Rug Pull: Jak odhalit rizikové kryptoprojekty bez iluzí

Proč vznikají rug pully a proč jim lidé stále naletí

Rug pull je úmyslné „tažení koberce“ – tvůrci projektu odeberou likviditu, vyprázdní treasury nebo jinak zneužijí kontrolu nad smart kontrakty a zanechají investory s bezcennými tokeny či NFT. V kryptoprostoru jde o kombinaci technických slabin, špatného řízení a psychologie davu. Vysoká volatilita, nonstop trhy, pseudonymita a kult rychlých zisků způsobují, že i sofistikovaní lidé ignorují elementární kontrolní kroky. Tento článek nabízí systematický rámec, jak číst projekty bez iluzí – od kódu, přes tokenomiku a správu až po marketingovou rétoriku.

Typologie rug pullů: tvrdé, měkké a „pomalé“ eroze

• Hard rug (okamžitý exit): tvůrci odemknou likviditu a odeberou ji, zmrazí převody, znepřístupní obchodování nebo si vytisknou masivní objem tokenů.
• Soft rug (postupné vysávání): průběžné zvyšování daní z transakcí, nenápadné přesuny z treasury, přeceňování odměn, které dlouhodobě odebírají hodnotu.
• Administrativní rug: změna pravidel správy (governance), volby zástupců, upgrade proxy kontraktů bez timelocku či validace komunitou.
• Marketingový rug: agresivní sliby, falešná partnerství, placení influenceři; cena je nadhnána a zakladatelé postupně prodávají svůj podíl.
• NFT rug: zmizelá roadmapa, vypnuté servery s digitálními aktivy, žádný post-mint vývoj, odebrané příjmy z mintingu bez dodání utility.

Red flags v smart kontraktech: co hledat technicky

I bez svého seniorního vývojáře dokážete identifikovat řadu rizik. Zkontrolujte na explorerech (Etherscan, BscScan, SnowTrace apod.):

• Vlastnictví kontraktu: jestli je owner stále EOA adresa zakladatele. Ideálně je renounceOwnership nebo multisig + timelock (např. 24–72 hodin).
• Proxy a upgradability: Transparent/UUPS proxy bez timelocku a bez komunitního hlasování je otevřenou branou k nenápadným změnám logiky.
• Mint/Burn oprávnění: existuje mint() pro admina? Pokud ano, je limitován (cap), vázán na čas/hlasování? Nekontrolovaný mint = inflační riziko a znehodnocení.
• Blacklist/Whitelist mechaniky: funkce typu setBlacklist, pause, setTradingEnabled či setFees mohou zablokovat prodej nebo zvýšit poplatky až na 100 %.
• Daňové a anti-bot logiky: maxTxAmount, maxWallet, dynamické feeOnTransfer; zneužitelné k selektivnímu „zadrhnutí“ výstupu.
• Oracly a zdroje dat: centralizovaný cenový oracle řízený jedinou entitou; změna aggregatora bez timelocku.
• Likvidita (LP) a její správa: zda je LP token zamknutý u důvěryhodného lockeru a na jak dlouho; pokud je LP ve vlastnictví zakladatele, je to červená vlajka.
• Schválení a práva: kontrola approve()/permit() v dApps; zneužitelné schválení může odebrat vaše aktiva mimo samotný token.
• Audit a verifikace kódu: verifikovaný kontrakt ≠ bezpečný kontrakt; audit bez zveřejnění metodiky a nálezů je marketing, nikoli záruka.

Tokenomika bez iluzí: kde se skrývá „exit door“

• Alokace a cliff/vesting: obrovská alokace pro tým/poradce bez transparentního vestingu a cliffu znamená tlak na prodeje v nečekaných chvílích.
• Treasury governance: kdo podepisuje transakce? Ideálně multisig s externími signatáři a zveřejněnou politikou.
• Emisní křivka: nekonečné emise bez mechanizmu zpětného odkupu/spalování; neudržitelná APY ve stakingu a farmě.
• Likvidita a tržní hloubka: mělké LP umožňuje manipulaci; vysoký slippage a velké cenové posuny při menších objemech znamenají riziko.
• Utility vs. narativ: token nemá jasná práva (governance, podíl na poplatcích, kolaterál), ale slibuje „budoucí ekosystém“.

