Rug pull: klíčové indikátory investiční manipulace a rizikové signály projektů

Proč vznikají rug pully a proč na ně lidé stále naletí

Rug pull je úmyslné „vysátí koberce“ – tvůrci projektu odčerpají likviditu, vyprázdní treasury nebo jinak zneužijí kontrolu nad smart kontrakty a nechají investory s bezcennými tokeny či NFT. V kryptoprostoru jde o kombinaci technických slabin, špatného řízení a psychologie davu. Vysoká volatilita, 24/7 trhy, pseudonymita a kult rychlých zisků způsobují, že i sofistikovaní lidé ignorují elementární kontrolní kroky. Tento článek nabízí systematický rámec, jak projekty číst bez iluzí – od kódu, přes tokenomiku a správu, až po marketingovou rétoriku.

Typologie rug pullů: tvrdé, měkké a „pomalé“ eroze

• Hard rug (okamžitý exit): tvůrci odemknou likviditu a odčerpají ji, zmrazí převody, znemožní obchodování nebo si vytisknou masivní objem tokenů.
• Soft rug (postupné vysávání): průběžné zvyšování daní z transakcí, nenápadné přesuny z treasury, nadhodnocování odměn, které dlouhodobě ukrajují hodnotu.
• Administrativní rug: změna pravidel správy (governance), volby zástupců, upgrade proxy kontraktů bez timelocku či validace komunitou.
• Marketingový rug: agresivní sliby, falešná partnerství, placení influenceři; cena je nahnána a zakladatelé postupně odprodávají svůj podíl.
• NFT rug: zmizelý roadmap, vypnuté servery s aktivy, žádný post-mint vývoj, odčerpané mint příjmy bez dodání utility.

Red flags ve smart kontraktech: co hledat technicky

I bez toho, abyste byli senior vývojář, dokážete identifikovat řadu rizik. Zkontrolujte na explorerech (Etherscan, BscScan, SnowTrace apod.):

• Vlastnictví kontraktu: zda je owner stále EOA adresou zakladatele. Ideálně renounceOwnership nebo multisig + timelock (např. 24–72 hodin).
• Proxy a upgradability: Transparent/UUPS proxy bez timelocku a bez komunitního hlasování je otevřenou branou k nenápadným změnám logiky.
• Mint/Burn oprávnění: existuje mint() pro administrátora? Pokud ano, je limitovaný (cap), vázaný na čas/hlasování? Nekontrolovaný mint = inflační riziko a znehodnocení.
• Blacklist/Whitelist mechanismy: funkce typu setBlacklist, pause, setTradingEnabled či setFees mohou zablokovat prodej nebo zvýšit daně až na 100 %.
• Daňové a anti-bot logiky: maxTxAmount, maxWallet, dynamické feeOnTransfer; zneužitelné ke selektivnímu „zadrhnutí“ výstupu.
• Oracly a feedy: centralizovaný cenový oracle spravovaný jednou entitou; změna aggregatora bez timelocku.
• Likvidita (LP) a její správa: zda je LP token zamknut u důvěryhodného lockera a na jak dlouho; pokud je LP ve vlastnictví zakladatele, je to červená vlajka.
• Schválení a práva: kontroly approve()/permit() v dApps; zneužitelná schválení mohou odčerpat vaše aktiva mimo samotný token.
• Audit a verifikace kódu: verifikovaný kontrakt ≠ bezpečný kontrakt; audit bez zveřejnění metodiky a nalezených zjištění je marketing, nikoli záruka.

Tokenomika bez iluzí: kde se skrývá „exit door“

• Alokace a cliff/vesting: enormní alokace pro tým/poradce bez transparentního vestingu a cliffu = prodejní tlak v neočekávaných okamžicích.
• Treasury governance: kdo podepisuje transakce? Ideálně multisig s externími signatáři a zveřejněnou policy.
• Emisní křivka: nekonečné emise bez mechanismu zpětného odkupu/spalování; neudržitelné APY ve stakingu a farmě.
• Likvidita a tržní hloubka: mělké LP umožňuje manipulaci; vysoké slippage a výrazné cenové pohyby při menších objemech signalizují riziko.
• Utility vs. narativ: token nemá jasná práva (governance, podíl na poplatcích, kolaterál), ale slibuje „budoucí ekosystém“.

