Un rug pull, c'est quand les créateurs d'un projet crypto partent avec l'argent des investisseurs. Le token que vous avez acheté ne vaut plus rien, la liquidité a disparu, et le compte Twitter du projet est supprimé. Selon Chainalysis, les rug pulls ont représenté 37% de toutes les pertes liées aux arnaques crypto en 2021, soit plus de 2,8 milliards de dollars. Et la majorité des victimes avaient ignoré au moins un signal d'alarme évident.
Signal 1 : l'équipe est anonyme et non vérifiable
L'anonymat n'est pas un crime en crypto. Satoshi Nakamoto est anonyme. Mais il y a une différence entre un développeur anonyme avec des années de contributions open source vérifiables et un "CEO" avec un avatar de singe et zéro historique. Si vous ne pouvez pas vérifier qui est derrière un projet, vous ne pouvez pas évaluer leur crédibilité.
Le scandale Wonderland/Sifu a montré que même un projet avec des milliards de TVL peut avoir un criminel comme trésorier. Vérifiez les profils LinkedIn, les contributions GitHub, et les publications passées des fondateurs. Si tout est vide ou créé récemment, méfiance.
Signal 2 : la liquidité n'est pas verrouillée
C'est le mécanisme le plus direct d'un rug pull. Le créateur lance un token, crée une pool de liquidité, attend que les gens achètent, puis retire toute la liquidité. Si la liquidité n'est pas lockée dans un contrat de verrouillage (Unicrypt, Team Finance), vous n'avez aucune garantie.
Vérifiez sur DexTools ou DexScreener. Le pourcentage de liquidité lockée devrait être de 100%. La durée minimum acceptable est 6 mois. Si la liquidité est dans un wallet personnel et pas dans un contrat de lock, ne touchez pas.
Signal 3 : le smart contract a des fonctions suspectes
Certains tokens sont codés comme des honeypots : vous pouvez acheter mais pas vendre. D'autres ont des fonctions de mint (le créateur peut imprimer de nouveaux tokens à volonté et diluer votre position), des taxes de transfert cachées (90% de frais sur chaque vente), ou des blacklists (le créateur peut bloquer votre adresse).
Utilisez TokenSniffer ou GoPlus Security pour scanner le contrat avant d'acheter. Ces outils détectent les fonctions dangereuses automatiquement. Si le contrat n'est pas vérifié sur Etherscan (code source non publié), c'est un signal d'alarme. Pourquoi cacher le code si vous n'avez rien à cacher ?
Signal 4 : les rendements sont impossibles
Un APY de 10 000% ne vient de nulle part. En DeFi légitime, les rendements proviennent des frais de trading, des intérêts de prêts, ou de l'inflation contrôlée d'un token. Des rendements astronomiques viennent de l'impression de nouveaux tokens (qui dilue la valeur) ou de l'argent des nouveaux investisseurs (schéma pyramidal).
Olympus DAO affichait 7 000% d'APY. Les holders ont quand même perdu 98% en dollars. L'APY était réel (en nombre de tokens), mais sans valeur si le prix du token s'effondre. Comprendre la différence entre APY et APR est essentiel pour évaluer les rendements.
Signal 5 : la promotion agressive sans substance
Des influenceurs payés qui shillent le token sur Twitter et YouTube. Des raids Telegram avec des centaines de "quand lambo" postés par des bots. Un whitepaper de 3 pages rempli de buzzwords ("revolutionary", "game-changing", "100x potential") sans détails techniques. Si la promotion est 10x plus développée que le produit, c'est un signal clair.
Les bots sur Telegram créent une illusion de communauté active. Vérifiez les conversations : si tout le monde dit la même chose et personne ne pose de questions techniques, c'est probablement des bots ou des shillers payés.
La checklist avant d'investir
Vérifiez l'équipe (identités vérifiables, historique). Vérifiez le lock de liquidité (100%, 6+ mois, service connu). Scannez le smart contract (TokenSniffer, pas de fonctions suspectes). Évaluez les rendements (d'où vient l'argent ?). Analysez la promotion (produit vs marketing). Si un seul de ces points est un red flag, passez votre chemin. Il y a assez d'opportunités légitimes en crypto pour ne pas risquer un rug pull.
