راگ پول چیست و چگونه می‌توانیم گرفتار این کلاهبرداری در بازار رمزارزها نشویم؟

دنیای ارزهای دیجیتال قلمرویی از فرصت‌های بی‌نظیر و سودهای تصاعدی است، جایی که هیجان سرمایه‌گذاری در یک پروژه نوپا می‌تواند رؤیای ثروت یک‌شبه را در دل هر کسی زنده کند.

اما در پس این هیاهو و نوید بازدهی‌های نجومی، تله‌های خطرناکی نیز کمین کرده‌اند که بزرگترین آن‌ها «راگ پول» (Rug Pull) نام دارد؛ اصطلاحی که به معنای واقعی کلمه، کشیدن فرش اعتماد و دارایی از زیر پای سرمایه‌گذاران است.

در این مقاله جامع، ما در مجله ویانامگ، قصد داریم تا این مکانیسم کلاهبرداری را تشریح کرده، انواع آن را بررسی کنیم و مهم‌تر از همه، راهکارهای عملی و هوشمندانه‌ای را ارائه دهیم تا از گرفتار شدن در این دام‌های مرگبار در بازار رمزارزها، امور مالی غیرمتمرکز (DeFi) و توکن‌های غیرمثلی (NFT) جلوگیری کنید.

راگ پول نوعی کلاهبرداری خروج (Exit Scam) است که در آن تیم‌های توسعه‌دهنده پس از جلب اعتماد عمومی و جمع‌آوری حجم قابل توجهی از سرمایه، ناگهان پروژه را رها کرده و تمام دارایی‌های جمع‌آوری‌شده را به سرقت می‌برند.

گزارش‌ها نشان می‌دهد که تنها در سال ۲۰۲۱، حدود ۷.۷ میلیارد دلار از سرمایه‌گذاران در کلاهبرداری‌های ارز دیجیتال به سرقت رفت، و سهم راگ پول‌ها در این میان، از تنها ۱ درصد در سال ۲۰۲۰، به حدود ۳۷ درصد از کل کلاهبرداری‌های سال ۲۰۲۱ افزایش یافته است.

این جهش چشمگیر اثبات می‌کند که راگ پول به یکی از خطرناک‌ترین روش‌های سرقت دارایی در اکوسیستم نوظهور دیفای تبدیل شده است.

راگ پول چیست؟

راگ پول (Rug Pull) اصطلاحی است که از دنیای واقعی وام گرفته شده و به این معناست که گویی سرمایه‌گذار روی یک فرش گران‌بها (دارایی خود) ایستاده است و ناگهان توسعه‌دهندگان (کلاهبرداران) آن فرش را به سرعت از زیر پایش می‌کشند. فرآیند راگ پول معمولاً با ایجاد یک توکن جدید و نه چندان معتبر آغاز می‌شود.

در این مرحله، کلاهبرداران یک موج هیجانی ساختگی ایجاد می‌کنند؛ آن‌ها با وعده‌های بازدهی بالا، طراحی یک وب‌سایت حرفه‌ای و استفاده از تبلیغات گسترده در شبکه‌های اجتماعی و حتی کمک گرفتن از اینفلوئنسرها، توجه سرمایه‌گذاران ناآگاه را جلب می‌کنند تا قیمت توکن به صورت مصنوعی و سریع افزایش یابد.

به محض اینکه حجم سرمایه‌گذاری به سقف مطلوب کلاهبرداران می‌رسد، فاز خروج به صورت ناگهانی اجرا می‌شود. تیم توسعه، که کنترل دارایی‌های جمع‌آوری شده را در دست دارد، ناگهان تمام ارزهای معتبر (مانند اتر یا استیبل کوین‌ها) را از استخر نقدینگی پروژه خارج می‌کند یا به سادگی، توسعه پروژه را متوقف کرده و وب‌سایت و کانال‌های ارتباطی خود را تعطیل می‌کند.

