ năm 2015 đến quý 2/2023. Nguồn: Comparitech

Từ biểu đồ trên, các vụ rug pull đã gây thiệt hại hàng tỷ USD cho các nhà đầu tư khi thị trường crypto trở thành phổ biến hơn vào năm 2017.

Rug pull không chỉ khiến nhà đầu tư cá nhân bị mất tài sản, các dự án khó có thể khắc phục sự cố để bồi thường cho người dùng. Trường hợp xấu nhất, dự án có thể không đủ kinh phí để tiếp tục hoạt động. 

Dưới góc nhìn vĩ mô, sự xuất hiện của nhiều vụ rug pull khiến nhà lập pháp có cái nhìn không thiện cảm về thị trường crypto, tạo rào cản cho việc hướng tới “mass adoption". 

Các hình thức rug pull

Có nhiều cách nhận biết các dấu hiệu rug pull và giải pháp để phòng chống chúng. Bài viết này sẽ phân loại 2 dạng rug pull chính trong thị trường crypto:

Hard rug pull xảy ra khi các lập trình viên đã cài sẵn các mã độc hại (malicious code) với ý định “cướp” tiền của người dùng. Trong đó, 2 loại thông dụng là Liquidity Stealing (đánh cắp thanh khoản)Limiting selling order (giới hạn lệnh bán).
Soft rug pull xảy ra khi kẻ lừa đảo có hành vi “xả” (dump) token của họ đột ngột, khiến giá giảm đáng kể và ảnh hưởng lớn đến giá trị tài sản của các nhà đầu tư dự án. Hình thức thông dụng của soft rug pull là Dumping (bán tháo).
3 hình thức rug pull thường gặp: Liquidity Stealing, Limiting Selling Order và Dumping

Đánh cắp thanh khoản (Liquidity Stealing)

Đánh cắp thanh khoản là hình thức rug pull phổ biến nhất trong DeFi. Quy trình để kẻ lừa đảo hay dự án đánh cắp thanh khoản như sau:

Ban đầu, dự án tạo giá trị cho token của họ bằng cách ghép cặp giao dịch với các tài sản khác (ETH, BNB) nhằm cung cấp thanh khoản.
Kế tiếp, họ đẩy giá đến một mức nhất định khiến nhà đầu tư FOMO và mua token của dự án đó.
Cuối cùng là rút toàn bộ thanh khoản để thu về lợi nhuận, khiến giá token dự án giảm đáng kể và gây thiệt hại cho người dùng vì nắm giữ những token không còn nhiều giá trị. 

Giới hạn lệnh bán (Limiting selling order)

Giới hạn lệnh bán là quá trình khi phát hành token, lập trình viên cài mã code sao cho họ là bên duy nhất có thể bán token. Sau đó, đội ngũ sẽ chờ người dùng mua token dự án bằng một token khác trong pool thanh khoản.

Khi giá token tăng lên một mức nhất định, đội ngũ sẽ bán toàn bộ vị thế của họ, gây ra sự chênh lệch về giá của 2 token trong pool khi nguồn cung của 1 token đột ngột tăng mạnh. 

Nói cách khác, người dùng nắm giữ token dự án chỉ có thể đổi lấy "rất ít" giá trị của token còn lại trong pool.

Điển hình là dự án Squid Game, lấy cảm hứng từ bộ phim đình đám cùng tên trên Netflix.

Token dự án Squid Game đã tăng 23 triệu % trong 1 tuần nhưng đã giảm về 0 trong vòng vài phút. Nguồn: Tradingview.

Theo CoinMarketCap, giá token dự án (SQUID) đã được thổi phồng và tăng đến 23 triệu % chỉ trong 1 tuần. SQUID đạt đỉnh tại 2,632 USD và gía trị token rơi xuống chỉ còn tiệm cận 0 USD trong vòng vài phút. Điều này khiến hàng loạt nhà đầu tư hoang mang và mất tiền. 

Theo lời nạn nhân được tường thuật bởi The Ascent, hầu hết các nhà đầu tư chỉ mua chứ không thể bán token scam này.

Sau vụ việc, kẻ lừa đảo thu về 3.4 triệu USD lợi nhuận. 

Bán tháo (Dumping)

Bán tháo là thuật ngữ chỉ việc dự án lừa đảo cố đẩy giá token của họ lên cao để “mời gọi" nhà đầu tư mua vào. Ngay sau đó, dự án sẽ bán phần lớn lượng token họ nắm giữ để thu về lợi nhuận và những người mua ở mức giá cao sẽ “đu đỉnh". 

Hành vi này xảy ra khi dự án thuê các KOL, đơn vị truyền thông để quảng bá rầm rộ về dự án và tiềm năng tăng trưởng của token. 

Mục đích của hình thức này là kích thích lòng tham và lợi dụng niềm tin người dùng. Khi càng nhiều người FOMO tham gia mua token dự án, giá sẽ được “bơm” đến một mức nhất định. Sau đó, đội ngũ sẽ thực hiện hành vi bán tháo, “xả” lượng lớn token trong thời gian ngắn khiến giá giảm đáng kể. 

