Rug attira il mondo delle criptovalute: come funzionano le truffe DeFi e come individuarle prima di perdere denaro.
Ricordo di aver scorporato Twitter, in un martedì qualsiasi dell'aprile 2025, i post dedicati alle criptovalute e di aver assistito in tempo reale al crollo del grafico di Mantra. Nelle ore precedenti, diciassette wallet avevano depositato 43,6 milioni di token OM sugli exchange e, quando la maggior parte dei detentori se ne accorse, il prezzo era già crollato del 94%, facendo svanire 5,5 miliardi di dollari in quello che si è svolto come un incidente d'auto al rallentatore, visibile a tutti ma da cui nessuno poteva sottrarsi. Il team di Mantra ha attribuito la colpa alle liquidazioni forzate; gli analisti on-chain hanno fatto notare che diciassette wallet non coordinano depositi sugli exchange per un valore di 227 milioni di dollari per pura coincidenza. Lascio a voi trarre le vostre conclusioni da questi fatti.
L'aspetto che ha colpito maggiormente la community di Mantra è che, al momento dell'investimento, nulla sembrava una truffa. Si trattava di una piattaforma di asset reali, con partnership concrete e un token quotato sui principali exchange, non di una criptovaluta anonima lanciata di domenica sera. Ed è proprio questo il problema delle truffe nel mondo delle criptovalute: quelle che causano i danni maggiori sono quelle che sembravano legittime fino al momento in cui si è scoperto che non lo erano più. Le truffe più pericolose non si presentano mai con un cartello che dice "Sto per rubarvi i soldi".
Mi sono avvicinato al mondo delle criptovalute nel 2017 e da allora ho visto personalmente questo schema dilapidare i risparmi delle persone più volte di quanto vorrei ricordare. La macchina dell'hype si mette in moto, il grafico sale vertiginosamente, nessuno osa fare domande scomode sulla tokenomics perché il prezzo continua a salire e mettere in discussione il progetto sembra come mettere in discussione denaro gratis. Poi una mattina ti svegli, controlli il grafico e ti rendi conto che il team ha venduto tutto mentre dormivi. La chat di gruppo è morta. Nessuno parla più. Ho scritto questo perché troppe persone che conosco personalmente sono state vittime di questo schema e, in quasi tutti i casi, i segnali d'allarme c'erano, solo che erano sepolti sotto l'hype e il gergo tecnico che nessuno si è preso la briga di tradurre in un linguaggio semplice.
Come funzionano realmente i rug pull delle criptovalute
Se qualcuno in una chat di gruppo sulle criptovalute ti dice "Ieri sera sono sparito", significa che il team dietro un token o un protocollo in cui hai investito ha fatto le valigie e se n'è andato portandosi via tutto. L'espressione deriva dal vecchio modo di dire che si tratta di togliere il tappeto da sotto i piedi a qualcuno che ci sta sopra: un secondo prima il tappeto c'è, un secondo dopo ti ritrovi a terra a fissare il soffitto cercando di capire cosa sia successo ai tuoi ETH.
Dopo aver assistito a un numero sufficiente di questi schemi, la strategia smette di sorprendere e diventa snervante, perché cambia a malapena e la gente continua a cascarci lo stesso.
Un team mette insieme qualcosa che sembra legittimo: un sito web professionale con un conto alla rovescia, un white paper pieno di gergo sulla "rivoluzione della DeFi", una roadmap che si estende fino al 2028, magari anche una demo funzionante di una testnet che un singolo sviluppatore ha messo insieme in un fine settimana. Potrebbe trattarsi di un token di governance per un "protocollo DeFi", di una collezione di 10.000 NFT con un gioco annesso, o di qualche strano meccanismo di yield farming che nessuno comprende appieno. Non importa quale sia la loro formula; i meccanismi di base sono sempre copiati e incollati dallo stesso manuale.