Správa (governance): centralizované přepínače = rychlý rug

• Multisig a timelock: zásadní změny musí vyžadovat vícero podpisů a zpoždění; single-signature admin je nepřijatelný.
• On-chain hlasování: skutečná váha hlasů, kvórum, zveřejněné výsledky a pravidla implementace; pozor na „advisory“ hlasování bez závaznosti.
• Upgrade proces: dokumentovaný postup, validace na testnetu, post-mortem při chybách; upgrade „o víkendu bez oznámení“ je červená vlajka.
• Externí kontroly: bug bounty program, monitoring transakcí treasury, čtvrtletní reporty a prohlášení o ověření.

Marketingové a komunikační red flags

• Garantované výnosy nebo „bez rizika“: v kryptu neexistuje garantovaný výnos bez protistrany a rizika.
• Falešná partnerství: „partner“ často znamená jen integraci; ověřte tiskovou zprávu i ze strany druhé firmy.
• Placené recenze/influenceři: nejasné zveřejnění spolupráce; extrémní „hype“ před listingem.
• Neochota k transparentnosti: anonymní tým bez historie, kopie whitepaperu, neexistující GitHub nebo pouze „fork bez změny“.
• Agresivní referral/airdrop schémata: tlak na rychlé vklady, časovače, gamifikované FOMO.

Specifika DeFi: AMM, farmy, lending a deriváty

• AMM pooly: zkontrolujte, kdo může měnit poplatky, koeficienty, váhy; LP tokeny musejí být zamknuté a sledovatelné.
• Lending/borrowing: management rizikových parametrů (kolateralizační poměr, likvidační bonusy) a práva admina na nouzové pauzy (circuit breaker).
• Staking/farmy: emisní sazby, harvest limity a implementace emergencyWithdraw; pozor na „dev mint“ zadní vrátka.
• Deriváty a perpetuals: oracly, algoritmy funding rate a riziko socializace ztrát; centralizovaný matching engine v „DeFi“ je oxymóron.

NFT projekty: co je důležité nad rámec smart kontraktu

• Uchování aktiv: IPFS/Arweave vs. centralizovaný server; proměnlivá metadata bez governance kontroly.
• Roadmapa a rozpočet: jasná alokace mint příjmů, milníky a odpovědnost; týmová přítomnost po mintu.
• Licence a IP: jaká práva vlastník NFT získává; vágní licence jsou právní riziko.

Praktický 10-krokový due diligence postup (workflow)

1. Identita a historie týmu: LinkedIn, předchozí projekty, open-source příspěvky, reference.
2. Repositáře kódu: aktivita, PR/issue proces, testy, CI/CD; hledejte víc než jen „monorepo s prázdnými commity“.
3. Kontrakty na explorerech: verifikace, vlastnictví, proxy, práva admina, časové zámky.
4. Tokenomika: alokace, vesting, emisní křivka, zamčená likvidita, mechanická udržitelnost.
5. Treasury governance: multisig signatáři (alespoň 2–3 externí), zveřejněné politiky a limity výdajů.
6. Audity a bounty: skutečné reporty s nálezy a jejich uzavřením; odměny za nalezení chyb.
7. Oracly a infrastruktura: poskytovatelé dat, fallbacky, decentralizace validátorů.
8. Likvidita a tržní údaje: hloubka orderbooku/AMM, objemy, volatilita, koncentrace vlastnictví (top 10 adres).
9. Komunikace: kvalita dokumentace, reakce na dotazy, incidenty a post-mortemy.
10. Právní rámec: jurisdikce, Terms & Conditions, KYC/AML u custodial prvků, soulad s regulací.

