انواع کلاهبرداری در ارز دیجیتال؛ راهنمای کامل شناسایی Rug Pull، فیشینگ و اسکم

چرا بازار کریپتو بهشت کلاهبرداران است؟

بازار ارزهای دیجیتال با وجود فرصت‌های فراوان، همزمان یکی از پرریسک‌ترین محیط‌های مالی برای سرمایه‌گذاران عادی است. سه ویژگی ساختاری این بازار را به زمین حاصلخیزی برای کلاهبرداران تبدیل کرده است. نخست، ماهیت غیرقابل‌برگشت تراکنش‌ها: برخلاف سیستم‌های بانکی، در بلاک‌چین هیچ نهادی نمی‌تواند تراکنش انجام‌شده را معکوس کند. دوم، ناشناسی نسبی: کلاهبرداران می‌توانند با هویت‌های جعلی در سراسر جهان فعالیت کنند. سوم، فقدان نظارت منسجم: در اکثر کشورها چارچوب قانونی مشخصی برای حمایت از سرمایه‌گذاران کریپتو وجود ندارد. طبق گزارش Chainalysis، در سال ۲۰۲۳ بیش از ۲۴ میلیارد دلار از طریق کلاهبرداری‌های کریپتو از کاربران دزدیده شد. می‌توانید صفحه بیت‌کوین در ارزینجا را برای آشنایی با اصول پایه مطالعه کنید.

Rug Pull؛ رایج‌ترین کلاهبرداری در دنیای دیفای

Rug Pull به معنای «کشیدن فرش از زیر پای قربانی» رایج‌ترین نوع کلاهبرداری در دنیای DeFi است. در این روش، تیم سازنده یک پروژه پس از جذب سرمایه کافی، ناگهان همه وجوه را برداشت کرده و ناپدید می‌شود. برخلاف کلاهبرداری‌های سنتی که نیاز به زیرساخت پیچیده دارند، طراحی یک توکن دیفای ساعت‌ها بیشتر وقت نمی‌برد و پیگیری مرتکبان آن بسیار دشوار است. نمونه‌های معروف شامل Squid Game Token (بیش از ۳ میلیون دلار در ۲۰۲۱) و Frosties NFT (بیش از ۱.۳ میلیون دلار در ۲۰۲۲) هستند.

انواع Rug Pull؛ Hard و Soft

دو نوع اصلی Rug Pull وجود دارد که هر دو به یک نتیجه می‌رسند. Hard Rug Pull نوعی است که در آن کدهای مخرب از پیش در قرارداد هوشمند جاسازی شده‌اند و سازندگان می‌توانند در یک لحظه تمام نقدینگی را خارج کنند. قربانیان معمولاً در عرض چند دقیقه همه سرمایه خود را از دست می‌دهند. Soft Rug Pull روشی تدریجی‌تر است؛ سازندگان به آرامی توکن‌های خود را در بازار می‌فروشند (Dump) تا قیمت را به صفر برسانند بدون اینکه ظاهر دزدی آشکار داشته باشد. در هر دو حالت، سرمایه‌گذاران زیان سنگینی می‌کنند و امکان جبران آن تقریباً صفر است.

نشانه‌های هشداردهنده Rug Pull که باید بشناسید

شناخت نشانه‌های هشداردهنده بهترین روش برای اجتناب از Rug Pull است. تیم ناشناس (Anonymous Team) که هیچ اطلاعات قابل تأیید عمومی ندارد باید یک پرچم قرمز جدی باشد. نبود حسابرسی قرارداد هوشمند (Audit) از شرکت‌های معتبر مانند CertiK یا Hacken خطری واقعی است. توزیع نامتوازن توکن‌ها، مثلاً ۷۰ تا ۹۰ درصد در دست تیم، نشانه‌ای مهم است. قفل نبودن نقدینگی (No Liquidity Lock) به این معناست که تیم می‌تواند در هر لحظه نقدینگی را خارج کند. وعده‌های سود غیرواقعی و فشار برای خرید فوری نیز از نشانه‌های کلاهبرداری هستند.

کلاهبرداری فیشینگ (Phishing)؛ دزدی هویت دیجیتال

فیشینگ روشی است که در آن کلاهبردار با جعل هویت یک سازمان یا سرویس معتبر، اطلاعات حساس قربانی را می‌دزدد. در دنیای کریپتو، این حملات معمولاً به هدف دزدیدن کلیدهای خصوصی، عبارت بازیابی (Seed Phrase) یا اطلاعات ورود به صرافی انجام می‌شوند. پیچیدگی این حملات در حال افزایش است و برخی از آن‌ها به قدری ظریف طراحی شده‌اند که حتی کاربران با تجربه نیز ممکن است فریب بخورند. آگاهی از انواع این حملات اولین خط دفاعی شماست.

