crypto

Cos'è un rug pull crypto: Come riconoscerlo ed evitarlo

Il rug pull è la truffa più comune in DeFi e nei meme coin. Il team raccoglie liquidità e poi sparisce. I segnali d'allarme, esempi famosi e come proteggersi.

Redazione Moneyside · · 7 min di lettura · Verificato dalla redazione

Contenuto educativo: Questo articolo ha finalità esclusivamente informative. Non costituisce consulenza finanziaria, fiscale o di investimento. Le criptovalute sono strumenti ad alto rischio: il valore può azzerarsi. Prima di qualsiasi decisione consulta un consulente finanziario indipendente.

Cos'è un rug pull

Un rug pull è una truffa che si verifica quando il team fondatore di un progetto crypto raccoglie fondi dalla community — attraverso il lancio di un token, la creazione di una liquidity pool su un exchange decentralizzato o una Initial Coin Offering (ICO) — e poi tira il tappeto da sotto i piedi degli investitori. In pratica, ritira tutta la liquidità disponibile e sparisce con i fondi raccolti, lasciando i possessori del token con asset privi di valore e nessuna controparte a cui rivolgersi. Il nome richiama esattamente questa immagine: qualcuno che cammina su un tappeto e se lo vede sfilare di sotto in un istante. Nei mercati decentralizzati, dove non esistono intermediari regolamentati, questo tipo di truffa è tecnicamente semplice da eseguire e straordinariamente difficile da perseguire.

Tipi di rug pull

Non tutti i rug pull si assomigliano. Esistono almeno tre varianti principali, con caratteristiche e tempistiche molto diverse tra loro.

  • Hard rug pull: la forma più brutale. Il team ritira tutta la liquidità dalla pool in pochi secondi o minuti. Il prezzo del token crolla istantaneamente a zero e non c'è nulla che i possessori possano fare per uscire in tempo.
  • Slow rug pull: il team vende gradualmente le proprie quote nel tempo, mantenendo l'apparenza di un progetto attivo. Gli sviluppatori continuano a comunicare con la community, pubblicano aggiornamenti e alimentano l'hype, mentre svuotano lentamente le proprie posizioni.
  • Honeypot: una truffa incorporata direttamente nello smart contract. Il codice è scritto in modo da consentire l'acquisto del token ma impedirne la vendita. L'investitore si ritrova con un asset che non può rivendere su nessun mercato.

Attenzione: Gli honeypot sono particolarmente insidiosi perché il prezzo del token può continuare a salire anche dopo che la truffa è operativa, attirando nuove vittime. La trappola si chiude nel momento in cui si tenta di vendere.

Esempi famosi

Alcuni casi reali aiutano a capire la portata del fenomeno.

  • Squid Game Token (novembre 2021): sfruttando la popolarità della serie Netflix, i creatori del token SQUID ne fecero salire il prezzo da pochi centesimi fino a circa 2.861 dollari. In pochi secondi il prezzo crollò a zero. Secondo quanto riportato da Reuters, i truffatori avrebbero sottratto circa 3,4 milioni di dollari [fonte: Reuters — verificare prima della pubblicazione]. Era un honeypot: gli acquirenti non potevano rivendere.
  • Frosties NFT (2022): il team scomparve dopo aver raccolto circa 1,3 milioni di dollari dalla vendita di NFT. Fu uno dei primi casi in cui le autorità statunitensi (DOJ) effettuarono arresti per una truffa NFT.
  • Anubis DAO (ottobre 2021): circa 60 milioni di dollari in ETH sparirono in meno di 20 ore dall'apertura della raccolta fondi. I wallet dei fondatori si svuotarono nel silenzio più totale.

Nota: I dati citati si riferiscono a fonti giornalistiche e dovrebbero essere verificati sulle fonti originali prima della pubblicazione. Le cifre esatte possono variare a seconda della fonte e del momento in cui il prezzo è stato rilevato.

Segnali d'allarme: la checklist

Prima di interagire con qualsiasi progetto crypto, soprattutto su exchange decentralizzati, è utile verificare sistematicamente la presenza di questi segnali d'allarme.

Red flag principali: la presenza anche di uno solo di questi elementi dovrebbe indurre alla massima cautela.

  1. Team anonimo senza track record verificabile: identità non verificabili, nessun profilo LinkedIn coerente, nessuna storia pubblica nel settore.
  2. Nessun audit del contratto smart — o audit condotto da aziende sconosciute senza reputazione pubblica verificabile.
  3. Liquidità non locked: se il team può ritirare la liquidità dalla pool in qualsiasi momento senza vincoli temporali, il rischio di hard rug pull è concreto.
  4. Distribuzione token concentrata: se un singolo wallet o un gruppo ristretto detiene oltre il 30% dell'offerta totale, una vendita coordinata potrebbe azzerare il valore in pochi istanti.
  5. Whitepaper copiato, superficiale o assente: un progetto serio documenta tecnologia, tokenomics e roadmap in modo dettagliato e originale.
  6. APY superiore al 500%: rendimenti insostenibili sono quasi sempre uno schema Ponzi o una promessa che non verrà mantenuta.
  7. Pressione temporale artificiale: frasi come "compra adesso prima che finisca" o "ultima occasione" sono classiche tecniche di manipolazione.
  8. Community basata solo sull'hype: canali Telegram o Discord con migliaia di membri, ma nessuna discussione tecnica reale e moderazione aggressiva verso chi pone domande critiche.
  9. Codice non open source: un progetto che non pubblica il codice sorgente impedisce qualsiasi verifica indipendente della sua sicurezza.