این اقدام منجر به سقوط شدید ارزش توکن می‌شود، زیرا دیگر هیچ نقدینگی در صرافی‌های غیرمتمرکز (DEX) برای تبادل آن با ارزهای معتبر وجود ندارد. در نتیجه، سرمایه‌گذاران با توکن‌هایی باقی می‌مانند که به طور کامل بی‌ارزش شده‌اند و هیچ راهی برای فروش یا بازیابی دارایی‌هایشان ندارند.

یکی از دلایلی که راگ پول به چنین معضلی در فضای کریپتو تبدیل شده، سهولت ایجاد توکن‌های جدید بر روی بلاک چین‌هایی مانند اتریوم یا بایننس اسمارت چین و همچنین ماهیت غیرمتمرکز صرافی‌های DEX است.

بر خلاف صرافی‌های متمرکز که حداقل الزامات نظارتی را دارند، در DEXها هر کسی می‌تواند به سادگی یک استخر نقدینگی ایجاد کرده و توکن خود را در کمتر از چند دقیقه عرضه کند. این موانع پایین برای ورود کلاهبرداران، فرصت بسیار خوبی برای اجرای سرقت‌های سریع و ناشناس فراهم می‌کند.

همانطور که آمارها نشان می‌دهد، افزایش سهم راگ پول‌ها در کلاهبرداری‌ها، بیانگر این است که ساختار اکوسیستم دیفای و اشتیاق شدید سرمایه‌گذاران برای پروژه‌های جدید، در حال حاضر به شدت توسط بازیگران مخرب مورد سوءاستفاده قرار می‌گیرد.

انواع Rug Pull

کلاهبرداری‌های راگ پول، اگرچه در نتیجه نهایی (سرقت سرمایه) یکسان هستند، اما از نظر نحوه اجرا و مدت زمان انجام، به دو دسته کلی تقسیم می‌شوند که شناخت این تفاوت برای مدیریت ریسک حیاتی است: راگ پول‌های سخت (Hard Rug Pull) و راگ پول‌های نرم (Soft Rug Pull). این تقسیم‌بندی به سرمایه‌گذاران کمک می‌کند تا بسته به تکنیک مورد استفاده، نشانه‌های هشدار را بهتر تشخیص دهند و بفهمند که آیا با یک حمله فنی ناگهانی روبرو هستند یا یک خروج سازمانی تدریجی.

راگ پول‌های سخت، همانطور که از نامشان پیداست، حوادثی ناگهانی و حاد هستند که در یک بازه زمانی بسیار کوتاه (اغلب چند دقیقه تا چند ساعت) اجرا شده و معمولاً منجر به از دست رفتن کامل و آنی دارایی‌ها می‌شوند. رایج‌ترین شکل آن، تخلیه نقدینگی است که در آن تیم توسعه به طور ناگهانی تمام دارایی‌های معتبر را از استخر خارج می‌کند.

نوع دیگر راگ پول سخت، سوءاستفاده از قرارداد هوشمند و مکانیسم‌های مخرب مانند «Honeypot» است، که در آن کد توکن از همان ابتدا طوری نوشته شده است که امکان فروش را برای سرمایه‌گذاران مسدود می‌کند و تنها کیف پول‌های تیم توسعه اجازه نقد کردن دارایی‌ها را دارند. این روش‌ها فنی‌تر هستند و هدف آن‌ها جمع‌آوری حداکثر سرمایه و اجرای یک سرقت سریع و بدون بازگشت است.

در مقابل، راگ پول‌های نرم شامل استراتژی خروج ظریف‌تر و طولانی‌تری هستند. در این حالت، تیم توسعه به جای یک سرقت ناگهانی، به تدریج تعهد خود را نسبت به پروژه کاهش می‌دهد.

ممکن است به‌روزرسانی‌ها متوقف شوند، تیم ارتباط خود با جامعه را قطع کند یا اعضای اصلی پروژه به آرامی ناپدید شوند (Team Exit). همچنین، مجرمان ممکن است به جای تخلیه کامل و یک‌باره استخر نقدینگی، فروش دارایی‌های خود را به صورت تدریجی طی هفته‌ها یا ماه‌ها انجام دهند.

