정말 위험한 디파이 러그풀(Rug Pull)을 아시나요?

안녕하세요.

돈 되는 정보만 알려드리는 영리치먼드입니다.

 

정보를 재빠르게 캐치할 능력이 있고 부지런한 사람들에게 

자산을 불리기에 최적인 디파이는

여느 코인 투자와 마찬가지로 주의하지 않으면

시드를 통째로 날릴 수 있는 초하이 리스크를 가지고 있습니다.

 

그것이 바로 무엇이냐면,

 

1. 잦은 지갑 이동 및 트랜젝션에서 오전송 & 거래소간 코인 전송 중 사고

2. 프로젝트의 러그풀

 

이 두 가지로 요약할 수 있겠네요.

 

여기서 러그풀(Rug Pull)이라 함은,

말 그대로 양탄자를 당겨서

그 위에 올라가 있는 사람들을 x되게 만든다는 용어입니다.

 

 

초창기 Defi의 러그풀 유형으로는 코인발행시

개발자 물량으로 높은 비율을 보유하고

나머지를 유동성 약간 공급하여 유통시킨 후,

가격 펌핑되고 나서 개발자 보유 물량을

한꺼번에 시장에 던져서 가격을 거의 0으로 만들고

튀어 버리는 경우가 많았으나,

요즘은 이걸 Soft Rug Pull이라 합니다.

 

Rug Pull의 종류

 

1. 이자 농사 프로젝트 시 예치하는 LP의

Migration 권한을 코드를 이용하여 LP를 통째로 탈취하는 방법

: 펜케익스왑에서 초기 코드에 있던

Migration 권한(거의 실제 사용할 필요 없는 기능)을

삭제하지 않았고 펜케익포크 프로젝트가 폭발적으로

만들어지면서 상당히 많은 유형의 러그풀이 일어났습니다. 

 

일반적으로 팜에 예치한 LP도 권한은 원소유주의

지갑에 연결되어 있어 404 띄우고 도망가도 emergency 출금이

가능하지만 Migration 코드는 이 LP의 권한을 이동하게 하므로

여기서 러그풀이 일어납니다.

 

2. 프리세일한다고 자금 끌어 모은 다음에

코인은 안 주고 도망, NFT민팅한다고 민팅 비 받아서 도망 등

: 요즘 한국에서도 심심치 않게 보이는 정말 흔한 ㅌㅌ 수법이라고 할 수 있죠.

 

3. 악성코드를 심어 탈취 

토큰은 지갑에서 최초 사용승인 (Approve)이 한번 필요한데,

이 승인 시 자기 코인이 아니라 범용적으로 쓰이는

코인 (BSC를 예로 BNB, BUSD)을 지갑에서

탈취 가능한 악성코드를 심어서 지갑의 이 특정 코인을 탈취합니다.

 

하지만 여기서 끝이 아니죠.

정신없이 빠른 코인 시장에서는

예측할 수 없는 점점 새로운 유형들도 생겨나고 있습니다. 

 

그런데 이렇게 무서워서 익명 프로젝트는

죽어도 안 들어간다는 사람들이 있습니다. 

 

그렇게 따지면 익명 프로젝트의 위험함과

업비트의 펌핑 덤핑 코인 타기의 위험함은 

정도를 비교할 수 있을까요?

 

해외 Defi는 99% 익명이며 여기에 수십조 원의 자금이 돌아가고 있습니다. 

다행히도 RugDoc.io라는 사이트가 있습니다.

하루에도 열몇 개씩 생기는 프로젝트들 코드 분석해서

리스크를 5단계로 랭킹 먹여 버려서 하이리스크

등급 걸리면 프로젝트 론칭하기도 전에 문 닫아야 합니다.

 

그런데 이게 왜 가능하냐면,

모든 프로젝트의 소스코드가 공개이기 때문입니다.

공개 안 하면 무조건 하이리스크라고 볼 수 있죠.

더군다나 코드 개정 Time Lock 컨트렉트도 있어서

댑 코드 변경하면 12시간 후에 반영됩니다.

