零基础教程：如何避开“百倍币”陷阱

January 15th, 2025

在区块链的光辉下，比特币、以太坊、NFT 等新兴技术让人眼花缭乱，仿佛财富触手可及。然而，区块链并非纯净乐园，在这片看似自由的领域，埋伏着无数“百倍币”的陷阱，等着那些怀揣一夜暴富梦想的新人上钩。

最致命的陷阱之一，就是币圈臭名昭著的 Rug Pull（拽地毯）。根据 CertiK 的数据显示，以太坊上每两个新代币里，就有一个是骗局。

CertiK 的安全团队统计了 2023 年 11 月到 2024 年 8 月间的代币数据，发现以太坊主网上每两个新代币中就有一个是 Rug Pull。仅 Telegram 推送的 93,930 种新代币中，就有 49.53% 是骗局，诈骗金额高达 8 亿美元！

今天，我将为你深度剖析 Rug Pull 的真面目。读完这篇文章，你不仅能看清骗子的套路，还能学会如何保护自己的资产，让区块链真正成为改变人生的力量，而不是吞噬财富的陷阱。

1. 什么是 Rug Pull？

“Rug Pull” 字面的意思是“拽地毯”。想象一下，你站在一块地毯上，突然有人猛地一扯，你当场摔个四脚朝天。以下是 Rug Pull 的加密版：

骗子创建一个新代币，包装成“百倍币”“千倍币”“下一个比特币”；
他们吸引投资者大笔买入，营造出一片欣欣向荣的假象；
当资金池里攒够了钱，骗子通过隐藏的代码后门抽走资金，消失得无影无踪。

投资者呢？一脸懵，钱包空。这不是个别现象，而是区块链世界中一场持续的“瘟疫”，甚至可以说变成了一种“生意”。为什么会这样呢？原因也很简单：

谁都能发币：在区块链上发行一个代币，比你点一杯奶茶还容易。骗子只需复制几行代码，就能制造一个“新项目”。
缺乏监管：去中心化交易所（DEX）对代币没有任何审核机制，骗子想上就上。
贪婪的温床：很多人抱着“一夜暴富”的幻想，见到新币就冲，正中骗子下怀。

下面我们通过 CertiK 重点讲述的一个真实的案例来了解一下 Rug Pull 的全过程。

2. 案例：TOMMI 币骗局

这个案例堪称 Rug Pull 的“操作手册”，每一步都让人细思极恐。

第一步：发币，制造信任

骗子用地址 0x4bAF 创建了 TOMMI 代币，并投入 1.5 ETH 和 1 亿个 TOMMI 创建了流动性池。为了显得更加“正规”，他们销毁了所有 LP 代币，并把合约的所有权转移到 0 地址，让人觉得资金池“不可篡改”。

第二步：伪造热度，吸引投资

接下来，骗子用几个自己的小号开始买卖 TOMMI 代币，不断提升交易量。资金池看起来异常活跃，打新机器人和小白投资者一拥而上。大家都以为这是个即将起飞的“百倍币”，纷纷投钱。

第三步：Rug Pull，一夜跑路

等资金池里的 ETH 积累到一定程度，骗子通过合约中的后门，直接从资金池抽走了 3.95 ETH。然后，他们迅速把钱转到中转地址 0xD921，最后转入资金留存地址 0x2836。整个骗局在短短几小时内结束，骗子赚得盆满钵满，而投资者只能目瞪口呆。

3. 用户上当的关键点在哪里？

销毁 LP 代币 + 转移新币合约的所有权 = 上当的关键点

为什么这样说呢？

因为销毁 LP 代币和转移新币合约的所有权，是骗子精心设计的两块“烟雾弹”，用来蒙蔽投资者和链上狙击机器人，让大家误以为资金安全，从而放心大胆地投入。我们来逐一拆解一下，看看这两招到底有多阴险。

3.1 销毁 LP 代币：完美伪装的“安全承诺”

销毁 LP 代币是什么意思？简单来说，流动性提供者（也就是骗子）把代币和 ETH 投入流动性池后，会获得 LP（流动性提供者）代币。这个 LP 代币就像是流动性池的“钥匙”，有了它，就能随时赎回投入的资金。销毁 LP 代币看起来像是在说：“我们连‘钥匙’都扔了，这池子里的钱再也动不了了！”

