(+34) 910 42 42 93 [email protected]

Con el auge de proyectos DeFi (finanzas descentralizadas) y el potencial de los smart contracts en redes como ethereum y compañía, han empezado a surgir no pocas campañas de un tipo «nuevo» de fraude con criptomonedas al que llamamos Rug Pull.

¿De qué se trata? ¿Cómo podemos identificarlo?

Vamos a resolver todas estas dudas.

¡Empecemos!

¿Qué es un fraude Rug Pull?

Básicamente un fraude Rug Pull es aquel que se realiza mediante un token o proyecto cripto en el que, de alguna manera, los creadores, o un grupo de ciberdelincuentes que pueden o no estar relacionados de forma directa con sus creadores, acaban desapareciendo con todo o buena parte del dinero de los inversores.

Para ello, lo habitual es que se cree un nuevo token, asociado generalmente a otros ampliamente conocidos como ETH, USDT o DAI, y lo publicitan como un proyecto sólido y/o una manera rápida y sencilla de aumentar nuestros beneficios, pudiendo intercambiar los tokens que tengamos en alguna de estas otras criptomonedas, por el de este nuevo token.

En un momento dado, entra en funcionamiento el Rug Pull o tirón de alfombra, y los desarrolladores se van con toda la liquidez que tenía el token, dejando al resto de inversores con unos tokens que no valen en la práctica nada.

El cómo se realiza es lo que cambia, pero el objetivo, como decía, es el mismo de siempre: estafar a todos aquellos que se hayan subido al carro pensando que el proyecto era sólido y sincero.

Y para ello, lo más habitual es que ocurra una de estas tres situaciones:

  • El robo directo: El más habitual de todos, y que se basa en que los propios desarrolladores del proyecto, o un tercero capaz de identificar una vulnerabilidad en el smart contract, consigue hacerse con toda la liquidez amasada por el proyecto, dejándolo sin valor real, y por tanto, desapareciendo con el dinero que el resto de inversores depositaron.
  • El señuelo de los falsos inversores: Otra táctica pasa por simular que un proyecto de este tipo cuenta ya con numerosos inversores, lo que de seguro atraerá el interés de más. En un momento dado, todos esos supuestos inversores iniciales resultan ser cuentas controladas por el mismo grupo, y por tanto se coordinan para que una vez que el precio haya subido lo suficiente, se venda todo en bloque, causando pérdidas a los verdaderos inversores, que ven cómo de la noche a la mañana el criptoactivo ha perdido casi todo su valor.
  • La excusa del mantenimiento o los errores de software: En el momento de hacer el tirón de alfombra, los desarrolladores ponen el proyecto en mantenimiento escudándose en que están arreglando algún problema encontrado e impidiendo por tanto a los inversores cambiar sus tokens. Mientras tanto, y como cabría esperar, ellos hacen lo propio, y al volver el token a estar disponible, su valor ha caído en picado.

¿Cómo podemos saber si estamos ante un fraude Rug Pull?

La respuesta rápida sería que huyeras de todos aquellos proyectos DeFi y DEX que prometen grandes beneficios en poco tiempo. Y por poco tiempo digo días o semanas.

Son proyectos que nacen con mucho hype en redes sociales, y que mueren a los pocos días tras hacer un x10 o x100 gracias a las víctimas.

De hecho, la mayoría de estos si no son un Rug Pull, seguramente sean una mera pirámide, de manera que en efecto puedes hacer mucho negocio… siempre y cuando entres de los primeros y salgas antes de que todo se desmadre.

Como en tu caso, no vas a saber cuándo va a ocurrir, lo más probable es que acabes siendo un estafado más. Pero hay casos de usuarios no relacionados con los cibercriminales que son capaces de adelantarse y vender sus posiciones antes de que ocurra el Rug Pull, llevándose muchos beneficios por el camino.

Es como apostar en un casino, vaya. Lo más probable es que pierdas, pero si suena la flauta…

¿El problema?

Pues que no siempre este tipo de fraudes son tan fácilmente identificables.

Hay Rug Pull que se toman su tiempo, estando en activo meses hasta que, de pronto, se pone en funcionamiento.

La única manera 100% fiable es utilizar herramientas como Etherscan o BscScan, y analizar A MANO qué transacciones se realizan tanto de entrada como de salida.

En fraudes de tipo Rug Pull lento, lo normal es que el saqueo se produzca durante semanas, de manera que los desarrolladores, utilizando normalmente muchas cuentas diferentes de supuestos inversores, van vendiendo sus posiciones mientras entran nuevos inversores. Para minimizar el posible impacto de que los acaben pillando (ya sabes, las técnicas típicas de blanqueo de capital en criptomonedas que ya explicamos hace tiempo), lo habitual es que controlen muchas billeteras con cantidades semejantes de tokens, por lo que si esto está pasando en un proyecto, podemos usarlo de indicio para considerar que se trata de un futuro Rug Pull.

Por último es importante que nos fijemos en quién está detrás del proyecto. Como en cualquier otro proyecto empresarial, sus fundadores tendrán una historia, y si por ejemplo no vemos nada de ellos, o vemos que han estado envueltos en otros proyectos que han salido rana, lo recomendable sería no invertir.

Otros timos que deberías conocer:

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Pablo F. Iglesias
Pablo F. Iglesias

Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