Un rug pull est une arnaque crypto où les créateurs d’un projet disparaissent avec les fonds des investisseurs, laissant derrière eux des tokens sans aucune valeur. L’expression vient de l’anglais pull the rug out from under someone, littéralement « retirer le tapis sous les pieds de quelqu’un ». Ce type d’escroquerie crypto sévit principalement dans la finance décentralisée (DeFi) et l’univers des NFT, là où l’anonymat des développeurs et l’absence de régulation offrent un terrain particulièrement propice à la fraude.
⚠️ L’essentiel à retenir
Rug pull = projet crypto factice conçu pour voler les fonds des investisseurs
🔍 3 formes distinctes
Hard, soft et liquidity rug pull, chacune avec un niveau de risque et de recours juridique différent.
🚩 Red flags clés
Liquidité non verrouillée, équipe anonyme, absence d’audit : trois signaux qui doivent bloquer tout investissement.
🛡️ Des outils existent
Token Sniffer, RugDoc et Honeypot Detector permettent de scanner un projet en quelques secondes avant d’investir.
💡 N’investissez jamais une somme que vous ne pouvez pas vous permettre de perdre.
| Type de rug pull | Mécanisme | Statut légal |
|---|---|---|
| Hard rug pull | Code malveillant intégré dès le départ dans le smart contract | Illégal, fraude caractérisée |
| Soft rug pull | Abandon progressif du projet après collecte des fonds | Zone grise juridique |
| Liquidity rug pull | Retrait massif de liquidité du pool sur un DEX | Difficile à poursuivre |
Comment fonctionne un rug pull ?
Un rug pull suit presque toujours le même enchaînement en trois phases. Comprendre ce schéma, c’est déjà se donner les moyens de l’identifier avant d’engager des fonds.
Le lancement
Tout démarre par la création d’un nouveau token listé rapidement sur un échange décentralisé comme Uniswap ou PancakeSwap. Les escrocs publient un white paper souvent creux, ouvrent des comptes Telegram et Discord, et lancent une campagne marketing intensive. Les promesses de rendements à trois ou quatre chiffres sont systématiques. L’objectif est de créer l’enthousiasme le plus vite possible, avant que quiconque n’ait eu le temps d’analyser sérieusement le projet.
L’accumulation de capital
Les investisseurs affluent, portés par la hausse mécanique du prix : plus il y a d’acheteurs, plus le token monte. Les créateurs alimentent eux-mêmes cette dynamique en achetant leurs propres tokens et en diffusant de fausses annonces de partenariats. Le FOMO (Fear Of Missing Out) fait le reste. Cette phase peut durer quelques heures comme plusieurs semaines, et c’est durant cette fenêtre que les fonds s’accumulent dans le pool de liquidité.
Le retrait des fonds
Vient ensuite le moment du « pull ». Les développeurs retirent massivement la liquidité ou activent une fonction malveillante codée dans le smart contract. Le prix du token s’effondre en quelques secondes. Les investisseurs tentent de vendre, mais il n’y a plus de liquidité pour absorber leurs ordres. Les créateurs disparaissent, ferment le site et les réseaux sociaux. Parfois, une fausse annonce de piratage sert à brouiller les pistes : c’est exactement ce qui s’est passé avec Meerkat Finance en mars 2021, où 31 millions de dollars ont été siphonnés en une journée sur la Binance Smart Chain sous couvert d’un prétendu hack.
Quels sont les différents types de rug pull ?
Il existe trois variantes principales, chacune avec son propre niveau de sophistication et ses implications légales.
Le hard rug pull
C’est la forme la plus délibérée. Les créateurs intègrent dès le départ des fonctions malveillantes dans le code du smart contract : mint illimité de tokens, blocage des ventes pour tous sauf eux, modification des frais de transaction à 99 %, ou retrait unilatéral des fonds du pool. L’arnaque est planifiée avant même le lancement. Sur le plan juridique, il s’agit d’une fraude caractérisée, passible de poursuites pénales.