Co konkrétně zkontrolovat na token kontraktu (mini-checklist)

• Existence a limity funkcí: mint(), burn(), pause(), setFees(), blacklist(), setMaxTxAmount().
• Zda je možné renounceOwnership a zda k tomu došlo; pokud ne, kdo je owner (EOA vs. multisig) a zda existuje timelock.
• Proxy implementace (UUPS/Transparent) a pravidla upgrade; existuje on-chain hlasování před upgradem?
• LP tokeny: kde jsou uloženy, jaká je lock period, zda jsou rozdělené nebo všechny ve vlastnictví jedné adresy.
• Fee-on-transfer tokeny: kam směřují poplatky (treasury? spalování? developer?), a zda jsou dynamicky nastavitelné.

Metodika hodnocení rizika: skóre bez růžových brýlí

Vytvořte si interní skóre 0–100 podle kategorií, každá s váhou:

• Smart kontrakty & práva (30 %): vlastnictví, upgrade, zámky, rizikové funkce.
• Tokenomika (25 %): vesting, emisní křivka, udržitelnost výnosů.
• Governance (15 %): multisig, timelock, on-chain hlasování.
• Likvidita a trh (15 %): hloubka, koncentrace, realitní kontrola objemů.
• Transparentnost & komunikace (10 %): dokumentace, reporting incidentů.
• Právní rámec (5 %): smluvní podmínky, jurisdikce, práva uživatelů.

Projekt pod 60 bodů je spekulace s vysokým rizikem; pod 40 bodů je potenciální rug.

Signály z řetězce (on-chain) a nástroje

• Distribuce držitelů: top adresy > 40–50 % nabídky = vysoké riziko koordinovaného prodeje.
• Neobvyklé přesuny: čerstvě vytvořené adresy s velkými alokacemi, seskupené výběry z treasury.
• Aktivita vývojáře: časté administrativní transakce bez vysvětlení, změny parametrů těsně před/po listingu.
• Approvaly: zbytečně široká schválení pro neznámé kontrakty; pravidelné revokace jsou povinné hygienické opatření.

Behaviorální a psychologické chyby investorů

• FOMO a časové tlaky: odpočítávání, waitlisty, útoky na strach z „uniknutí příležitosti“.
• Autority a sociální důkaz: „velryba nakoupila“, „slavný investor má alokaci“ – často bez důkazu nebo se zcela odlišnými podmínkami.
• Potvrzovací zkreslení: hledání pouze informací, které podporují vlastní názor (echo komory).

Pokud už jste uvnitř: nouzový plán a škody

• Rychlý exit: pokud se objeví tvrdé red flags (změna ownera, skokové zvýšení daní, odemykání LP), zvažte okamžitý výstup.
• Revoke approvals: pravidelně odstraňujte zbytečná schválení; minimalizuje to následné škody.
• Incident reporting: oznamujte události burzám, analytickým službám a komunitě; dokumentujte transakce.
• Daňová a právní stopa: uchovejte záznamy o nákupech/prodejích a komunikaci s týmem.

Politika a kontrolní mechanismy pro týmy a DAO

• Multisig + timelock standard: žádná výjimka u treasury a upgrade kontraktů; signatáři mimo core tým.
• Rozpočet a limity: denní/týdenní limity, dvoustupňové schválení větších výdajů.
• Open reporting: měsíční účetní výkazy treasury, on-chain dashboard pro komunitu.
• Oddělení rolí: technické, finanční a marketingové přístupy oddělené; rotační klíče a pravidelné audity přístupů.
• Bounty a nezávislé audity: kontinuální, nikoli „jednou a dost“; zásady veřejného zveřejnění.

Checklist: rychlá kontrola před investicí

1. Verifikovaný kontrakt, známé vlastnictví, žádné neomezené mint/blacklist zadní vrátka.
2. Multisig + timelock u treasury a upgradů.
3. Zamčená a transparentně spravovaná likvidita (LP) na dlouhé období.
4. Transparentní tokenomika: vesting, cliffy, žádné extrémní insider alokace.
5. Reálná utility, ne jen narativ; validovaná use-case scénáři.

<