Dấu hiệu nhận biết rug pull

Trước đây, rất dễ nhận biết các dấu hiệu rug pull. Tuy nhiên, hiện các dự án lừa đảo đã dùng những hình thức tinh vi và khó phát hiện hơn. 

Một số dấu hiệu của một dự án rug pull có thể kể đến như: 

Các dấu hiệu nhận biết rug pull

Website và các kênh thông tin sơ sài

Việc lừa đảo rug pull nhắm đến các đối tượng mới tham gia thị trường và dễ bị mời gọi trên phương tiện truyền thông. 

Thông thường, các dự án với ý định rug pull sẽ không đầu tư nhiều thời gian và công sức vào mạng xã hội như Twitter hay website. Do đó, các nền tảng mạng xã hội của họ thường sơ sài và xuất hiện nhiều lỗi không đáng có.

Không được kiểm tra bảo mật (audit)

Dự án mới thường có các sản phẩm chưa hoàn thiện, tồn đọng nhiều lỗi và có thể gây ảnh hưởng đến người dùng. Việc kiểm tra bảo mật giúp giảm thiểu rủi ro phát sinh trong quá trình trải nghiệm. Tuy nhiên, một số dự án không có định hướng phát triển lâu dài sẽ không thực hiện kiểm tra bảo mật hoặc làm rất sơ sài. 

Bởi chi phí kiểm tra bảo mật của các bên audit uy tín (ví dụ: CertiK) là tương đối cao đối với dự án startup, nên đây có thể là dấu hiệu đáng ngờ. 

Giá token tăng đột biến nhưng lượng ví nắm giữ ít

Nếu một token chỉ mới nổi hay chưa được kiểm chứng nhưng giá của nó lại tăng đột biến, và 50-80% số lượng token nằm trong khoảng 10-50 ví nắm giữ thì khả năng cao dự án có thể thao túng giá. Theo đó, rủi ro rug pull cho người dùng cũng cao hơn khi không có gì đảm bảo dự án sẽ không xả token. 

Trong trường của dự án Squid Game, top 3 địa chỉ ví đã nắm giữ đến 99% lượng SQUID token trên Ethereum, điều này cho thấy độ tập trung lớn của lượng cung và người dùng sẽ chịu rủi ro bị rug pull cao.

Top 5 địa chỉ ví nắm giữ SQUID token. Nguồn: Etherscan.

Phân bổ token bất cân xứng

Tokenomics sẽ cho ta thấy tương đối về định hướng của dự án. 

Nếu lượng token được phân bổ lớn cho các lập trình viên, chứng tỏ dự án có tính tập trung cao và đem lại rủi ro cho nhà đầu tư. 
Nếu hầu hết token được phân chia cho đội ngũ dự án ngay từ ban đầu, họ sẽ có khả năng tác động đến giá hoặc rug pull bất kỳ lúc nào. 

Cả 2 ý trên đều cho thấy định hướng phát triển ngắn hạn của dự án.

Việc phân bổ token cho các hoạt động phát triển kinh doanh như marketing, incentive hay airdrop trong nhiều năm minh chứng cho định hướng phát triển dài hơn.

Không khoá thanh khoản

Một trong những các cách đơn giản để phát hiện dấu hiệu rug pull là kiểm tra xem nguồn cung token có khoá thanh khoản không. Bởi nếu không khoá thanh khoản và phát hành hết lượng token ra cùng một lúc, chủ dự án có thể rút toàn bộ thanh khoản nếu họ nắm phần lớn nguồn cung. 

Lịch phát hành token CRV với thanh khoản bị khóa thời gian đầu và trả hết đến 2026. Nguồn: Curve Finance.

Thông thường, thanh khoản sẽ được bảo mật thông qua các hợp đồng thông minh với thời hạn khoá được lập trình sẵn. Lí tưởng nhất là các dự án sẽ khoá nguồn cung token và trả dần trong khoảng từ 3 đến 5 năm kể từ thời điểm phát hành. Điều này cho thấy định hướng phát triển dài hạn của họ. 

Tuy nhiên, người dùng cần lưu ý rằng nhà phát triển có thể tự điều chỉnh thời gian khoá token. Vì vậy, một yếu tố cộng thêm giúp nhận biết dấu hiệu lừa đảo là xem các bên audit uy tín đã kiểm tra bảo mật và xác thực mức độ rủi ro của dự án hay chưa. 

Cách phòng tránh rug pull

Những kẻ lừa đảo sử dụng hình thức rug pull một cách lộng hành như vậy phần lớn do các yếu điểm của thị trường DeFi hiện tại. 

Theo Kim Grauer, người đứng đầu bộ phận nghiên cứu tại Chainalysis, cho biết: “Việc dễ dàng tạo ra token mới trên các blockchain và niêm yết trên các sàn phi tập trung (DEX) là kẽ hở để các dự án tìm cách khai thác”. 