Il marketing arriva subito dopo, ed è aggressivo. Vedrete il progetto comparire nei thread di Twitter dedicati alle criptovalute, da account che non esistevano il mese scorso, nei gruppi Telegram dove i "community manager" alimentano l'hype 24 ore su 24, nei server Discord dove i moderatori bannano chiunque chieda perché il contratto non sia stato sottoposto ad audit. I creatori di contenuti su YouTube, che venderebbero anche una scatola di cartone per la giusta somma, iniziano a pubblicare video su come "questo potrebbe farvi guadagnare 100 volte più facilmente". Il messaggio principale non cambia mai: "siete ancora tra i primi", perché indurre la FOMO (paura di perdersi qualcosa) in chi ha visto un amico guadagnare con Solana è la migliore tattica di vendita nel mondo delle criptovalute e i truffatori lo sanno.
Il denaro affluisce. Le persone scambiano i loro ETH o BNB, guadagnati con fatica, con il nuovo token sugli exchange decentralizzati, riempiendo il pool di liquidità. Il grafico sale perché la pressione d'acquisto è elevata e nessuno sta ancora vendendo. A questo punto, onestamente, il progetto può sembrare identico a qualcosa di reale. Anche molte iniziative legittime hanno avuto un inizio difficile, e il truffatore conta proprio su questa ambiguità per impedirti di esaminare troppo attentamente il codice del contratto.
Poi finisce, di solito in fretta. Il team attiva una funzione di svuotamento del pool di liquidità, oppure vende sul mercato l'intera allocazione di token nel giro di pochi minuti, o ancora si attiva un interruttore di sicurezza nello smart contract e il pulsante di vendita smette di funzionare. Qualunque sia il metodo scelto, il risultato è che i tuoi token passano da un "aumento del 300%" a zero nel tempo necessario ad aggiornare la pagina.
Dopo il prelievo, le tracce iniziano a svanire. Gli account sui social vengono eliminati. Discord diventa una città fantasma. Il sito web scompare o, nel caso di Defi100, viene sostituito da un messaggio beffardo che dice letteralmente "Ti abbiamo truffato". I fondi rubati vengono riciclati tramite Tornado Cash o rimbalzati su cinque blockchain diverse per confondere le tracce. Le analisi forensi on-chain a volte possono tracciare la destinazione del denaro, ma recuperarlo è tutta un'altra storia, e quasi mai ha un lieto fine.
L'intero ciclo può richiedere mesi (per schemi elaborati) o ore (per i rug pull veloci di memecoin). Nel 2024, Comparitech ha registrato circa 92 rug pull confermati con 126 milioni di dollari rubati. Nel 2025, i numeri sono esplosi: DappRadar ha stimato quasi 6 miliardi di dollari di perdite dovute ai rug pull, sebbene il 92% di queste provenisse dal solo incidente Mantra.
Tipi di tiranti per tappeti: tiranti duri, tiranti morbidi e tutto ciò che sta nel mezzo.
I problemi legati allo sfilacciamento dei tappeti si presentano in diverse forme, e queste differenze sono importanti perché influenzano la tempestività con cui è possibile accorgersi del problema e la possibilità di intervenire prima che il danno sia irreversibile.
Strappi duri del tappeto
Con un colpo di scena inaspettato, l'intento era criminale fin dalla prima riga di codice. Nessuno del team aveva mai pianificato di rilasciare un prodotto. Hanno creato uno smart contract con una backdoor nascosta, l'hanno mascherato con una campagna di marketing, hanno aspettato che il pool si riempisse e poi l'hanno svuotato. Il progetto era una trappola fin dal primo giorno, e l'unica domanda era quando sarebbe scattata.
Tattiche comuni di hard pull:
Furto di liquidità. Questo è il classico. Uno sviluppatore crea un token, lo associa a ETH o BNB in un pool di liquidità su un exchange decentralizzato come Uniswap o PancakeSwap. Gli investitori acquistano, il pool cresce e poi lo sviluppatore richiama una funzione nel contratto che preleva tutta la liquidità. I tuoi token sono ancora nel tuo portafoglio, ma ora valgono zero perché non c'è nulla con cui scambiarli.