اگرچه راگ پول‌های نرم ممکن است فرصتی برای خروج به سرمایه‌گذاران آگاه بدهند، اما نشانه‌های هشداردهنده (مانند کمبود ارتباط یا عدم اجرای نقشه راه) معمولاً در طول زمان ظاهر می‌شوند و عدم توجه به آن‌ها همچنان منجر به زیان قابل توجهی می‌شود، چرا که ارزش توکن به آرامی کاهش می‌یابد تا بی‌ارزش شود.

Rug Pull از طریق دستکاری کردن قرارداد هوشمند

قراردادهای هوشمند (Smart Contracts) ستون فقرات امور مالی غیرمتمرکز هستند؛ آن‌ها کدهای برنامه‌نویسی‌شده‌ای هستند که به طور خودکار بر روی بلاک چین اجرا می‌شوند و هدفشان فراهم کردن شفافیت و امنیت بدون نیاز به واسطه است.

با این حال، کلاهبرداران می‌توانند از پیچیدگی‌های فنی کد (معمولاً کد سالیدیتی) سوءاستفاده کنند تا درهای پشتی مخفی (Backdoors) یا توابع مخربی را در ساختار توکن تعبیه کنند. این نوع از راگ پول، یک تله فنی بسیار پیشرفته است که شناسایی آن برای سرمایه‌گذاران عادی که توانایی خواندن کد قرارداد را ندارند، بسیار دشوار است.

مشهورترین مثال از دستکاری قرارداد هوشمند، ایجاد مکانیسم «تله عسل» یا Honeypot است. در این سناریو، قرارداد هوشمند طوری طراحی می‌شود که کاربران می‌توانند به راحتی توکن‌ها را خریداری کنند و نقدینگی خود را به استخر واریز نمایند. اما یک تابع خاص در کد، مانند Sell یا Transfer، برای آدرس‌های کیف پول غیر از آدرس توسعه‌دهنده مسدود یا غیرفعال می‌شود.

این بدان معناست که سرمایه‌گذاران در واقع قفل می‌شوند و قادر به فروش یا جابجایی توکن‌های خود نیستند، در حالی که توسعه‌دهندگان می‌توانند در هر زمان دلخواه دارایی‌ها را نقد کنند. توکن بازی مرکب (Squid Game Token) که در سال ۲۰۲۱ یک رسوایی بزرگ به پا کرد، از یک مکانیزم ضد-فروش (Anti-Sell) در کد خود استفاده کرده بود که تنها سازندگان را قادر به نقد کردن دارایی‌ها می‌ساخت.

سایر سوءاستفاده‌های فنی شامل قرار دادن توابعی است که به سازنده اجازه می‌دهد تا توکن‌های جدید را به صورت نامحدود ضرب (Malicious Minting) کند. کلاهبردار با استفاده از این تابع می‌تواند در زمان دلخواه تعداد عظیمی از توکن‌ها را ایجاد کرده و با فروش ناگهانی (Dump) آن‌ها در بازار، باعث کاهش شدید ارزش دارایی‌های سایر سرمایه‌گذاران شود.

همچنین، برخی کلاهبرداران با تغییر توابع قرارداد، کارمزد تراکنش‌ها را تا ۱۰۰ درصد افزایش می‌دهند، که عملاً فروش را برای کاربر عادی غیرممکن می‌سازد.

برای محافظت در برابر این تله‌های پیچیده، سرمایه‌گذاران باید کاملاً به ممیزی‌های امنیتی مستقل (Security Audits) اعتماد کنند و از ابزارهایی مانند RugDoc.io برای بررسی قراردادهای دیفای استفاده نمایند.