Le soft rug pull
Ici, il n’y a pas de vol immédiat. Les développeurs abandonnent progressivement le projet après avoir collecté des fonds : plus de mises à jour, roadmap non tenue, équipe qui s’évapore en silence. Le token perd toute valeur par attrition. Ce schéma est difficile à qualifier légalement, car il peut ressembler à un simple échec de projet. Prouver l’intention malveillante initiale reste l’obstacle central pour engager des poursuites.
Le liquidity rug pull
C’est le plus répandu. Les créateurs ont fourni la liquidité initiale au pool et détiennent en échange des LP tokens (jetons de fournisseur de liquidité). Ils les utilisent pour retirer l’intégralité de la liquidité en quelques secondes, sans code malveillant. Le prix s’effondre instantanément. Cette méthode exploite la structure même des AMM (Automated Market Makers) comme Uniswap ou PancakeSwap, et peut être présentée comme un simple retrait de liquidité, ce qui complique considérablement les recours.
Quels red flags signalent un rug pull ?
Avant d’investir dans un nouveau projet, plusieurs catégories de signaux méritent une vérification systématique. Aucun red flag isolé ne suffit à condamner un projet, mais leur accumulation doit stopper net toute décision d’achat.
Sur la liquidité : une liquidité non verrouillée ou bloquée pour moins de six mois expose directement à un retrait massif. Un pool disproportionnellement faible par rapport à la capitalisation affichée est un autre signal concret à ne pas écarter.
Sur l’équipe : une identité totalement anonyme sans profil vérifiable, des photos générées par IA, l’absence de LinkedIn ou le refus de passer un KYC (vérification d’identité) constituent des points de vigilance sérieux. À l’inverse, une équipe identifiable avec un historique de projets aboutis inspire une confiance légitime.
Sur le smart contract : l’absence d’audit par une société reconnue comme CertiK, PeckShield ou Hacken doit alerter. Un code source non vérifié sur Etherscan ou BSCscan, ou la présence de fonctions comme le mint illimité ou le pausable, sont des signaux techniques qui méritent une investigation approfondie.
Sur le marketing et la distribution des tokens : des promesses de gains irréalistes, des communautés gonflées artificiellement avec un engagement très faible, et des tokenomics où un seul wallet détient plus de 10 % du supply sans période de vesting sont des schémas classiques dans les projets frauduleux.
Comment vérifier un projet crypto avant d’investir ?
Repérer les red flags à l’oeil nu ne suffit pas toujours. Des outils dédiés permettent d’automatiser une partie de l’analyse, et quelques vérifications manuelles ciblées viennent compléter efficacement le dispositif.
Les outils automatiques de détection
Plusieurs plateformes permettent de scanner un projet en quelques secondes. Les voici classées par usage :
- Token Sniffer (tokensniffer.com) : score de sécurité automatique, détection des fonctions dangereuses, comparaison avec des arnaques connues
- RugDoc (rugdoc.io) : notation des projets DeFi de A à F, avec des analyses détaillées des smart contracts
- Rugcheck (rugcheck.xyz) : analyse de la liquidité et détection des signaux d’alerte en temps réel, particulièrement utile sur Solana
- Honeypot Detector : simule une vente pour vérifier si vous pourrez effectivement revendre vos tokens après achat
Ces outils ne remplacent pas une analyse complète, mais ils permettent d’écarter rapidement les projets les plus risqués avant d’aller plus loin.
Les vérifications manuelles essentielles
Pour la liquidité verrouillée, rendez-vous sur Etherscan ou BSCscan, identifiez les adresses de verrouillage (Unicrypt, Team Finance, PinkLock) dans l’onglet Holders, et vérifiez qu’au moins 80 % de la liquidité est bloquée pour un minimum de 12 mois.
Pour l’équipe, une recherche croisée sur Google et LinkedIn reste la méthode la plus directe. Vérifiez la cohérence des informations entre le white paper, les réseaux sociaux et les déclarations publiques. Une validation KYC via Assure DeFi ou SolidProof constitue un indicateur positif concret.
Deux règles à garder en tête quelle que soit la qualité de votre analyse : n’engagez que des fonds dont vous acceptez la perte totale, et utilisez un wallet distinct de votre wallet principal pour interagir avec des projets nouveaux ou non audités.