Správa (governance): centralizované přepínače = rychlý rug

• Multisig a timelock: zásadní změny musí vyžadovat více podpisů a zpoždění; single-sig admin je nepřijatelný.
• On-chain hlasování: skutečná váha hlasů, kvórum, zveřejněné výsledky a implementační pravidla; pozor na „advisory“ hlasování bez závaznosti.
• Upgrade proces: dokumentovaný postup, validace na testnetu, post-mortem analýza chyb; upgrade „přes víkend bez oznámení“ je červená vlajka.
• Externí kontroly: bug bounty program, monitoring transakcí treasury, čtvrtletní reporty a attestační prohlášení.

Marketingové a komunikační red flags

• Zaručené výnosy nebo „bez rizika“: v kryptu neexistuje zaručený výnos bez protistrany a rizika.
• Falešná partnerství: „partner“ často znamená pouze integraci; ověřte si press release i na druhé straně firmy.
• Placení recenze/influenceři: nejasné zveřejnění spoluprací; extrémní „hype“ před listingem.
• Neochota k transparentnosti: anonymní tým bez historie, kopie whitepaperu, neexistující GitHub nebo jen „fork bez změn“.
• Agresivní referral/airdrop schémata: tlak na rychlé vklady, časovače, gamifikované FOMO.

Specifika DeFi: AMM, farmy, lending a deriváty

• AMM pooly: zkontrolujte, kdo může měnit poplatky, koeficienty, váhy; LP tokeny musí být zamknuté a sledovatelné.
• Lending/borrowing: řízení rizikových parametrů (kolateralizační poměr, likvidační bonusy) a práva admina na nouzové pauzy (circuit breaker).
• Staking/farmy: emisní sazby, harvest limity a implementace emergencyWithdraw; pozor na „dev mint“ zadní vrátka.
• Deriváty a perpetuals: oracly, algoritmy funding rate a riziko socializace ztrát; centralizovaný matching engine v „DeFi“ je oxymóron.

NFT projekty: co je důležité nad rámec smart kontraktu

• Uchování aktiv: IPFS/Arweave vs. centralizovaný server; měnitelná metadata bez governance kontroly.
• Roadmap a rozpočet: jasná alokace mint příjmů, milníky a odpovědnost; týmová přítomnost po mintu.
• Licence a IP: jaká práva získává vlastník NFT; vágní licence jsou právní riziko.

Praktický 10-krokový due diligence postup (workflow)

1. Identita a historie týmu: LinkedIn, předchozí projekty, open-source příspěvky, reference.
2. Repozitáře kódu: aktivita, PR/issue proces, testy, CI/CD; hledejte víc než jen „monorepo s prázdnými commity“.
3. Kontrakty na explorerech: verifikace, vlastnictví, proxy, práva admina, časové zámky.
4. Tokenomika: alokace, vesting, emisní křivka, zamknutá likvidita, mechanická udržitelnost.
5. Treasury governance: multisig signatáři (alespoň 2–3 externí), zveřejněné politiky a limity výdajů.
6. Audity a bounty: skutečné reporty s nálezy a jejich uzavřením; odměny za nalezení chyb.
7. Oracly a infrastruktura: poskytovatelé dat, fallbacky, decentralizace validátorů.
8. Likvidita a tržní data: hloubka orderbooku/AMM, objemy, volatilita, koncentrace vlastnictví (top 10 adres).
9. Komunikace: kvalita dokumentace, reakce na dotazy, incidenty a post-mortemy.
10. Právní rámec: jurisdikce, Terms & Conditions, KYC/AML u custodial prvků, soulad s regulací.