انواع فیشینگ در بازار کریپتو

سایت‌های جعلی صرافی و کیف پول یکی از رایج‌ترین روش‌های فیشینگ هستند. کلاهبردار یک سایت کاملاً مشابه صرافی‌های معروف طراحی می‌کند که تنها تفاوت آن در آدرس دامنه است، مثلاً یک حرف اضافه یا مشابه. ایمیل‌های فیشینگ با ظاهر رسمی از کاربر می‌خواهند فوری اکانت خود را تأیید کنند یا مشکل امنیتی ادعایی را برطرف کنند. فیشینگ از طریق تبلیغات گوگل بسیار خطرناک است؛ کلاهبرداران سایت‌های جعلی را بالاتر از سایت اصلی در نتایج جستجو نمایش می‌دهند. پیام‌های مستقیم در شبکه‌های اجتماعی و اپلیکیشن‌های جعلی در استورها نیز از روش‌های رایج فیشینگ هستند.

چطور در برابر فیشینگ ایمن بمانیم؟

همیشه آدرس کامل سایت را در نوار آدرس مرورگر بررسی کنید و فقط از بوک‌مارک‌های ذخیره‌شده استفاده کنید. هرگز Seed Phrase خود را در هیچ سایت یا اپلیکیشنی وارد نکنید؛ هیچ سرویس معتبری از شما نمی‌خواهد این عبارت را آنلاین وارد کنید. از احراز هویت دومرحله‌ای (2FA) برای همه حساب‌های کریپتو استفاده کنید. یک افزونه امنییتی مانند MetaMask Snaps یا Pocket Universe نصب کنید که تراکنش‌های مشکوک را شناسایی می‌کند. همچنین قبل از کلیک بر لینک‌های دریافتی از ایمیل یا شبکه‌های اجتماعی، صحت آدرس را با دقت بررسی کنید.

Pump and Dump؛ دستکاری سازمان‌یافته قیمت

کلاهبرداری Pump and Dump یکی از قدیمی‌ترین روش‌های دستکاری بازار است که از بورس سنتی به بازار کریپتو منتقل شده است. در این روش، یک گروه سازمان‌یافته قیمت یک ارز دیجیتال کم‌ارزش را به صورت مصنوعی بالا می‌برند تا سپس دارایی‌های خود را به سرمایه‌گذاران ناآگاه در قیمت بالا بفروشند. کانال‌های تلگرامی «سیگنال‌دهی» و «پمپ گروپ» معمولاً ابزارهای اصلی این کلاهبرداری هستند. نشانه اصلی این کلاهبرداری ادعای «سیگنال مطمئن»، «رشد تضمینی» یا «اطلاعات خاص از منبع داخلی» است.

مکانیسم سه‌مرحله‌ای Pump and Dump

این کلاهبرداری معمولاً در سه مرحله مشخص اجرا می‌شود. در مرحله اول (Accumulation)، گروه کلاهبرداران مقدار زیادی از یک توکن با ارزش بازار پایین را آرام و بی‌سروصدا خریداری می‌کنند. در مرحله دوم (Pump)، از طریق کانال‌های تلگرامی، توئیتر و سایر شبکه‌های اجتماعی تبلیغ گسترده‌ای انجام می‌شود؛ با خرید اعضای ناآگاه، قیمت به سرعت بالا می‌رود. در مرحله سوم (Dump)، سازندگان در اوج قیمت تمام دارایی‌های خود را می‌فروشند و قیمت ظرف چند دقیقه سقوط می‌کند. در هر سه مرحله، تنها سازندگان سود می‌کنند و اعضای عادی ضرر می‌بینند.

طرح‌های پانزی و هرمی؛ کلاهبرداری با پوشش پروژه کریپتو

طرح‌های پانزی و هرمی از رایج‌ترین کلاهبرداری‌های مالی هستند که امروز در پوشش پروژه‌های کریپتو اجرا می‌شوند. در این سیستم‌ها، سود اعضای قدیمی از محل پول اعضای جدید پرداخت می‌شود و هیچ فعالیت اقتصادی واقعی وجود ندارد. در نهایت وقتی جریان اعضای جدید متوقف شود، سیستم فرو می‌ریزد و اکثر شرکت‌کنندگان سرمایه خود را از دست می‌دهند. Bitconnect که در ۲۰۱۸ با بیش از ۲.۴ میلیارد دلار خسارت فرو پاشید و OneCoin با بیش از ۴ میلیارد دلار خسارت، بزرگ‌ترین نمونه‌های این کلاهبرداری در تاریخ کریپتو هستند.

