Türkçede “halı çekme” anlamına gelen rug pull, bir dolandırıcılık tekniğine verilen isimdir.
Kötü niyetli proje geliştiricilerin, projeye yatırım olarak aktarılan tüm fonu çekerek likiditesiz bırakmasını kapsar. Bunun sonucunda projeye yatırım yapan kişi ve kurumlar da mağduriyet yaşar.
Rug pull, kripto para dünyasında sıklıkla görülse de aslında hemen her yerde karşılaşılması mümkün bir dolandırıcılık tekniğidir.
Rug pull nasıl uygulanır?
Kötü niyetli proje geliştiriciler piyasaya yeni bir token sürerek çeşitli vaatlerle onu popüler hâle getirip bir yükseliş yakalamasını sağlar. Ardından yatırımcıları kendine çeker ve fiyatı yükselen projenin fonu, bir süre sonra geliştiricilerin kendi cüzdanlarına aktarıldığından token’ın fiyatı düşüşe geçer.
Kötü niyetli geliştiriciler, genellikle yüksek getiri elde edebilmek için yüksek riskli projelere yatırım yapmayı kabul edebilecek yatırımcıları hedefler. Bu yüzden yatırım kararı vermeden önce yatırımcıların dikkatli olması gerekir.
Rug pull çeşitleri nelerdir?
Rug pull’un üç çeşidi vardır: likidite sıfırlama, satış emrini engelleme ve dump.
Likidite sıfırlama; proje geliştiricilerin likidite havuzundaki tüm likiditeyi çekmesi sonucu yatırımcıların projeye aktardığı değerin ortadan kalkmasıdır. Bunun ardından token’ın fiyatı sıfırlanır ve mağduriyet yaşanır. Likidite sıfırlama, en yaygın rug pull yöntemidir.
Satış emrinin engellenmesi; projenin akıllı sözleşmesine yazılmış olan kötü niyetli bir kodla yapılır. Kötü niyetli geliştiriciler, token satışı yapan tek taraf olmak için bir kod yazarak yatırımcıların elindeki token’ı satmasını engelleyebilir. TP (take profit) yani kâr satışı yapmak isteyen yatırımcı, satışı gerçekleştirmek istediğinde engelleme sebebiyle işlemi gerçekleştiremez.
Dump; token’ın fiyatını hızlıca düşürmektir. Geliştiricilerin kendi yarattıkları token’ın yüksek arzını keskin bir hızla satmasıyla fiyat hızlıca düşer. Dumping vakaları daha çok sosyal medyada yapılan yoğun kampanyaların ardından gelebilir. Bu, pump ve dump dolandırıcılığı olarak da bilinir.
Rug pull nasıl gerçekleşir?
Rug pull’un takip ettiği belirli bir kalıp olduğu söylenebilir. Önce dolandırıcılar gerçek gibi görünen bir web sitesi ve whitepaper ile yeni bir token ya da proje yaratırlar. Ardından bir likidite havuzu aracılığıyla havuza gerçek kripto para eklenir.
Çeşitli iletişim yöntemleri aracılığıyla FOMO hissi oluşturmak en bilinen adımlarından biridir. Yatırımcılar token’ı almaya başladıkça havuzdaki varlıklar birikmeye başlar. Fiyat hedeflenen zirveye ulaştığında geliştirici ekip likiditeyi çeker ve ellerindeki büyük pozisyonları aniden kapatırlar. Sonuç olarak da fiyat sıfıra iner. Havuzdaki gerçek varlıklar ise dolandırıcıların cüzdanına geçmiş olur.
Gerçek rug pull örnekleri
Squid Game Token, 2021’de aynı isimli Netflix dizisini kullanarak ilgi çekmiştir. Varlık birkaç gün içinde yaklaşık 2.860 dolara ulaşmıştır. Geliştiriciler akıllı sözleşmeye gizledikleri bir fonksiyonla yalnızca kendilerinin satabileceği bir yapı kurmuştur. Bu da diğer kullanıcıların satış yapamamasıyla sonuçlanmıştır. Likidite çekildiğinde varlığın değeri saniyeler içinde sıfıra inmiştir. Geliştirici ekip yaklaşık 3,3 milyon dolar ile kayıplara karışmıştır.
LIBRA token vakası ise 2025 yılında gözlemlenmiştir. Arjantin Cumhurbaşkanı Javier Milei’nin X’te paylaştığı bir gönderiyle proje hızlıca 4,56 milyar dolar piyasa değerine ulaşmıştır. Milei gönderisini sildikten sonra token yaklaşık %94 değer kaybetmiştir. Bazı kullanıcılar bu olayı sadece başarısızlığa uğrayan bir proje örneği olarak da yorumlamıştır.
Rug pull’dan korunmak için ne yapılabilir?
Yatırımcılar, rug pull’dan kendini korumak için aşağıdaki yöntemleri uygulayabilir:
- Projeyi detylıca araştırıp incelemek
- Kilitlenmemiş likidite ve şüphe yaratacak denli yüksek getiri (yield) gibi kavramlara dikkat etmek
- Projenin denetlendiğini kontrol etmek
- Satış emrinde kısıt olup olmadığına bakmak
Tüm bunların yanı sıra, geliştiricileri araştırmak ve kodu incelenmiş projeleri seçmek de yatırımcıları koruyacak hamlelerdir. Örneğin 2024 yılında Uluslararası Yazılım Mühendisleri Konferansı’nda yayınlanan bir çalışmada araştırmacılar, rug pull token’larında sıklıkla görülen dört temel kötü niyetli kod riski tanımlamıştır. Bunlar kara liste (BlackList), bakiye manipülasyonu (ModifyBalance), zaman kilidi (TimeLimit) ve dışarıdan bağımlılık (AlienDepend) olarak sunulmuştur. Böylece akıllı sözleşme kodunun incelenmesi gerektiği bir kez daha vurgulanmıştır.