Co konkrétně zkontrolovat na token kontraktu (mini-checklist)

• Existence a limity funkcí: mint(), burn(), pause(), setFees(), blacklist(), setMaxTxAmount().
• Zda je možné renounceOwnership a zda k tomu došlo; pokud ne, kdo je owner (EOA vs. multisig) a zda existuje timelock.
• Proxy implementace (UUPS/Transparent) a pravidla upgrade; existuje on-chain hlasování před upgradem?
• LP tokeny: kde jsou uloženy, jaká je lock period, zda jsou rozdělené nebo všechny v držbě jedné adresy.
• Fee-on-transfer tokeny: kam směřují poplatky (treasury? burn? developer?), a zda jsou dynamicky nastavitelné.

Metodika hodnocení rizika: skóre bez růžových brýlí

Vytvořte si interní skóre 0–100 podle kategorií, každá s váhou:

• Smart kontrakty & práva (30 %): vlastnictví, upgrade, zámky, rizikové funkce.
• Tokenomika (25 %): vesting, emisní křivka, udržitelnost výnosů.
• Governance (15 %): multisig, timelock, on-chain hlasování.
• Likvidita a trh (15 %): hloubka, koncentrace, reality-check objemů.
• Transparentnost & komunikace (10 %): dokumentace, reporting incidentů.
• Právní rámec (5 %): smluvní podmínky, jurisdikce, práva uživatelů.

Projekt s méně než 60 body je spekulace s vysokým rizikem; pod 40 bodů je potenciální rug pull.

Signály z řetězce (on-chain) a nástroje

• Distribuce držitelů: top adresy > 40–50 % nabídky = vysoké riziko koordinovaného prodeje.
• Neobvyklé přesuny: nově vytvořené adresy s velkými alokacemi, seskupené výběry z treasury.
• Aktivita vývojáře: časté administrativní transakce bez vysvětlení, změny parametrů těsně před/po listingu.
• Approvaly: zbytečně široká schválení pro neznámé kontrakty; pravidelné revokace jsou nezbytné jako hygienické opatření.

Behaviorální a psychologické chyby investorů

• FOMO a časové tlaky: odpočty, waitlisty, útok na strach z „uniklé příležitosti“.
• Autority a sociální důkaz: „velryba nakoupila“, „známý investor má alokaci“ – často bez důkazu nebo za úplně jiných podmínek.
• Potvrzující zkreslení: hledání jen informací, které podporují vlastní tezi (echo komory).

Pokud už jste uvnitř: nouzový plán a omezení škod

• Rychlý exit: pokud se vyskytnou tvrdé red flags (změna ownera, skokové zvýšení daní, odemykání LP), zvažte okamžitý výstup.
• Revoke approvals: pravidelně odvolávejte zbytečná schválení; minimalizujete tak následné škody.
• Incident reporting: oznamte události burzám, analytickým službám a komunitě; dokumentujte transakce.
• Daňová a právní stopa: uchovávejte záznamy o nákupech/prodejích a komunikaci týmu.

Policy a kontrolní mechanismy pro týmy a DAO

• Multisig + timelock standard: žádná výjimka u treasury a upgrade kontraktů; signatáři mimo core tým.
• Rozpočet a limity: denní/týdenní stropy, dvoustupňové schvalování větších výdajů.
• Open reporting: měsíční účetní výkazy treasury, on-chain dashboard pro komunitu.
• Segregace rolí: technické, finanční a marketingové přístupy oddělené; rotační klíče a pravidelné audity přístupů.
• Bounty a nezávislé audity: kontinuální, nikoli „jednorázové“; zásady veřejného zveřejňování.

Checklist: rychlá kontrola před investicí

1. Verifikovaný kontrakt, známé vlastnictví, žádná neomezená mint/blacklist zadní vrátka.
2. Multisig + timelock na treasury a upgradey.
3. Zamknutá a transparentně spravovaná likvidita (LP) na dlouhé období.
4. Transparentní tokenomika: vesting, cliffy, žádné extrémní insider alokace.
5. Reálná utility, ne jen narativ; validovaná use-case