“Việc dễ dàng tạo ra token mới trên các blockchain và niêm yết trên các sàn phi tập trung (DEX) là kẽ hở để các dự án tìm cách khai thác”
Kim Grauer

Một số lời khuyên phòng tránh rug pull từ chuyên gia Eva Crouwel, người phụ trách mảng tội phạm tài chính của sàn giao dịch tiền số Luno, chia sẻ rằng người dùng nên cẩn trọng trước những dự án thiếu minh bạch, không có thông tin đội ngũ rõ ràng, website nhiều lỗi, không có whitepaper hay lộ trình phát triển (roadmap).

Hàng loạt cách phòng tránh rug pull được đội ngũ đúc kết bên dưới:

Kiểm tra dự án có được audit bởi bên nào?
Pancakeswap - Một dự án với đầy đủ các bản kiểm tra bảo mật và công khai các tài liệu được chứng thực bởi các bên audit.
Đầu tư khoản tiền có thể mất, nên dùng một khoản tiền nhỏ cho những đồng coin/token trên các sàn phi tập trung. 
Tự nghiên cứu về độ uy tín của dự án trước khi đầu tư, chẳng hạn như backer của dự án là
Kiểm tra tokenomics, phân bổ token, lịch trả token trong bao lâu? 
Hình thức kêu gọi vốn của dự án là gì? Ví dụ hình thức huy động vốn thông qua các sàn tập trung (IEO) như Binance hay Coinbase có mức độ kiểm duyệt cao và đem đến sự an toàn hơn so với IDO (huy động vốn thông qua sàn DEX). Hai hình thức trên sẽ an toàn và ít rủi ro bị rug hơn ICO (gọi vốn không được kiểm soát bởi bên thứ 3 và dựa trên niềm tin của nhà đầu tư)
Kiểm tra dự án có nhờ một bên thứ 3 cung cấp thanh khoản ban đầu cho cặp giao dịch không? Bên thứ 3 có thể là các sàn DEX, các đội tạo lập thị trường - market maker... Vì nếu không nhờ các bên trung gian giám sát nhằm đảm bảo tính khách quan thì chính dự án cũng có khả năng rút thanh khoản. 
Đội ngũ đằng sau là ai? Họ ẩn danh hay công khai thông tin? Kinh nghiệm & độ uy tín của họ như thế nào?
Nên kiểm tra Github của dự án để cập nhật tiến độ. Nếu nhà phát triển vẫn thường xuyên đóng góp code cho dự án, chứng tỏ cam kết xây dựng và tạo giá trị lâu dài. 
Phân bổ danh mục đầu tư. Không all-in vào một dự án nào, lên phương án phân bổ vốn và quan trọng hơn cả là kiểm soát rủi ro. Đừng tìm kiếm những cơ hội giàu có “nhanh chóng”.  

Các biện pháp trên nhằm giảm thiểu rủi ro bị rug rull khi tham gia thị trường. Tuy nhiên, nhà đầu tư cần duy trì sự cảnh giác, nâng cao kiến thức và cẩn trọng trước khi tham gia vào các dự án nhằm bảo vệ tài sản. 

Các câu hỏi thường gặp về Rug Pull

Rug pull có vi phạm pháp luật không? 

Không hẳn các vụ rug pull đều vi phạm pháp luật, nhưng chắc chắn tất cả hình thức liên quan đều sai về phạm trù đạo đức.

Hình thức hard rug pull sẽ thuộc diện vi phạm pháp luật vì việc cài mã độc là bằng chứng thể hiện rõ ý định lừa đảo và có khả năng cao bị bắt. Còn đối với soft rug pull, hình thức này sẽ khó để xác định hay buộc tội.

Ngoài Mỹ, các chính phủ khác vẫn chưa có hành lang pháp lý cụ thể và thống nhất cho ngành crypto. Vì vậy, rất khó để kết luận rug pull có vi phạm pháp luật hay không.

Tuy nhiên, chắc chắn rug pull là một hành động vi phạm các chuẩn mực đạo đức vì điều này gây thiệt hại tài sản của nhiều người dùng. 

Rug Pull chỉ hoạt động chủ yếu ở thị trường DeFi?

Vì thanh khoản ở các sàn DEX kém hơn và cơ chế kiểm duyệt để niêm yết token lên sàn DEX đơn giản hơn so với sàn CEX, các hoạt động rug pull thường diễn ra ở thị trường DeFi. Do đó, không có một bên đảm bảo rằng token người dùng đầu tư sẽ không bị rút thanh khoản. 

Ngoài ra, hình thức rug pull còn có thể xảy ra ở mảng NFT khi chủ dự án marketing rầm rộ về bộ sưu tập của họ và gây FOMO. Do nắm lượng lớn NFT trong bộ sưu tập, họ bán các NFT và khiến giá rớt đột ngột.