علائم هشداردهنده پانزی‌های کریپتو

شناخت نشانه‌های پانزی می‌تواند سرمایه شما را نجات دهد. وعده سود ثابت و تضمینی، مثلاً ۱ درصد روزانه، اولین و واضح‌ترین نشانه است؛ هیچ بازار مالی واقعی چنین سودهایی تضمین نمی‌دهد. فشار شدید برای ریکروت کردن اعضای جدید نشانه دیگری است که نشان می‌دهد سیستم به ورودی مداوم وابسته است. عدم شفافیت در نحوه کسب سود، محدودیت در برداشت، و شتاب در گرفتن تصمیم از دیگر علائم کلیدی هستند. اگر توضیح مدل درآمدی پروژه مبهم یا پیچیده و گیج‌کننده باشد، احتمالاً چیزی برای پنهان کردن وجود دارد.

Pig Butchering؛ پیچیده‌ترین کلاهبرداری کریپتو از طریق رابطه

کلاهبرداری «Pig Butchering» یکی از پیچیده‌ترین و آسیب‌رسان‌ترین انواع کلاهبرداری کریپتو است. در این روش، کلاهبردار از طریق شبکه‌های اجتماعی یا اپ‌های دیتینگ یک رابطه دوستانه یا رمانتیک با قربانی ایجاد می‌کند. پس از هفته‌ها یا ماه‌ها اعتمادسازی، موضوع سرمایه‌گذاری در کریپتو مطرح می‌شود و قربانی به یک پلتفرم جعلی هدایت می‌شود که در ابتدا سودهای واقعی نشان می‌دهد. وقتی قربانی مبلغ بیشتری سرمایه‌گذاری کرد، ناگهان همه دارایی‌ها ناپدید می‌شوند. طبق FBI، این کلاهبرداری در سال ۲۰۲۳ بیش از ۳.۵ میلیارد دلار خسارت وارد کرده است.

Giveaway و Airdrop جعلی؛ دام آشنای ایلان ماسک تقلبی

در این روش، کلاهبرداران با جعل هویت چهره‌های معروف صنعت کریپتو مانند ایلان ماسک، چانگ‌پنگ ژائو یا ویتالیک بوترین ادعا می‌کنند که در حال اجرای یک «Giveaway» هستند. پیام معمول این است: «برای دریافت ۲ BTC، ابتدا ۱ BTC ارسال کنید». این روش که به «Double Your Crypto Scam» معروف است با وجود کلیشه‌ای بودن همچنان قربانیان زیادی دارد. صفحات جعلی یوتیوب و توئیتر که از ویدیوهای زنده مشهوران استفاده می‌کنند نیز از همین الگو سوءاستفاده می‌کنند. قانون طلایی این است: هیچ پروژه معتبری از شما نمی‌خواهد ابتدا ارز بفرستید تا بیشتر دریافت کنید.

چک‌لیست امنیتی برای سرمایه‌گذاری ایمن در کریپتو

قبل از هر سرمایه‌گذاری در کریپتو، این مراحل را جدی بگیرید. تیم پروژه را شناسایی کنید؛ آیا هویت واقعی و قابل تأیید دارند و سابقه قبلی‌شان چیست؟ Whitepaper را بخوانید و ببینید آیا فنی و واقع‌بینانه است یا فقط وعده‌های کلی دارد. حسابرسی قرارداد هوشمند را بررسی کنید؛ آیا Audit معتبری توسط CertiK، Hacken یا Quantstamp انجام شده؟ توزیع توکن‌ها را بررسی کنید؛ آیا تیم بیش از ۳۰ درصد توکن‌ها را در اختیار دارد؟ با ابزارهای آنلاین مانند RugCheck.xyz و Token Sniffer پروژه را آنالیز کنید. هرگز فقط بر اساس توصیه یک اینفلوئنسر یا دوست تصمیم نگیرید و از FOMO بپرهیزید.

DYOR؛ چطور یک پروژه کریپتو را درست ارزیابی کنیم؟

DYOR مخفف «Do Your Own Research» یکی از اصلی‌ترین اصول در دنیای کریپتو است. بررسی سه محور اصلی ضروری است. اول، بررسی قرارداد هوشمند: آدرس قرارداد را در Etherscan یا BscScan جستجو کنید، توزیع دارندگان را بررسی کنید، و از سایت‌هایی مانند Token Sniffer برای تشخیص کدهای مخرب استفاده کنید. دوم، بررسی تیم: پروفایل لینکدین اعضای تیم را جستجو کنید، سابقه پروژه‌های قبلی را بررسی کنید، و به هویت‌های ناشناس با احتیاط بیشتری نگاه کنید. سوم، بررسی توکنومیکس: درصد تخصیص به تیم و سرمایه‌گذاران اولیه را بررسی کنید، برنامه انتشار توکن‌ها را مطالعه کنید، و کل ارزش بازار با ارزش رقیق‌شده را مقایسه کنید. برای اطلاعات بیشتر درباره آمار کلاهبرداری‌ها می‌توانید گزارش سالانه Chainalysis را مطالعه کنید.

سوالات متداول