 کلاهبرداری از طریق استخر نقدینگی

استخرهای نقدینگی مخازنی از دارایی‌های رمزنگاری شده هستند که در قراردادهای هوشمند قفل شده‌اند تا امکان تبادل آسان و سریع توکن‌ها در صرافی‌های غیرمتمرکز (DEX) را فراهم کنند. سرمایه‌گذارانی که به این استخرها توکن اضافه می‌کنند، به عنوان ارائه‌دهنده نقدینگی (LP) شناخته شده و در ازای سهم خود، توکن‌های LP دریافت می‌کنند که قابلیت بازخرید سهم آن‌ها از استخر را نشان می‌دهد.

این مکانیسم در حالت عادی، زیربنای اصلی عملکرد دیفای است، اما رایج‌ترین راه برای اجرای راگ پول نیز، سوءاستفاده از همین استخرها است.

کلاهبرداری تخلیه نقدینگی (Liquidity Pulls) زمانی رخ می‌دهد که توسعه‌دهندگان، یک استخر نقدینگی با توکن جدید خود و یک ارز معتبر و پرتقاضا (مانند اتریوم یا تتر) ایجاد می‌کنند. هنگامی که سرمایه‌گذاران به طمع سود وارد می‌شوند و توکن جدید را خریداری می‌کنند، در واقع ارزهای معتبر خود را وارد استخر نقدینگی می‌کنند و به صورت ناخواسته، ذخایر ارزی توسعه‌دهنده را افزایش می‌دهند.

در این مرحله، کلاهبرداران، که بخش عظیمی از توکن‌های LP را در اختیار دارند یا کنترل قرارداد هوشمند استخر را حفظ کرده‌اند، ناگهان توکن‌های LP خود را نقد می‌کنند تا تمام ارزهای معتبر را از استخر خارج سازند.

این سرقت ناگهانی، به سرعت استخر را از دارایی‌های معتبر تخلیه می‌کند. نتیجه این است که توکن پروژه جدید فوراً بی‌ارزش می‌شود، زیرا خریداران و فروشندگان دیگر نمی‌توانند آن را با هیچ دارایی باارزشی تبادل کنند. این وضعیت، توکن را عملاً “غیرقابل فروش” می‌سازد و سرمایه‌گذاران را با زیان کامل مواجه می‌کند.

برای مقابله با این خطر، باید از وضعیت قفل نقدینگی (Liquidity Lock) اطمینان حاصل کرد؛ پروژه‌های معتبر، توکن‌های LP را برای یک دوره زمانی مشخص در یک قرارداد هوشمند قفل می‌کنند تا توانایی تیم توسعه برای برداشت زودهنگام دارایی‌ها را از بین ببرند. عدم قفل نقدینگی یک پرچم قرمز مطلق برای هر پروژه‌ای است.

 چگونه می‌توان یک راگ‌پول را شناسایی کرد؟

شناسایی یک پروژه راگ پول نیازمند یک رویکرد دوگانه است: بررسی دقیق فنی قراردادها و ارزیابی موشکافانه جنبه‌های بنیادی و اجتماعی پروژه. اولین و حیاتی‌ترین گام فنی، بررسی وضعیت قفل نقدینگی است. اگر توکن‌های ارائه‌دهنده نقدینگی (LP Tokens) قفل نشده باشند یا به آدرس سوخت (Burn Address) منتقل نشده باشند، این به معنای کنترل کامل توسعه‌دهنده بر استخر و توانایی او برای تخلیه آن در هر لحظه است.

سرمایه‌گذاران باید با استفاده از کاوشگرهای بلاک چین (مانند Etherscan یا Bscscan) یا پلتفرم‌هایی که وضعیت قفل نقدینگی را بررسی می‌کنند (مانند Team Finance)، مطمئن شوند که توکن‌های LP در یک قرارداد هوشمند با زمان قفل مشخص منتقل شده‌اند. پروژه‌ای که این شفافیت فنی را ندارد، یک بمب ساعتی محسوب می‌شود.