Restrizioni alla vendita. Lo smart contract è scritto in modo tale che solo il portafoglio del creatore possa vendere. Tutti gli altri possono acquistare ma non vendere. Il prezzo sale perché c'è solo pressione d'acquisto. Poi il creatore vende tutto. Ti ritrovi con dei token di cui non puoi letteralmente liberarti. Questo viene talvolta chiamato truffa "honeypot".
Funzioni di conio nascoste. Il contratto contiene una funzione che permette al proprietario di creare un numero illimitato di nuovi token. Ne coniano una quantità enorme, la riversano sul mercato e ne fanno crollare il prezzo. Dall'esterno sembra una normale vendita, ma in realtà si tratta di una frode inflazionistica codificata nel contratto.
Tirata morbida del tappeto
Le piccole fregature sono più subdole e, onestamente, sono quelle che ti confondono di più. Il progetto potrebbe essere iniziato con intenzioni reali, o almeno senza codice palesemente dannoso. Non c'è nessuna funzione di drenaggio nascosta, nessuna honeypot, nessun kill switch. Quello che succede invece è che il team perde gradualmente interesse (o non l'ha mai avuto), vende silenziosamente le proprie partecipazioni in token nel corso di settimane o mesi, smette di rispondere alle domande della community e alla fine scompare dalla chat di gruppo, uno ad uno.
Il tuo portfolio non crolla da un giorno all'altro. Sanguina. Lentamente. Quando ti rendi conto che l'ultimo commit sul repository GitHub risale a quattro mesi fa e che il "responsabile dello sviluppo" non ha pubblicato nulla da agosto, il team ha già svenduto la maggior parte dei suoi progetti a prezzi che non rivedrai mai più. Ciò che rende i tappeti morbidi particolarmente insidiosi è l'ambiguità: si tratta di una truffa o il progetto è semplicemente fallito? Molti team onesti finiscono i soldi o la motivazione. I truffatori si nascondono dietro questa plausibile negabilità.
Le truffe "pump-and-dump" rientrano in questa categoria. Il team promuove il token, il prezzo sale, gli insider vendono al culmine e chi arriva dopo subisce la perdita. È un comportamento non etico e probabilmente illegale se il token è classificabile come titolo finanziario, ma i pubblici ministeri hanno più difficoltà perché non c'è codice malevolo a cui fare riferimento. Nessuna backdoor nel contratto. Nessuna funzione nascosta. Solo persone che vendono ciò che possiedono, il che nella maggior parte degli ordinamenti giuridici non è automaticamente un reato, anche quando sembra esserlo.
Il memecoin Hawk Tuah del dicembre 2024 ne è un esempio perfetto. I creatori detenevano il 70% dell'offerta, la capitalizzazione di mercato raggiunse i 500 milioni di dollari grazie alla sola speculazione, e poi gli insider vendettero, causando un'impennata del prezzo seguita da un crollo da 500 milioni a 50 milioni di dollari in poche ore. Si è trattato di una truffa? Di un pump and dump? Di un pessimo investimento che tutti avrebbero dovuto prevedere? Dipende da chi lo si chiede. Dal punto di vista legale, è un disastro. Dal punto di vista morale, la maggior parte delle persone concorda sul fatto che gli insider sapessero esattamente cosa stavano facendo.
