El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, analiza un modelo de estafa conocido como rug pull (en español, “tirón de alfombra”), sobre todo en proyectos DeFi (criptoactivos que se basan en un sistema de finanzas descentralizado).
Rug pull sucede cuando los desarrolladores detrás de un proyecto lanzan un token y atraen inversores para que aumente su valor, para luego repentinamente retirar los fondos y llevarse el dinero. Cuando los estafadores vacían los pools de liquidez el precio del criptoactivo cae a cero y los inversores pierden la capacidad de intercambiar los tokens por otros más estables o dinero de curso legal. Existen tres tipos de estafas que se definen como rug pull:
- Robo de liquidez:en este caso los desarrolladores impulsan a sus víctimas a invertir en sus monedas más estables o en el proyecto, creando expectativa en las redes sociales. Luego escapan con el dinero que invirtieron las víctimas, quienes quedarán con los tokens sin valor y un pool de intercambio vacío.
- Falsos inversores: aquí los desarrolladores crean un proyecto supuestamente prometedor que parece tener varios inversores, lo cual atrae a personas menos experimentadas. Sin embargo, los creadores son los dueños de casi todas las billeteras que contienen estas monedas, lo cual les permite vender una gran cantidad de activos en poco tiempo. Luego de elevar el precio de la criptomoneda y ganarse la confianza de las víctimas, los desarrolladores venden su parte de manera repentina, lo cual provoca que el precio del activo baje fuertemente. Si bien esto en principio no es una estafa, hay que tener en cuenta que este tipo de proyectos se hacen específicamente para engañar a inversores desprevenidos.
- Manipulación del proyecto:con algunos conocimientos técnicos sobre sitios de Exchange y criptoactivos, los desarrolladores pueden impedir a los inversores la venta de los activos, sin necesidad de informarlo previamente. Luego de inflar el precio del criptoactivo los desarrolladores intercambian todas las monedas y desaparecen con el dinero de los inversores.
“Los proyectos diseñados como estafas rug pull no siempre son obvios. Si bien encontraremos casos en los cuales el proyecto mostraba señales claras de ser un engaño (como la promesa de grandes ganancias), no siempre es así. De hecho, gran parte de los criptoactivos que terminaron siendo una estafa de rug pull fueron presentados como proyectos de inversión sólidos y no como oportunidades para obtener ganancias rápidas.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Según Chainalysis, las estafas de rug pull son una forma de delito nueva que ha crecido mucho en los últimos años. De hecho, y durante el año 2021, calculan que al menos 2800 millones de dólares fueron sustraídos de víctimas bajo este modelo, siendo el 37% del total de dinero obtenido por estafas dentro del mundo de los criptoactivos. Algunos casos de estafas rug pull más destacados son:
Rug pull de token SQUID: A fines de octubre de 2021, se lanzó un token llamado SQUID, basado en la popular serie surcoreana El Juego Del Calamar. Este activo, según sus desarrolladores, sería parte de un juego play-to-earn. Esto, combinado con la publicidad que lanzaron sus creadores, llevaron que el token suba explosivamente su valor de 0,01 a 2800 dólares en menos de tres semanas. El mismo día que el token alcanzó el máximo, los inversores comenzaron a reportar problemas para vender las monedas. Más tarde, su valor se desmoronó, la cuenta de Twitter oficial “Squid Game token” desapareció, al igual que su cuenta en Medium, y su sitio web oficial también dejó de funcionar. Se estima que los estafadores se hicieron con un total de 3.3 millones de dólares.