 

악의적인 재단이 러그풀코드 추가해도

12시간 동안 적용 안되고, 그 시간동안

알아차린 사람들 사이에서 당장 LP 빼고 도망치라고 텔방에서 난리 납니다. 

 

하지만 클레이튼 메인 넷 프로젝트들은

소스코드 공개 아무도 안 하고 있죠.....?

이게 훨씬 더 위험한 거 아닐까요..?

 

아무튼 4,5월에 매틱(폴리곤) 체인에

Defi 폭발적으로 증가하면서 같이 증가한 게 러그 풀 프로젝트입니다.

심할 때는 하루에 5개 생기면 2개는 러그풀이니

이런 말도 안 되는 높은 사기 비율에 투자자들 다른 체인으로 다 이사 가버렸습니다.

 

뭐 아직 클레이튼 메인 넷에 러그풀이 없지만

이렇게 코드 비공개 분위기로 흘러가면

사실 언제 러그풀 생겨도 이상하지 않다고 보고 있습니다.

 

익명이 무서운 게 아니고, 코드 비공개가

훨씬 더 무서운게 아닌가 개인적으로 생각합니다. 

탈중앙화가 어쩌고 저쩌고 하면서 코드 비공개라니요?

 

아무튼 그래서 어쩌라는 거냐,

어떻게 대비해야 하냐 궁금해하실 분들이 계실 것이기에

다음과 같은 요소를 반드시 확인해주시길 바랍니다.

 

주요 체크사항

 

1. TVL(total value of cryptocurrency)이 높은 곳

  프로젝트 재단도 러그풀을 아예 염두에 두고 한다면 제대로 된 프론트엔드, 제대로 된 토크노믹스, 제대로 된 댑운영계획등이 있을리도 없고 당연히 자금이 크게 들어오지도 않을 것입니다. TVL이 높아야 러그풀하는 놈들의 리스크도 덩달아 커지게 되며, TVL이 높으면 러그풀 하는 것보다 오래 유지하는 게 장기적으로 더 이익입니다.

 

2. Backer 조금이라도 있는곳

  탑급 VC가 아니더라도 Backer가 몇 개 걸려 있으면 당연히 먹튀가 어렵습니다. 기본적으로 VC와 계약 시 KYC를 하기 때문이겠죠.

 

3. 오픈소스 프로젝트

  이걸 쓰는 것도 우스운데 당연히 소스 비공개면 그 소스 안에 어떤 해킹/러그 풀 코드가 있는지 알 수가 없습니다. Rugdoc에서도 오픈소스가 아닌 프로젝트는 기본적으로 High Risk 등급으로 처리됩니다.

 

4. Audit

  Techrate, Hacken등 무료로 몇 장짜리 코드 분석 오딧 리포트 발행하는 오딧 업체 통과했다는 곳은 믿어서는 안 되고, Certik에 오딧이 오래 걸려서 신청하고 인증 중이라는 신규 프로젝트가 상당히 많은데 그 정도면 믿어도 된다고 봅니다. 써틱은 신청할 때 꽤 많은 비용을 이미 내기 때문이죠. 물론 써틱 사이트 가서 진짜 이 프로젝트 감사가 진행 중인지 확인 필수입니다.

 

5. 러그닥 반드시 활용

러그닥에는 거의 모든 체인의 프로젝트들을 코드 분석해서 위험등급을 표시해주며 이 등급을 기준으로 판단하는 것이 좋습니다. 여기 서비스 중에 프젝에서 러그닥에 KYC를 하는 경우도 있는데 좀 더 안전하지만 그렇다고 KYC를 맹신하지 마세요. 예를 들어 룩셈부르크나 발칸반도 시골 구석의 오두막집에서 프로젝트 론칭하고 먹튀 하면 잡아내기 어렵습니다. 그렇기 때문에 꼭 러그닥 텔레그렘, 트위터 팔로우 알람 설정하고 내가 투자한 프로젝트의 이름이 뜨는지 확인하시면 됩니다.