Nel 2026, i memecoin sono diventati il principale strumento per le rug pull. Secondo i dati di CoinLaw, circa l'80% delle rug pull coinvolge ormai i memecoin, token privi di utilità al di là della speculazione e dell'hype della community. La bassa barriera d'ingresso (è possibile creare un token in pochi minuti su piattaforme come Pump.fun su Solana) fa sì che migliaia di potenziali rug pull vengano lanciate ogni settimana. Chainalysis stima che circa il 95% dei pool di token lanciati su PancakeSwap finisca per essere oggetto di rug pull. Riflettete su questo dato.
| Tipo | Velocità | Come funziona | Rilevabile? |
|---|---|---|---|
| furto di liquidità | Immediato | Lo sviluppatore svuota la piscina | Sì (verifica se la liquidità è bloccata) |
| Honeypot/blocco di vendita | Graduale | Solo il creatore può vendere | Sì (vendita di prova sullo screener DEX) |
| Menta nascosta | Veloce | Creatore mentine e scarti | Sì (leggere il contratto per le funzioni della zecca) |
| Pompa e scarica | Da giorni a settimane | Prima si fa pubblicità, poi si vendono le partecipazioni. | Più difficile (sembra un normale scambio commerciale) |
| Abbandono lento | Da settimane a mesi | Il team smette di consegnare | Il più difficile (assomiglia a un progetto fallito) |
I più grandi esempi di truffa che hanno fatto perdere miliardi agli investitori
I numeri riportati di seguito non sono teorici. Ogni riga di questa tabella rappresenta persone reali che si sono svegliate con il portafoglio vuoto.
| Progetto | Anno | Importo rubato | Quello che è successo |
|---|---|---|---|
| OneCoin | 2014-2017 | 4 miliardi di dollari | Schema Ponzi, la fondatrice Ruja Ignatova è scomparsa, è ancora nella lista dei più ricercati dell'FBI. |
| Thodex | 2021 | 2,7 miliardi di dollari | Scambio turco, il fondatore è fuggito, condannato a 11.196 anni |
| Mantra (OM) | 2025 | 5,5 miliardi di dollari (contestati) | 17 portafogli hanno spostato i token prima del crollo, calo del prezzo del 94% |
| AnubisDAO | 2021 | 60 milioni di dollari | Nessun sito web, fondi raccolti, piscina svuotata in 20 ore |
| Gettone del gioco Squid | 2021 | 3,38 milioni di dollari | Il prezzo è aumentato del 23.000.000%, una trappola per truffatori ha impedito la vendita. |
| Frosties NFT | 2022 | 1,1 milioni di dollari | I fondatori sono stati accusati di frode e riciclaggio di denaro. |
| Hawk Tuah (HAWK) | 2024 | 87 milioni di dollari (profitto del creatore) | Memecoin delle celebrità, i cui creatori detenevano il 70%, è stato venduto al culmine del mercato. |
| Club delle scimmie ballerine | 2022 | 2,6 milioni di dollari | Truffa NFT, fondi riciclati tramite chain-hopping |
OneCoin merita un paragrafo a parte perché è la truffa più devastante nella storia delle criptovalute e non era nemmeno una vera criptovaluta. Non c'era una blockchain. Nessun mining. Nessun nodo. Ruja Ignatova ha venduto "pacchetti formativi" per un valore di 4 miliardi di dollari attraverso una struttura di marketing multilivello che reclutava vittime per reclutarne altre. È scomparsa nell'ottobre del 2017 e rimane una delle dieci latitanti più ricercate dall'FBI. La BBC ha prodotto un'intera serie di podcast su di lei intitolata "The Missing Cryptoqueen". Suo fratello è stato arrestato e successivamente condannato, ma Ruja non è mai stata ritrovata.
Come riconoscere un rischio di sventare un problema prima che si verifichi: la lista dei segnali d'allarme
È qui che l'articolo si rivela utile. Elencherò otto segnali d'allarme e, se ne individuate tre o più in un progetto che state esaminando, chiudete la scheda e passate oltre. Davvero.
La prima cosa che verifico è il team. L'anonimato nel mondo delle criptovalute non è di per sé un male; Satoshi non si è mai rivelato. Ma c'è un abisso tra un fondatore pseudonimo con anni di storia on-chain e un "team" senza alcuna presenza su LinkedIn, senza commit su GitHub e con foto profilo che sembrano prese da thispersondoesnotexist.com. Se non riesci a trovare una singola persona verificabile dietro il progetto, il rischio si moltiplica.
