รู้จัก `Rug pull` กลอุบายสายดาร์คในจักรวาล DeFi

ข่าวด่วน
  รู้จัก Rug pull กลอุบายสายดาร์คในจักรวาล DeFi 

สำนักข่าวอีไฟแนนซ์ไทย- -2 พ.ย. 64 9:58: น.

บทความนี้เราจะพาไปรู้จักกับคำว่า Rug pull ซึ่งเป็นอีกคำหนึ่งที่เกิดขึ้นในโลก DeFi และคำนี้มาเมื่อไหร่คือ หายนะ มาเมื่อนั้น ไม่ใครก็ใครล่ะ! ในระบบนิเวศนี้จักต้อง เกิดการสูญเสีย

"Rug pull" คืออะไร? ตัวอย่างของ Rug pull วิธีป้องกันตัวของนักลงทุน/สิ่งที่นักลงทุนควรตระหนัก ซึ่งเราได้สอบถามไปทางผู้เชี่ยวชาญด้าน Cybersecurity คุณสุเมธ จิตภักดีบดินทร์ จาก Valix Consulting ได้ช่วยอธิบายในเรื่องนี้ไว้อย่างละเอียด ตามมาเลยค่ะ

***Rug pull คืออะไร?

คุณสุเมธ อธิบายว่า Rug pull มันเป็นคำสแลงมาจาก การดึงพรมที่มีคนยืนอยู่ ซึ่งนั่นทำให้คนหัวทิ่ม (to pull the rug out from under someone) 1 หรือพูดอีกนัยนึงก็คือ การกลับสิ่งหนึ่งให้เป็นอีกด้าน หรือการพรากสิ่งหนึ่งมาจากอีกคนแบบทันที แล้วก็ทิ้งคนๆ นั้นไว้ตามยถากรรม

Rug pull ถือเป็นกลอุบายที่ชั่วร้าย ที่มักถูกพูดถึงบ่อยครั้งมากขึ้นในกลุ่มของผู้ลงทุนทั้งในไทยและต่างประเทศ โดย Rug Pull คือ กลอุบายที่ developer ของโปรเจกต์พยายามที่จะสละโปรเจกต์และหนีไปพร้อมกับเงินลงทุนมหาศาลของนักลงทุน ซึ่งมักเกิดกับนักลงทุนที่ชอบลงทุนในอะไรที่เป็นสิ่งแปลกใหม่และดูน่าจะทำกำไรได้จำนวนมหาศาลในระยะเวลาอันสั้น โดยหลงลืมที่จะทำการศึกษาและเข้าใจในสิ่งๆ นั้นก่อนนั่นเอง

***ยกตัวอย่างของการ Rug pull

คุณสุเมธยกตัวอย่างไว้ 2 กรณีคือ (1) การทุบราคา กับ (2) การโอนเงินของ Pool

(1) ทุบราคา

ในตอนแรก developer ได้พัฒนา DEXs Platform ขึ้นมา แล้วก็สร้าง token ของ platform ขึ้นมา ในที่นี้ สมมติเหรียญชื่อว่า Rug Token จากนั้นก็ list คู่เหรียญดังกล่าวกับ cryptocurrency อื่นๆ มาลงใน liquidity pool เช่น Ethereum (ETH) เป็นต้น อาจจะให้ราคาเริ่มต้นเป็น 1 Rug Token/0.001 ETH ซึ่งแน่นอนว่า developer ที่เป็นผู้พัฒนาเอง ก็อาจจะออกเงิน (mint) เหรียญให้ตัวเองไว้ก่อน หรืออาจจะสร้าง bug ไว้ให้ admin สามารถออกเงินเหรียญนั้นๆ ได้อย่างไม่จำกัดก็เป็นไปได้เช่นเดียวกัน จากนั้นก็ชวนให้คนมาลงทุน เมื่อมีจำนวนผู้ใช้เอา ETH มาลงมากพอ Developer ก็ทำการถอนทุกอย่างออกจาก liquidity pool ทำให้ราคาของ Token platform นั้นเทียบเท่ากับ 0 เลยนั่นเอง เพื่อให้เห็นภาพเพิ่มเติม

• ก่อน Rug Pull

สมมติก่อนเกิดเหตุ Rug Pull อาจจะมี Liquidity Pool ตามนี้

-Rug Token: 100,000,000

-ETH: 100,000

-ดังนั้นค่า k จากสมการควบคุมราคาซึ่งค่า k เป็นค่าคงที่ 10,000,000,000,000

-Price จะเป็น 0.001 ETH = 1 Rug Token

• หลัง Rug Pull

ทีนี้ลองนึกถึงว่าถ้า Developer นำเหรียญทั้งหมด 90,000,000 Rug Token มา Swap จะเกิดอะไรขึ้น