Come verificare un progetto

Esistono strumenti pubblici che permettono di effettuare una due diligence minima prima di interagire con un token sconosciuto.

  • Token Sniffer (tokensniffer.com): analisi automatica del contratto alla ricerca di pattern comuni nelle truffe.
  • Etherscan / BscScan: verifica se il contratto è stato pubblicato e verificato pubblicamente. Un contratto non verificato non permette di leggerne il codice.
  • DEXTools: consente di analizzare la distribuzione dei holder e individuare concentrazioni anomale.
  • DexScreener: fornisce informazioni sulla liquidità disponibile e, in alcuni casi, segnala se è locked o meno.
  • Audit reports: cerca eventuali report pubblicati da aziende di sicurezza riconosciute come CertiK o Hacken, verificando che il report sia autentico e aggiornato.

Importante: Nessuna di queste verifiche è infallibile. I truffatori si adattano continuamente agli strumenti di analisi, imparano a superare i controlli automatici e a simulare audit legittimi. La due diligence riduce il rischio, ma non lo elimina.

Rischi e considerazioni

I rug pull rappresentano una delle forme di fruffa più difficili da contrastare sul piano legale e pratico.

Recupero dei fondi: quasi impossibile. I team che eseguono rug pull operano quasi sempre in forma anonima, attraverso wallet non identificabili e da giurisdizioni diverse. Anche nei rari casi in cui le autorità riescono a identificare i responsabili — come nel caso Frosties — i fondi sono già stati spostati, mixati o convertiti. Chi denuncia lo fa spesso quando ha già perso tutto. Non esistono meccanismi di rimborso automatici, né fondi di garanzia applicabili alle DeFi. La prevenzione rimane l'unico strumento realmente efficace.

FAQ

Posso recuperare i fondi dopo un rug pull?

Nella stragrande maggioranza dei casi, no. I fondi vengono rapidamente spostati, convertiti in altre valute o prelevati attraverso mixer che rendono impossibile il tracciamento. Alcune vittime hanno tentato vie legali, ma il percorso è lungo, costoso e raramente porta al recupero delle somme. È possibile sporgere denuncia presso la Polizia Postale in Italia, ma le probabilità di esito positivo dipendono fortemente dalla giurisdizione e dall'entità della truffa.

Come faccio a sapere se un token è un honeypot?

Strumenti come Token Sniffer o Honeypot.is analizzano il codice del contratto e simulano operazioni di acquisto e vendita per rilevare la presenza di restrizioni. Tuttavia, alcuni contratti malevoli sono scritti in modo da eludere questi controlli automatici. Un'ulteriore verifica consiste nell'osservare la cronologia delle transazioni su Etherscan: se nessun wallet risulta aver venduto il token con successo, potrebbe trattarsi di un honeypot.

I token su Uniswap sono sicuri?

Uniswap è un protocollo decentralizzato: chiunque può listare qualsiasi token senza alcuna verifica preliminare. La presenza di un token su Uniswap non implica alcuna forma di controllo, approvazione o garanzia. Il rischio di interagire con token fraudolenti su exchange decentralizzati è strutturalmente più elevato rispetto agli exchange centralizzati regolamentati, che applicano procedure di listing più rigorose.

Il fatto che ci sia un audit garantisce la sicurezza?

No. Un audit riduce il rischio di vulnerabilità tecniche, ma non garantisce l'onestà del team. Esistono casi documentati di progetti che hanno ottenuto audit da aziende serie e hanno comunque eseguito un rug pull in seguito. Inoltre, circolano audit falsi o condotti da aziende create appositamente per dare un'apparenza di legittimità. Verifica sempre che il report sia pubblicato direttamente sul sito dell'azienda di auditing e che corrisponda all'indirizzo del contratto che stai analizzando.

Vuoi iniziare con le crypto in modo consapevole? Prima di aprire un conto su qualsiasi exchange, verifica che sia regolamentato MiCA e registrato OAM in Italia.

Le guide Moneyside hanno carattere educativo e informativo. Non costituiscono consulenza finanziaria, legale o fiscale ai sensi del D.Lgs. 58/1998 (TUF) e della Direttiva MiFID II. Verifica sempre le informazioni con fonti ufficiali o un professionista qualificato.

Guide correlate

Cos'è Bitcoin: La guida completa per capirlo da zero
Come funziona Bitcoin: Blockchain, mining e transazioni spiegati bene
Satoshi nakamoto: Chi ha inventato Bitcoin (e perché nessuno lo sa)
La storia del prezzo di Bitcoin: Dal 2009 a oggi
Guida gratuita 2026
La guida al risparmio 2026

24 pagine su energia, telefonia, abbonamenti e conto corrente.

Categoria
crypto
Vedi tutte le guide →