Secondo: il contratto intelligente è stato sottoposto a verifica? Non intendo "verificato dai nostri amici". Intendo un report pubblicato da CertiK, Hacken, Trail of Bits o un'altra società che potete effettivamente trovare su Google e verificare. L'assenza di una verifica significa che nessuno ha controllato in modo indipendente se il contratto può prelevare i vostri depositi. Un'altra cosa: anche se ESISTE una verifica, controllate se il contratto è aggiornabile tramite un pattern proxy. Se gli sviluppatori possono sostituire il codice dopo la verifica, la verifica copre solo la versione esaminata dal revisore, non quella che verrà implementata il martedì successivo.
Terzo: blocchi di liquidità. Apri GeckoTerminal o DEXTools e controlla se il pool di liquidità è bloccato in un contratto a tempo determinato. Se è sbloccato, lo sviluppatore può prelevarlo immediatamente. I blocchi inferiori a 30 giorni sono una barzelletta. I progetti seri prevedono blocchi per almeno 6-12 mesi. Ed ecco un dettaglio che spesso sfugge: un blocco con una scadenza nota significa solo che il prelievo è programmato. Segnatelo sul calendario.
Quarto: concentrazione dei wallet. Aprite la pagina del token su Etherscan o Solscan e scorrete fino all'elenco dei detentori. Se i primi 10 wallet controllano più del 50% dell'offerta e non sono chiaramente etichettati come pool di liquidità, vesting di team o tesoreria, ognuno di essi può far crollare il prezzo vendendo massicciamente. Non è un rischio, è una certezza in attesa di un segnale.
Quinto: cosa promettono? Se vedi "100 volte garantito", "rendimento annuo sostenibile del 1000%" o "questo è il prossimo Bitcoin", scappa. I progetti che concentrano il loro marketing su quanto diventerai ricco invece che su ciò che stanno effettivamente costruendo sono o illusori o predatori, e nessuna delle due opzioni finisce bene per te.
Sesto: osservate il marketing stesso. Il gruppo Telegram è pieno di conversazioni reali o è composto da account gestiti da bot che pubblicano emoji di razzi? Il server Discord è attivo con discussioni tecniche o ogni canale è solo "Wen Moon"? Le sponsorizzazioni degli influencer sono spontanee o palesemente a pagamento? Quando la spesa per il marketing supera di gran lunga l'impegno profuso nello sviluppo, vi trovate di fronte a un'operazione di vendita, non a un progetto tecnologico.
Settimo: esiste un prodotto funzionante? Non una roadmap. Non una presentazione. Non un white paper con diagrammi elaborati. Un prodotto reale che qualcuno possa utilizzare subito. Se il team ti chiede soldi prima di aver rilasciato qualcosa di funzionante, il rischio che tu finanzi la loro uscita di scena anziché la loro visione aumenta vertiginosamente.
Ottavo e ultimo punto: la pressione della FOMO (paura di perdersi qualcosa). "Solo 2 ore rimaste nella whitelist." "Il prezzo raddoppia dopo questo round." "Se non ti butti subito, te ne pentirai per sempre." Ognuna di queste frasi è studiata per farti agire d'impulso, ed è esattamente ciò di cui ha bisogno un truffatore. Le vere opportunità non hanno un conto alla rovescia. Se qualcuno ti mette fretta, ha un motivo, e quel motivo non è a tuo vantaggio.
