Como detetar um rug pull antes de investir

O básico: o que é mesmo um rug pull

Um rug pull descreve vários padrões de fraude relacionados:

• Rug de liquidez. A equipa põe o token num pool DEX, deixa entrarem compradores e depois retira o pool — fica com o dinheiro e deixa os compradores com um token que não conseguem vender.
• Rug lento. A equipa vai vendendo a sua grande alocação ao retalho durante semanas ou meses. Menos dramático, mesmo resultado.
• Rug duro. O próprio contrato tem uma função escondida que deixa a equipa mintar tokens ilimitados, pôr holders na blacklist ou pausar transferências. Usam e desaparecem.
• Rug por abandono. A equipa para de trabalhar, apaga redes sociais e o token perde todo o valor enquanto o projeto morre.

Em todos os casos o resultado é o mesmo: compradores ficam com tokens praticamente sem valor. Boa notícia: a maioria dos rugs é previsível. Má notícia: a maioria dos compradores não faz nem as verificações básicas.

Passo 1: Veja se a liquidez está mesmo bloqueada

Para tokens listados em DEX, a equipa costuma juntar tokens + um ativo base (ETH, SOL etc.) a um pool. Se a equipa pode retirar o pool, pode fazer rug. A defesa é um lock de liquidez — enviar os LP tokens (recibos da posição no pool) para um contrato time-locked ou queimá-los.

Ferramentas como Team Finance, UNCX e o separador de liquidez do DEXTools deixam verificar se a liquidez está bloqueada, por quem, até quando e por que percentagem do LP total. Atenção a:

• Sem lock nenhum. Risco de rug: alto.
• Só uma pequena percentagem bloqueada. A equipa bloqueou 5% e deixou 95% retirável. Teatro inútil.
• Lock a expirar em breve. Um lock que vence na próxima semana não é lock; é contagem decrescente para um rug.
• LP tokens queimados. Enviados para um endereço morto, nunca podem ser retirados. O sinal mais forte.

Passo 2: Veja se o contrato está renunciado

Muitos contratos dão ao deployer ("owner") poderes especiais — mintar, mudar taxas, blacklist, pausar transferências. Um contrato renunciado é aquele em que o owner foi definido como endereço nulo, ou seja, ninguém pode usar esses poderes.

Renunciar é positivo: remove a superfície de rug. Procure o contrato no Etherscan (ou equivalente), encontre o campo "Owner" e verifique se aponta para o endereço zero (0x000...000) ou para uma carteira real. Owner real não é rug automático — projetos grandes profissionais costumam manter algum nível de upgradability — mas em pequenos projetos sem auditoria, o controlo do owner é risco sério.

Aviso: programadores espertos podem disfarçar funções perigosas com nomes inocentes. Um contrato renunciado com funções "setTaxFee" ou "airdrop" que mintam sem limite pode não ser seguro mesmo com a propriedade renunciada.

Passo 3: Verifique a equipa

As equipas doxxed — nomes reais, histórico público, reputação profissional — têm muito mais a perder com um rug do que poderiam ganhar. As equipas anónimas não têm esse travão. Não significa que todas as anónimas façam rug (muitas são builders honestos), mas o risco estatístico é muito maior.

Procure:

• Nomes reais no LinkedIn com históricos profissionais verificáveis.
• Projetos anteriores (sucesso ou falhanço honesto) — track record vale mais que promessas.
• Palestras em conferências, podcasts, fotos com pessoas que se podem confirmar.
• Para equipas anónimas: evidência técnica forte — GitHub ativo, produto funcional, pseudónimo com reputação.

O que falta também conta. Uma "equipa" feita de fotos de banco de imagens com LinkedIns falsos é um clássico de rug. Faça pesquisa inversa de imagem antes de acreditar.

Passo 4: Olhe a distribuição on-chain de holders

Abra o token num explorador (Etherscan, Solscan etc.) e veja a lista de holders. Padrões típicos de rug:

• Top 1-3 carteiras com a maioria da oferta. Podem despejar em si a qualquer altura.
• A carteira do deployer ainda detém grande alocação. Sem vesting visível.
• Muitas carteiras criadas no mesmo bloco com saldos iguais. Distribuição falsa para parecer popular.

Compare com um projeto legítimo — Bitcoin, ETH, tokens estabelecidos — e verá milhares de holders com concentração gradual. Um token novo com 200 holders, três deles a deter 80%, é estruturalmente inseguro.

Passo 5: Verifique a auditoria (com cuidado)

Uma auditoria real de uma firma conhecida (Trail of Bits, OpenZeppelin, Quantstamp, CertiK etc.) reduz o risco de rug porque apanha funções perigosas. Mas:

• Uma "auditoria" de uma firma que nunca ouviu não vale nada — confirme que é reputada.
• Verifique se o contrato auditado bate com o contrato em produção — às vezes auditam uma versão e fazem deploy de outra.
• As auditorias não detetam tokenomics nem intenção da equipa — só o código. Um contrato seguro pode ainda assim ser rugado por retirada de liquidez ou venda coordenada.

Passo 6: Leia a pressão do marketing

Quase todos os rugs têm a mesma textura: urgência artificial. O lançamento é "agora ou nunca"; os influencers publicam os mesmos pontos; o Telegram está cheio de emojis de festa; admins fazem DM com oportunidades exclusivas. Compare com um projeto confiante no seu valor — não precisa de empurrar.

Correlação fiável: quanto maior a pressão de marketing, maior a probabilidade de rug. Projetos reais raramente precisam de convencer alguém a comprar num momento exato.

Erros comuns que tornam compradores em vítimas

• Comprar porque o preço sobe. Um pump só diz que quem entrou antes está mais barato. Não fala de segurança.
• Confiar na existência de uma auditoria sem a ler. As auditorias marcam exatamente os riscos que a equipa depois ignora.
• Acreditar em "liquidez bloqueada" sem verificar o lock. Alguns dizem que a liquidez está bloqueada quando só uma fração o está.
• Comprar tokens promovidos por influencers. Quase sempre é publicidade paga; o endosso nada diz de segurança.
• Dimensionar demasiado. Mesmo a fazer tudo bem, um token pequeno desconhecido é alto risco. Nunca invista mais do que pode perder por completo.

A checklist de segurança

Antes de comprar qualquer token pequeno ou novo, passe por isto — cinco minutos apanham a maioria dos rugs:

• A liquidez está comprovadamente bloqueada ou queimada? Por quanto tempo?
• O contrato está renunciado? Se não, porquê?
• A equipa está doxxed com histórico real?
• A distribuição de holders parece saudável (sem 3 carteiras a deter 80%)?
• Há auditoria real de firma reconhecida — e o contrato auditado bate com o vivo?
• O marketing é descontraído ou pressionado e urgente?
• Dimensionei para que uma perda total não seja catastrófica?

Qualquer sinal sozinho é razão para passar. Combine dois e a matemática manda sair.

Leia os padrões de rug pull antes de estar lá dentro

Os rug pulls costumam ter rasto — investigadores veem os sinais on-chain, escrevem threads e expõem o esquema antes do dump. O Zippfeed acompanha notícias de segurança cripto em várias fontes com pontuação de sentimento e importância, para que quando um projeto começa a mostrar sinais (transferências grandes para exchanges, mudanças suspeitas de contrato, silêncio nas redes), veja o aviso a tempo de agir. A melhor proteção contra rug pulls é prestar atenção a quem os vigia.