-Rug Token: 100,000,000 + 90,000,000 = 190,000,000

-ETH: 100,000 - A (ส่วนที่ developer ได้จากการ swap) = (100,000,000+90,000,000)(100,000-A) = 52631.5789

= เหลือ 52631.5789 (ผู้โจมตีได้ไป 47368.4211 ETH)

-Price จะเป็น 1 Rug Token/0.00027700831 ETH

ดังนั้น จะเห็นว่าราคาจะลงมหาศาลใกล้เคียงศูนย์ คนที่ยังคงถือเหรียญก็กลายเป็นผู้เสียหายไป จากนั้นก็ปิด Platform และช่องทางการติดต่อทั้งหมด

(2) โอนเงินของ Pool ออกกันเห็นๆ

อีกแบบหนึ่งที่อาจเกิดขึ้นได้คือการที่ Developer นั้นสร้างสิทธิ์ไว้ให้สามารถโอนเงินใครออกจากระบบไปให้ใครก็ได้ เมื่อถึงจุดๆ หนึ่งที่มีเงินในระบบมากเพียงพอ developer เจ้าของโครงการก็โอนเงินออกแล้วหอบเงินไปขายที่อื่น แล้วก็ปิด Platform และช่องทางการติดต่อทั้งหมด ทั้งนี้ มันเคยเกิดขึ้นกับ Compounder Finance 3 สิ่งที่เกิดขึ้นคือ Compounder Finance นั้นจ้างให้ auditor มาทำการ audit เมื่อผ่านการ audit** แล้วก็เริ่มมีการลงทุนจากบุคคลภายนอกอย่างมหาศาล เมื่อถึงจุดที่เงินเยอะมากพอ developer ก็สลับ smart contract ไปเป็น smart contract ที่ทำให้ developer สามารถถอนเงินทั้งหมดจาก platform ได้

**จริงๆ แล้ว auditor เจอ function นี้และบอกไว้แล้วว่ามันทำ time-lock ไว้ก็จริง แต่เนื่องด้วยไม่มีใครคอยดูเรื่องการเปลี่ยน contract จึงทำให้เกิดปัญหาขึ้น 4

***รูปแบบความเสียหาย

หลักๆ เลยก็คงจะเป็นเรื่องของเงินของนักลงทุนทั้งหลายที่สูญเสียไปนั่นเอง

***วิธีป้องกันตัวของนักลงทุน/สิ่งที่นักลงทุนควรตระหนัก

ข้อดีของ Cryptocurrency คือ ความอิสระที่ใครอยากจะสร้าง Project อะไรขึ้นมาก็ได้ จะออก token อะไรก็สามารถทำได้ไม่ยาก แต่ด้วยความที่มันอิสระและไม่มี regulation มาเกี่ยวข้องทำให้ก็ถือว่าเป็นอะไรที่อันตรายมากๆ เช่นเดียวกัน ดังนั้น หากแนะนำให้ตรวจสอบขอยกตัวอย่างดังต่อไปนี้

• ตรวจสอบจุดประสงค์และเป้าหมายของโปรเจกต์

หากใครที่ต้องการลงทุนในโลกของ Defi นอกเหนือจากมีเงินแล้ว ต้องมีเวลาอ่านตัว project นั้นๆ ด้วยว่าเค้าสร้างขึ้นมาเพื่ออะไร, จุดประสงค์สำคัญของการสร้างมาคืออะไร, มีแผนในการพัฒนาอย่างไร, และมีความเป็นไปได้แค่ไหน จริงๆ แล้วนักพัฒนาจะขายฝันอย่างไรก็ได้ สำคัญคือเราต้องเข้าใจด้วยว่าสิ่งเหล่านั้นมันเป็นไปได้แค่ไหน หากโปร เจกต์ดูไม่มีความเป็นไปได้ หรือว่าดูไม่มีแผนอะไรเลยไม่เพียงแค่จะดูไม่น่าเชื่อถือเท่านั้น ยังรวมถึงอนาคตและมูลค่าของเหรียญเหล่านั้นอาจจะไม่มีทางโตเพิ่มขึ้นในอนาคตอีกด้วย

• ผลของการ Audit

การจ้างให้ทำ audit โดยบริษัท smart contract audit ที่มีชื่อเสียงนั้น ไม่ได้เป็นเพียงแค่การพยายามสร้างความน่าเชื่อถือในเรื่องปลอดภัยใน smart contract เท่านั้น ยังรวมถึงการแสดงออกถึงความพยายามและความมุ่งมั่นที่จะลงทุนในโปรเจกต์อีกด้วย อย่างไรก็แล้วแต่ หากเป็นไปได้เราจำเป็นต้องอ่าน audit report ให้ออกด้วยว่าหลังจากผ่าน audit มาแล้ว โปรเจกต์นั้นมีความเสี่ยงอย่างไร แล้วเราสามารถรับความเสี่ยงเหล่านั้นได้หรือไม่