Strumenti che ti aiutano a evitare di diventare ruvido
Non è necessario valutare tutto manualmente. Esistono diversi strumenti gratuiti:
| Attrezzo | Cosa fa | URL |
|---|---|---|
| Rilevatore di token | Analizza i contratti dei token alla ricerca di schemi fraudolenti. | tokensniffer.com |
| GeckoTerminal | Mostra liquidità, detentori, stato di blocco | geckoterminal.com |
| DEXTools | Analisi dei token in tempo reale, punteggi di audit | dextools.io |
| RugDoc | revisioni dei rischi dei progetti DeFi | rugdoc.io |
| GoPlus Security | API per il rilevamento della sicurezza dei token | gopluslabs.io |
| Etherscan/BscScan | Leggere i contratti, distribuzione degli assegni | etherscan.io |
Prima di acquistare un nuovo token, analizzalo almeno con Token Sniffer. Bastano 30 secondi e il programma individua automaticamente la maggior parte delle honeypot e delle truffe legate alla funzione di conio. Per un'analisi più approfondita, leggi il contratto su Etherscan. Se il contratto non è verificato (il codice sorgente non è pubblicato), non acquistarlo. Punto.
Vorrei però essere realista su un punto. Questi strumenti smascherano i truffatori più pigri. Un team ben finanziato che assume sviluppatori Solidity competenti può scrivere un contratto che superi i controlli automatici e che contenga comunque un meccanismo di frode nascosto nella logica. Nessuno strumento può sostituire la comprensione di ciò che si sta acquistando. Se non siete in grado di leggere un contratto intelligente da soli, almeno affidatevi a progetti che siano stati sottoposti a revisione da parte di società verificabili e tenete presente che anche i progetti sottoposti a revisione sono stati testati (il revisore esamina un'istantanea, non ogni azione futura del team).
La migliore difesa in assoluto non è uno strumento, bensì la gestione oculata delle posizioni. Non investire denaro in un nuovo token che non puoi permetterti di perdere completamente. Se consideri ogni progetto non ancora collaudato come una potenziale scommessa rischiosa, ridurrai le tue puntate a tal punto che, in caso di perdite ingenti, il danno si farà sentire più per il tuo orgoglio che per il tuo portafoglio.
È illegale tirare i tappeti?
In breve: gli hard rug pull sono illegali praticamente ovunque. Incorporare una funzione di drain in uno smart contract per rubare i depositi degli utenti è frode, punto e basta. I fondatori di Frosties NFT sono accusati di frode telematica a livello federale negli Stati Uniti. La Turchia ha condannato il fondatore di Thodex a 11.196 anni di carcere, una pena che può essere impressionante o assurda a seconda di come la si pensi sul sistema giudiziario turco.
Le operazioni di "soft rug pull" sono dove la questione si complica legalmente. Se hai creato un token, lo hai pubblicizzato e poi hai venduto i tuoi token quando il prezzo ha raggiunto il picco, hai commesso un reato o hai semplicemente venduto la tua proprietà? La risposta dipende dal fatto che il token sia considerato un titolo finanziario ai sensi della legge del tuo paese. La SEC si è impegnata a fondo per classificare un maggior numero di token come titoli finanziari, il che renderebbe le operazioni di "pump-and-dump" chiaramente perseguibili. Tuttavia, non ha vinto tutte le cause e l'applicazione della legge è frammentaria tra le diverse giurisdizioni.
Ecco la parte che conta davvero per le vittime: anche quando un furto di criptovalute è palesemente criminale, recuperare i propri soldi è praticamente impossibile. Le criptovalute rubate vengono instradate attraverso Tornado Cash, trasferite su diverse blockchain e mescolate finché le tracce non si perdono. Chainalysis e altre società di analisi forense blockchain a volte riescono a tracciare il flusso e hanno aiutato le forze dell'ordine in alcuni casi di alto profilo. Ma per la persona media che ha perso 5.000 dollari su un memecoin che è crollato a zero, nessuno sta indagando sul suo caso. I soldi sono spariti. Questa è la brutale verità dell'autocustodia: lo stesso sistema che ti protegge dalle banche significa anche che non c'è una banca da chiamare quando vieni derubato.