در مرحله بعد، بررسی شفافیت و اعتبار تیم توسعه‌دهنده امری ضروری است. تیم‌هایی که کاملاً ناشناس هستند، از نام‌های مستعار استفاده می‌کنند یا سوابق کاری عمومی و قابل تأیید (مانند پروفایل‌های فعال و مرتبط در لینکدین یا گیت‌هاب) ندارند، یک پرچم قرمز بزرگ محسوب می‌شوند.

یک تیم معتبر معمولاً پیشینه‌ای از مشارکت در پروژه‌های موفق یا مرتبط دارد. علاوه بر این، باید فعالیت جامعه پروژه مورد بررسی قرار گیرد: آیا جوامع دیسکورد و تلگرام تعامل واقعی دارند یا صرفاً هایپ و شور ساختگی توسط حساب‌های جعلی است؟ قطع ناگهانی ارتباطات از سوی تیم نیز می‌تواند نشانه‌ای از برنامه‌ریزی برای خروج باشد.

همچنین، هوشیاری در برابر هشدارهای اقتصادی و امنیتی ضروری است. هر پروژه‌ای که وعده بازدهی سرشار، غیرمعقول و تضمین شده می‌دهد (مثلاً سودهای چند صد درصدی) باید بلافاصله شما را به شک بیندازد. این وعده‌ها برای تحریک ترس از دست دادن (FOMO) طراحی شده‌اند.

از نظر امنیتی، حتماً بررسی کنید که آیا قرارداد هوشمند توکن توسط شرکت‌های ممیزی امنیتی معتبر مانند CertiK یا PeckShield ممیزی شده است یا خیر.

ممیزی یک لایه حیاتی است که به شناسایی توابع مخرب پنهان کمک می‌کند. همچنین، اگر یک توکن جدید صرفاً در یک صرافی غیرمتمرکز کوچک لیست شده و امکان خرید و فروش آن در صرافی‌های بزرگ‌تر وجود ندارد، ریسک راگ پول افزایش می‌یابد.

برای کمک به سرمایه‌گذاران در ارزیابی سریع و مؤثر پروژه‌های جدید، می‌توان از چک‌لیست زیر به عنوان یک راهنمای عملی استفاده کرد:

چک‌لیست شناسایی علائم خطر راگ پول (Rug Pull Red Flags)

مشهورترین کلاهبرداری‌های راگ پول

آشنایی با نمونه‌های تاریخی راگ پول، چراغ راهی برای سرمایه‌گذاران آینده است تا ماهیت پیچیده و آسیب‌زننده این کلاهبرداری‌ها را درک کنند. یکی از مشهورترین موارد، توکن بازی مرکب (Squid Game Token) بود که در سال ۲۰۲۱ رخ داد و نمونه‌ای کامل از ترکیب سوءاستفاده از ترندهای فرهنگی با تله‌های فنی بود.

این پروژه با استفاده از هیجان سریال نتفلیکس، قیمت توکن خود را در عرض چند روز بیش از ۴۰,۰۰۰٪ افزایش داد. اما فاجعه زمانی رخ داد که مشخص شد قرارداد هوشمند این توکن حاوی یک مکانیزم ضد-فروش (Anti-Sell) بود؛ به طوری که سرمایه‌گذاران نمی‌توانستند دارایی‌های خود را بفروشند.

در نهایت، سازندگان توانستند حداقل ۲۶۹۳ اتریوم (معادل ۱.۱ میلیون دلار در آن زمان) را از طریق این قرارداد مخرب خارج کرده و ناپدید شوند، و میلیون‌ها نفر را با توکن‌های کاملاً بی‌ارزش تنها گذاشتند.

نمونه برجسته دیگری از تخلیه نقدینگی در مقیاس بالا، کلاهبرداری AnubisDAO بود که در همان سال ۲۰۲۱ اتفاق افتاد.

این پروژه در حوزه دیفای و با تبلیغات گسترده راه‌اندازی شد و توانست تقریباً ۶۰ میلیون دلار از سرمایه‌گذاران را جذب کند. تراژدی AnubisDAO نشان داد که حتی با وجود یک وایت‌پیپر و تبلیغات به ظاهر قوی، اگر اصول بنیادین امنیت رعایت نشود، فاجعه اجتناب‌ناپذیر است.