• ตรวจสอบการ hold เหรียญของ Developer

เพื่อให้ developer ไม่สามารถกำหนดราคาของ token ได้อย่างเบ็ดเสร็จ สิ่งหนึ่งที่อาจจะต้องตรวจสอบคือ developer เหล่านั้นถือเหรียญไว้กี่เปอร์เซ็นต์ของเหรียญทั้งหมดเพื่อให้ developer ไม่สามารถที่จะสามารถปั่นราคาและทุบราคาได้อย่างทันทีและเด็ดขาดนั่นเอง

• ตามผู้ใหญ่หมาไม่กัด

การลงทุนในโลก Defi เราอาจจะไม่จำเป็นต้องเป็นที่หนึ่งเสมอไป ไม่จำเป็นต้องให้ได้ไม้แรก ไม่จำเป็นต้องกลัวตกรถ หรือต้องให้กำไรมากที่สุดเสมอไป ถ้าเราสามารถอ่าน Smart Contract ได้แล้วมองว่าปลอดภัยก็เลยเข้าไปลงทุนก่อนใครได้ ก็ถือว่าเป็นเรื่องที่ดี แต่หากเราไม่สามารถอ่าน Smart Contract ได้ อ่าน Whitepaper ของ project ไปก็ไม่รู้เรื่อง ไม่เข้าใจเรื่อง economic และอื่นๆ ในโลก Defi เลย มีแต่เงินในมือเพียงอย่างเดียว การรอให้กลุ่ม community เค้าลงทุนกันไปก่อน จนอยู่ตัวในระดับนึง แล้วเรามองแล้วว่าปลอดภัยค่อยลงตามก็ถือว่าไม่เสียหายอะไร

เพราะยังไงก็แล้วแต่ หากโปรเจกต์นั้นๆ มีอนาคต มีความคิดที่จะทำธุรกิจในระยะยาวแน่ๆ ไม่ว่า การที่เราลงทุนตามในภายหลัง ยังไงก็กำไรแน่ๆ ไม่มากก็น้อย แต่หากเราใจเร็วด่วนได้ลงทุนไปก่อน โดยไม่ได้เข้าใจอะไรกับโปรเจกต์เลย ก็อาจจะทำให้ได้เหรียญที่ด้อยค่าลงทุกวัน หรือโดน Rug pull ไปเลยก็เป็นได้เช่นเดียวกัน

***มองปรากฎการณ์ Rug pull บนโลก DeFi อย่างไรบ้าง ทั้งในไทยและ ตปท.

ปรากฏการณ์ที่นักลงทุนจำนวนมาก ไม่ว่าจะไทยหรือเทศ แห่มาลงทุนในโลก Defi ถือเป็นเรื่องปกติของการลงทุน และการลงทุนใดๆ เมื่อมีคนได้เงินมหาศาลก็อาจจะมีคนที่เสียเงินมหาศาลเช่นเดียวกัน ดังนั้น หากนักลงทุนไม่ว่าจะเป็นหน้าเก่าหรือหน้าใหม่ต้องการจะมาลงทุนในโลก Defi ก็อยากให้ทำความเข้าใจในลักษณะของโลก Defi ด้วยว่ามันอยู่ที่ตัวเราเองเป็นหลักเลย จะมาคอยให้ใครมาช่วยเหลือ เมื่อสูญเสียเงินไปแล้วก็คงทำไม่ได้ ไม่อย่างนั้นก็น่าจะเหมาะกับการไปลงทุนในโลก Centralized ที่ซึ่งมี regulator ต่างๆ มาคอยกำกับดูแลน่าจะปลอดภัยและเหมาะสมกับนักลงทุนคนๆ นั้นมากกว่า

สุดท้ายนี้ คุณสุเมธฝากถึงผู้ลงทุนทุกคนว่า การลงทุนมีความเสี่ยง ผู้ลงทุนควรศึกษาข้อมูลก่อนการตัดสินใจลงทุน ซึ่งใช้ได้กับทุกการลงทุน รวมถึง โลกของ Defi ด้วย

Reference

1https://slangit.com/meaning/rug_pull

2https://www.cylynx.io/…/the-rise-of-cryptocurrency…/

3https://www.coindesk.com/compounder-developers-implicated…

4https://solidity.finance/audits/CP3R/

*หมายเหตุ : ปรับปรุงจากบทความ "รู้จัก Rug pull กลอุบายสายดาร์ค ในจักรวาล DeFi"เผยแพร่ครั้งแรกที่เพจ Crypto by efinanceThai วันที่ 8 มิถุนายน 2564 https://www.facebook.com/cryptobyefinancethai/posts/119482696972638

เรียบเรียง โดย ชัชชญา อังคุลี 
                อีเมล์. chatchaya@efinancethai.comอนุมัติ    โดย อนุรักษ์ ลีประเสริฐสุนทร 
ดูข่าวต้นฉบับ