Rug pull del exchange Thodex: Si bien Thodex fue una plataforma de Exchange y no una criptomoneda, está dentro de las estafas de tipo rug pull más exitosas de la historia. Desde 2018 Turquía enfrenta una crisis financiera que provocó una caída en el valor de la lira turca y el aumento de la inflación, lo cual llevó a que la población comenzara a tomar interés por las criptomonedas. Por su parte las plataformas de Exchange más populares comenzaron a promocionarse por redes, radios y programas de televisión, y rápidamente se convirtieron en los sitios más visitados del país. Entre estos sitios se encontraba Thodex, un Exchange de criptomonedas que comenzó a operar en 2017 y que utilizaba la imagen de distintas celebridades y sorteos de artículos de gran valor como publicidad. Este sitio alcanzó los casi 400 mil usuarios dentro de la plataforma. Sin embargo, durante abril de 2021 los usuarios comenzaron a reportar problemas para vender sus criptomonedas y retirar su dinero, lo que llevó a la compañía a responder en Twitter que se trataba de un cierre temporal para labores de mantenimiento. Luego de unos días, su dueño fue visto abandonando el país. Si bien no hay cifras exactas, se estima que las pérdidas fueron de aproximadamente 2 mil millones de dólares.
El caso de Luna Yield: Durante agosto de 2021 un nuevo proyecto bajo el nombre Luna Yield fue anunciado en la plataforma Solpad, un mercado financiero descentralizado basado en Solana. La combinación de factores como el respaldo que representa la popularidad de la blockchain Solana, la publicidad en redes sociales y la cantidad de usuarios interesados en “bitcoin”, llevó a una recaudación de casi 7 millones de dólares en este nuevo proyecto por parte de los desarrolladores.
El proyecto, sorprendentemente tanto para los usuarios como para quienes administran Solpad, no duró mucho tiempo en línea: apenas dos días después, los desarrolladores detrás de Luna Yield vaciaron los fondos de liquidez y cerraron sus perfiles oficiales en redes sociales. Ni bien Solpad detectó este movimiento bloqueó las transacciones, pero ya era demasiado tarde: los creadores del fraudulento proyecto lograron hacerse con el dinero de los inversores. Días después, Solpad compensó a los afectados y les dio el 60% del dinero invertido inicialmente en Luna Yield.
Las estafas alrededor de las criptomonedas aumentan casi que con la misma velocidad con la que crece el interés de los usuarios por el mundo cripto. En el caso de las estafas de rug pull, la verificación de algunos puntos pueden ser de utilidad a la hora de verificar si el proyecto en el cual se desea invertir puede o no ser una potencial estafa. ESET comparte recomendaciones para evitar ser víctima de este esquema de fraude:
- Investigar quienes son los creadores del proyecto.Es importante conocer el historial de los fundadores. Además de rechazar cualquier criptomoneda que tenga detrás a fundadores con mala reputación, es preferible también evitar cualquier proyecto que no cuente con un historial de proyectos sólido.
- Tener cuidado con las promesas demasiado buenas. Con la intención de atraer grandes cantidades de inversores algunos proyectos pueden prometer un retorno de la inversión demasiado grande. Si garantizan el retorno de 5 o 10 veces lo invertido inicialmente, esto suele ser una señal de alerta. Incluso puede que contraten celebridades e influencerspara promover la estafa.
- Fluctuaciones del valor del criptoactivo. Si bien un aumento del precio de la criptomoneda en la que se invierte es beneficioso para los inversores, si el pico es muy alto puede indicar que se está en un caso de explosión fabricada, en donde los desarrolladores del proyecto inflan este precio para atraer inversores con propuestas interesantes. Luego de esta explosión, los creadores pueden bien desaparecer con los activos o venderlos todos para hacerse con el dinero de los inversores. Una fluctuación alarmante sería, por ejemplo, que la moneda aumente en cien veces su valor.
- Respaldos. Es vital invertir en proyectos que sean respaldados por auditorías de código y revisiones constantes. Además, el apoyo de personalidades de renombre en el mundo cripto es una buena señal.
- Liquidez del proyecto. La capacidad de intercambiar los activos del proyecto por otras criptomonedas más estables es un buen indicador de la solidez del proyecto, aunque no el único. Esto puede verificarse observando la capacidad de los pools de liquidez.
Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/07/25/que-es-estafa-rug-pull/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: