Chargement des prix…
Zipp Zipp Faire de la publicité
S'inscrire Se connecter

Comment repérer un rug pull avant d'investir

Un rug pull, c'est quand les créateurs d'un token vident la liquidité ou abandonnent le projet, laissant les holders avec des tokens sans valeur. Ils suivent des schémas reconnaissables — liquidité bloquée, contrats renoncés, équipes doxxées et vrais audits sont des vérifications. Comment lire les signes.

security Zipp · 7 min de lecture ·
Comment repérer un rug pull avant d'investir

Les bases : ce qu'est vraiment un rug pull

Un rug pull désigne plusieurs schémas d'arnaque proches :

  • Rug de liquidité. L'équipe met son token dans un pool DEX, laisse les acheteurs entrer puis retire le pool — empoche l'argent et laisse les acheteurs avec un token invendable.
  • Rug lent. L'équipe vend graduellement sa grosse allocation sur les achats retail pendant des semaines ou des mois. Moins spectaculaire, même résultat.
  • Rug dur. Le contrat lui-même a une fonction cachée qui permet à l'équipe de mint en illimité, blacklister des holders ou pauser les transferts. Ils l'utilisent et disparaissent.
  • Rug par abandon. L'équipe arrête de bosser, supprime les réseaux et le token perd toute valeur à mesure que le projet meurt.

Dans tous les cas, le résultat est le même : les acheteurs détiennent des tokens valant zéro. Bonne nouvelle : la plupart des rugs sont prévisibles. Mauvaise : la plupart des acheteurs ne font même pas les vérifications de base.

Étape 1 : vérifier si la liquidité est vraiment bloquée

Pour les tokens cotés sur DEX, l'équipe ajoute en général tokens + un actif de base (ETH, SOL, etc.) à un pool. Si elle peut retirer ce pool, elle peut rug. La défense est un lock de liquidité — envoyer les LP tokens (les reçus de la position dans le pool) à un contrat time-locked ou les brûler.

Des outils comme Team Finance, UNCX et l'onglet liquidité de DEXTools permettent de vérifier si la liquidité d'un token est bloquée, par qui, jusqu'à quand et pour quelle fraction du LP total. Surveillez :

  • Aucun lock. Risque de rug : élevé.
  • Seulement un petit pourcentage bloqué. L'équipe a bloqué 5% et laissé 95% retirables. Théâtre inutile.
  • Lock qui expire bientôt. Un lock qui expire la semaine prochaine n'est pas un lock ; c'est un compte à rebours vers un rug.
  • LP tokens brûlés. Envoyés à une adresse morte, jamais retirables. Le signal le plus fort.

Étape 2 : vérifier si le contrat est renoncé

Beaucoup de contrats de token donnent au déployeur ("owner") des pouvoirs spéciaux — mint, changer les frais, blacklister, pauser. Un contrat renoncé est un contrat dont l'owner a été mis à l'adresse nulle, supprimant ces pouvoirs.

Renoncer est positif : ça réduit la surface de rug. Cherchez le contrat sur Etherscan (ou équivalent), trouvez le champ "Owner" et vérifiez s'il pointe sur l'adresse zéro (0x000...000) ou un vrai wallet. Un owner réel n'est pas automatiquement un rug — les grands projets pros gardent souvent un peu d'upgradability — mais pour un petit projet non audité, le contrôle owner est un risque sérieux.

Bémol : des devs malins peuvent dissimuler des fonctions dangereuses sous des noms anodins. Un contrat renoncé avec encore une fonction "setTaxFee" ou "airdrop" qui mint en illimité peut ne pas être sûr même avec renonciation.

Étape 3 : vérifier l'équipe

Les équipes doxxées — vrais noms, historique public, réputation pro — ont beaucoup plus à perdre d'un rug que ce qu'elles pourraient gagner. Les équipes anon n'ont pas ce frein. Cela ne veut pas dire que toute anon rug (beaucoup sont des builders honnêtes) mais le risque statistique est nettement supérieur.

À chercher :

  • Vrais noms LinkedIn avec historique pro vérifiable.
  • Projets antérieurs (succès ou échec assumé) — track record > promesses.
  • Conférences, podcasts, photos avec des gens identifiables.
  • Pour les anons : preuves techniques solides — GitHub actif, produit qui marche, pseudo à réputation.

Ce qui manque compte aussi. Une "team page" de photos de stock avec faux LinkedIn est un montage classique de rug. Recherche d'image inversée avant de croire.

Étape 4 : regarder la distribution on-chain

Ouvrez le token dans un explorateur (Etherscan, Solscan…) et regardez la liste des holders. Schémas de rug fréquents :

  • Top 1-3 wallets avec l'essentiel de l'offre. Ils peuvent vous décharger dessus à tout moment.
  • Le wallet du déployeur garde une grosse allocation. Aucun vesting visible.
  • Beaucoup de wallets créés dans le même bloc avec des soldes identiques. Fausse distribution pour paraître populaire.

Comparez avec un vrai projet — Bitcoin, ETH, tokens établis — et vous verrez des milliers de holders avec une concentration progressive. Un token neuf avec 200 holders dont trois détiennent 80% est structurellement non sûr.

Étape 5 : vérifier l'audit (soigneusement)

Un vrai audit par une firme connue (Trail of Bits, OpenZeppelin, Quantstamp, CertiK…) réduit le risque de rug car il attrape les fonctions dangereuses du contrat. Mais :

  • Un "audit" d'une firme inconnue ne vaut rien — assurez-vous que la firme est réputée.
  • Vérifiez que le contrat audité correspond au contrat live — les projets auditent parfois une version et déploient une autre.
  • Les audits ne couvrent pas la tokenomics ni l'intention de l'équipe — uniquement le code. Un contrat sûr peut quand même être rugué par retrait de liquidité ou vente coordonnée.

Étape 6 : lire la pression marketing

Presque tous les rugs ont la même texture marketing : urgence artificielle. Le lancement est "maintenant ou jamais" ; les influenceurs postent les mêmes éléments ; le Telegram déborde d'emojis ; les admins envoient des DM "opportunité exclusive". Comparez à un projet sûr de sa valeur — il n'a pas besoin de pousser.

Corrélation fiable : plus la pression est forte, plus le rug est probable. Les vrais projets ont rarement besoin de convaincre quelqu'un d'acheter à un instant précis.

Erreurs courantes qui transforment des acheteurs en victimes

  • Acheter parce que le prix monte. Un pump signifie juste que les acheteurs précédents sont entrés moins cher. Cela ne dit rien sur la sécurité.
  • Se fier à l'existence d'un audit sans le lire. Les audits pointent souvent exactement les risques que l'équipe ignore ensuite.
  • Croire à "liquidité bloquée" sans vérifier le lock. Certains parlent de "liquidité bloquée" alors que seul un mini pourcentage l'est.
  • Acheter des tokens promus par des influenceurs. C'est presque toujours payé ; leur endossement ne dit rien sur la sécurité.
  • Taille trop grosse. Même si vous faites tout bien, un petit token inconnu est à haut risque. N'investissez jamais plus que ce que vous pouvez perdre entièrement.

La checklist sécurité

Avant tout achat d'un petit ou nouveau token, déroulez ceci — cinq minutes attrapent la plupart des rugs :

  • La liquidité est-elle bloquée ou brûlée de façon vérifiable ? Pour combien de temps ?
  • Le contrat est-il renoncé ? Sinon, pourquoi ?
  • L'équipe est-elle doxxée avec un vrai parcours ?
  • La distribution des holders est-elle saine (pas 3 wallets avec 80%) ?
  • Y a-t-il un vrai audit d'une firme connue — et le contrat audité colle-t-il au contrat live ?
  • Le marketing est-il relax ou pressant ?
  • Ma taille est-elle calibrée pour qu'une perte totale ne soit pas catastrophique ?

Un seul drapeau rouge suffit à passer. Deux et le calcul dit : partir.

Lire les schémas de rug pull avant d'y être

Les rug pulls laissent souvent une trace papier — des chercheurs repèrent les signaux on-chain, écrivent des threads et alertent avant le dump. Zippfeed suit l'actu sécurité crypto sur plusieurs sources avec score de sentiment et d'importance, pour voir tôt quand un projet montre des signes (gros transferts vers exchanges, changements de contrat suspects, silence radio) et agir à temps. La meilleure protection contre les rug pulls, c'est de prêter attention à ceux qui les surveillent.

Questions fréquemment posées

Qu'est-ce qu'un rug pull en crypto ?
Un rug pull, c'est quand les créateurs d'un projet crypto vident la liquidité ou abandonnent le projet, laissant les holders avec des tokens sans valeur. Variantes : retrait de liquidité, dumping lent de l'équipe, fonctions de contrat cachées qui laissent l'équipe mint ou pauser, et abandon pur. Le résultat est identique : tokens invendables ou valant zéro.
Comment savoir si un projet a la liquidité bloquée ?
Utilisez Team Finance, UNCX ou l'onglet liquidité de DEXTools. Ils montrent si les LP tokens (reçus de la position dans le pool) sont envoyés à un contrat time-locked ou brûlés. Vérifiez le pourcentage bloqué et la date de déverrouillage — un lock sur 1% expirant la semaine prochaine n'est pas une vraie protection.
Que signifie qu'un contrat est renoncé ?
Le déployeur ("owner") a des pouvoirs spéciaux : mint, blacklist, pause. Renoncer consiste à mettre l'owner à l'adresse nulle, supprimant ces pouvoirs définitivement. Ça réduit le risque de rug car l'équipe ne peut plus émettre de tokens ni geler votre wallet. Bémol : certaines fonctions dangereuses peuvent survivre à la renonciation si elles sont déguisées.
Un audit garantit-il qu'un projet ne fera pas de rug ?
Non. Les audits examinent le code pour des vulnérabilités, mais ne captent pas l'intention malveillante de l'équipe comme le retrait de liquidité ou le dumping coordonné. Un vrai audit d'une firme réputée réduit une partie de la surface de rug, sans l'éliminer. Combinez toujours audit, liquidité, équipe et distribution des holders.

Guides connexes