در این مورد، توسعه‌دهندگان صرفاً با عدم قفل کردن نقدینگی پروژه، کنترل کامل دارایی‌ها را حفظ کرده و در یک اقدام سریع و ناگهانی، تمام وجوه را از استخر خارج کردند، که این امر، آن را به یک راگ پول سخت و کلاسیک تبدیل کرد.

این مثال‌ها، در کنار کلاهبرداری‌های بزرگ و ساختاریافته‌تری مانند وان‌کوین (OneCoin) و بیت‌کانکت (Bitconnect) که بیشتر شبیه به طرح‌های پانزی بودند اما با خروج ناگهانی تیم به پایان رسیدند ، درس‌های مهمی را به ما می‌آموزند. ماهیت مشترک همه این شکست‌ها، سوءاستفاده از اعتماد، ناشناس بودن و وعده‌های غیرواقعی سود است.

این موارد تأکید می‌کنند که فضای رمزارز، با وجود پتانسیل رشد بالا، همچنان فاقد بیمه و تضمین مشخص است. بنابراین، سرمایه‌گذارانی که به امید یک شبه پولدار شدن عجله می‌کنند، آسیب‌پذیرترین قربانیان هستند. این تاریخچه ثابت می‌کند که تحقیق کامل و آگاهانه، قوی‌ترین سپری است که در برابر این نوع سرقت‌ها وجود دارد.

 کلام آخر

راگ پول به دلیل ماهیت غیرمتمرکز و نوپای بازار امور مالی دیجیتال، به یکی از چالش‌های اصلی و غالب در اکوسیستم کریپتو تبدیل شده است. تسهیل ایجاد توکن‌های جدید و عدم وجود مقررات سخت‌گیرانه در صرافی‌های غیرمتمرکز، باعث شده است که کلاهبرداران به راحتی بتوانند پروژه‌های فریبنده ایجاد کرده و با سوءاستفاده از هیجان بازار (FOMO)، میلیاردها دلار سرمایه را به سرقت ببرند.

درک این نکته ضروری است که امنیت سرمایه‌گذاری در این حوزه، به طور مستقیم به کیفیت تحقیق شما بستگی دارد؛ دانش و هوشیاری شما قوی‌ترین سلاح در برابر راگ پول‌های سخت (تخلیه نقدینگی و تله عسل) و راگ پول‌های نرم (خروج تدریجی تیم) است.

برای حفاظت از دارایی‌های خود، یک سرمایه‌گذار آگاه باید همواره رویکردی شکاکانه داشته باشد و چک‌لیست جامعی از جوانب فنی و بنیادی را اجرا کند. اولین قدم باید همیشه بررسی وضعیت قفل نقدینگی باشد؛ اگر توکن‌های LP قفل یا سوخته نشده باشند، پروژه ذاتاً ناامن است.

در کنار آن، شفافیت تیم (بررسی سوابق عمومی)، ممیزی امنیتی قرارداد هوشمند توسط نهادهای معتبر، و منطقی بودن وعده‌های بازدهی، شاخص‌های حیاتی برای تعیین مشروعیت پروژه هستند.

در نهایت، باید به یاد داشت که در بازاری که بسیاری از کلاهبرداری‌ها با وعده سود سرشار سرمایه‌گذاران را به دام می‌اندازند، اگر یک پروژه بیش از حد مطلوب یا رؤیایی به نظر می‌رسد، باید به درستی ادعای گردانندگان آن شک کرد. در بازار رمزارز، دانش شما قوی‌ترین دارایی شماست.

با تکیه بر تحقیقات مستقل و آگاهانه (DYOR)، می‌توانید در مسیرهای پرخطر دیفای با اطمینان قدم بردارید و اجازه ندهید که فرش سودآوری از زیر پای سرمایه گرانبهایتان کشیده شود. آگاهانه عمل کنید و امنیت خود را اولویت اصلی قرار دهید.