Qu'est-ce qu'un rug pull crypto ? Comment analyser un smart contract, vérifier une équipe et détecter les signaux d'alerte avant de perdre votre mise.
Le rug pull est la fraude crypto la plus répandue en 2025 : selon Chainalysis, 69% des projets DeFi frauduleux étaient des rug pulls, représentant 2,7 milliards de dollars de pertes. Voici comment les détecter avant d'investir.
Définition : Un rug pull est une fraude dans laquelle les créateurs d'un projet crypto abandonnent subitement le projet et s'enfuient avec les fonds des investisseurs, laissant le token sans valeur — comme si on tirait le tapis (rug) sous les pieds des victimes.
Il existe 3 types de rug pulls :
| Type | Mécanisme | Détectable comment |
|---|---|---|
| Hard rug pull | Fonction de minting ou backdoor dans le contrat | Audit de smart contract |
| Soft rug pull | Vente massive des tokens par l'équipe fondatrice | Surveillance des wallets de l'équipe |
| Exit scam | Collecte de fonds (ICO/IDO) puis disparition | Vérification de l'équipe |
1. Tokenomics déséquilibrées Si l'équipe ou des wallets proches détiennent plus de 30% du supply total, ils peuvent provoquer un crash de prix simplement en vendant. Sur TokenSniffer ou DexTools, vérifiez la distribution des holders.
2. Pas d'audit de smart contract Tout projet sérieux fait auditer son contrat par une firme reconnue (CertiK, Hacken, Trail of Bits). Absence d'audit = risque majeur.
3. Possibilité de minting illimité Si le contrat permet aux créateurs de créer de nouveaux tokens à volonté, votre mise peut être diluée à 0 en quelques secondes. Vérifiez sur Etherscan → onglet "Contract" → code source.
4. Fonction de blacklist Certains contrats contiennent une fonction permettant de bloquer les ventes de certains wallets. Les créateurs peuvent acheter jusqu'au pump, puis bloquer les vendeurs pendant qu'ils vident leurs wallets.
5. Équipe anonyme sans track record L'anonymat seul n'est pas rédhibitoire (Bitcoin était anonyme), mais une équipe anonyme sans historique vérifiable ET sans code audité = danger.
6. Identités vérifiables qui ne tiennent pas Vérifiez les profils LinkedIn de l'équipe avec une recherche inversée d'image. Si le "CTO" utilise la photo d'un inconnu ou d'un acteur stock photo, c'est un fake.
7. Whitepaper vague ou copié Un whitepaper sérieux explique précisément le cas d'usage, la tokenomics, le roadmap et les mécanismes techniques. Cherchez le texte du whitepaper sur Google entre guillemets — si des paragraphes entiers sont copiés d'autres projets, c'est suspect.
8. Promesses de rendements garantis Aucun investissement crypto légitime ne garantit des rendements fixes. "500% APY garanti" ou "x100 assuré" sont des signaux d'arnaque systématiques.
TokenSniffer (tokensniffer.com) : analyse automatique de la sécurité d'un contrat. Note de 0 à 100, liste des risques détectés. Premier outil à utiliser.
DexTools (dextools.io) : visualisation de la distribution des holders, graphique des prix, activité du contrat. Cherchez une concentration des holders dans quelques wallets.
Etherscan / BscScan : explorateurs blockchain qui permettent de voir le code source du contrat, les transactions des wallets de l'équipe, et les événements de minting.
De.Fi Shield : audit automatique qui détecte les fonctions dangereuses dans les smart contracts (honeypot, rug pull functions, mint function).
Protocole de vérification en 5 minutes :
- TokenSniffer → score de sécurité
- DexTools → distribution des holders (top 10 < 30% ?)
- Etherscan → l'équipe vend-elle ses tokens ?
- Google → "nom du projet" + "rug pull" ou "scam"
- Telegram/Discord → le projet a-t-il une vraie communauté active ?
Un honeypot est un contrat qui vous permet d'acheter mais pas de vendre. La valeur monte artificiellement, vous croyez être en profit, mais quand vous essayez de vendre, la transaction échoue.
Test honeypot : Sur honeypot.is (Ethereum) ou rugcheck.xyz (Solana), entrez l'adresse du contrat. L'outil simule un achat et une vente pour vérifier si les deux sont possibles.
Oui. Les audits vérifient le code mais pas les intentions. Un "soft rug pull" (vente massive par l'équipe) ne peut pas être empêché par un audit. L'audit réduit les risques techniques mais ne les élimine pas.
Rarement. Les fondateurs transfèrent immédiatement les fonds via des mixeurs crypto (Tornado Cash) pour brouiller les pistes. Signalez à Cybermalveillance.gouv.fr et à l'AMF, mais les chances de récupération sont faibles.
Les exchanges centralisés sérieux (Coinbase, Binance, Kraken) effectuent des due diligences avant de lister un token. Les rug pulls surviennent principalement sur les exchanges décentralisés (DEX) où n'importe qui peut créer et lister un token.
Nouvelles méthodes OSINT, alertes arnaques et analyses — chaque semaine dans votre boîte mail.