投资者一看，觉得这项目靠谱，资金池是锁死的，骗子跑不掉，就放心入场。但实际上，这不过是一场障眼法！骗子早已在合约代码里埋下后门，即便 LP 代币被销毁，他们依然可以通过后门偷偷转走资金。

就像骗子在舞台上高喊：“看，我把保险箱的钥匙丢进了大海！” 但实际上，他们早已在保险箱背后装了一扇隐形门。销毁 LP 代币的目的，就是降低投资者的警惕性，营造一种“你很安全”的假象，让投资者乖乖往池子里投钱。

3.2 转移合约所有权：一招骗过打新机器人

如果说销毁 LP 代币是给投资者看的，那么转移合约所有权就是专门用来对付链上的打新机器人。这些机器人是区块链上的“智能侦探”，专门扫描新代币的合约，寻找其中是否存在 Rug Pull 风险。如果发现合约的所有权仍归开发者控制，机器人会提高警惕，甚至拒绝买入。

为了骗过这些打新机器人，骗子会在部署合约后，将所有权转移到一个“零地址”（0x000...000）。这就相当于告诉机器人：“瞧，我们项目方已经放权，不再掌控合约，你可以放心买入了！”

打新机器人一旦信了，就会自动买入，甚至带动更多小白投资者入场。可惜，转移新币合约所有权只是掩盖骗局的手段。骗子依然可以通过预先写好的合约后门来控制资金池。就像房东假装把房子“赠送”给公共基金会，但暗地里，他早就做好了备用钥匙，随时可以悄悄回来，把房子里的值钱东西搬走。

下面这段代码是合约里的 openTrading 函数，用来创建新的流动性池。

请注意看上图的方框部分

onInit(uniswapV2Pair, _chefAddress, type(uint)

就是后门函数，下面就是这个后门函数的代码。

上图方框中的 _allowances[owner][spender] = amount 函数的意思就是，让流动性池同意向骗子的地址转移一定数量代币。owner 是流动性池 uniswapV2Pair，spender 就是骗子的地址 _chefAddress 。

比较隐蔽的是 _chefAddress，它是在下面这个构造函数指定的，也就是说在创建这个代币合约的时候。

上面这些合约的内容，你可以在这里查看到。但是，如果你不懂智能合约，那么是根本不可能发现这个后门的。好在现在你也有可能发现这个后门了，因为我们有了 ChatGPT。

4. AI 帮助发现 Rug Pull 骗局

在这个地址，我复制出了 TOMMI 代币的所有合约代码。然后，我把这个合约的全部内容丢给了 ChatGPT o1，请它帮我分析一下里面可能存在的后门。果然名不虚传，o1 不但发现了上面的后门，而且还发现了其他的问题。

上图的方框里面就是 CertiK 的安全团队发现的后门，ChatGPT 也发现了。圆圈里面的内容：

黑名单（bot）机制：Owner 可以随时冻结任意地址的买卖功能。

黑名单（bot）机制是 ChatGPT 独立发现的。并且 ChatGPT 还给出了非常明确的安全警示。

如果你是打算持币或和这个合约进行交互的投资人/用户，需要特别注意：开发团队随时有能力冻结地址、调动合约中大量代币（尤其是流动性相关的代币）。换句话说，这份合约并不是一个去中心化、不可修改的“纯”ERC20——它更像是一个保留了较大操控空间的 Meme Token，需要非常谨慎。

也就是说，从此，即使你不懂合约，也可以在人工智能的帮助下来发现 Rug Pull 骗局了，感谢 OpenAI。我与 ChatGPT 对话的详细的内容你可以在这里查看。

但是，你不要以为有了人工智能的帮助就可以从此独步天下了，我们知道人工智能可以发现骗局，骗子当然也知道，俗话说：道高一尺魔高一丈。要想完全不落入 Rug Pull 的陷阱，只有人工智能是不够的。

5. 如何彻底避免落入 Rug Pull 陷阱？

记住两个关键原则：

币圈不是股市，投机更是九死一生
不想长期持有的代币，连一秒都别持有

为什么这么说？我们从逻辑和现实出发，来细细聊聊。

原则一：币圈投机九死一生

股市和币圈的最大区别是什么？公司有财务数据，代币却啥也没有。股票背后是企业，哪怕你买了一家亏损的公司，至少还能看到财务报表、行业前景，甚至还能听听管理层的发言。可币圈呢？一纸白皮书，加上一些天花乱坠的承诺，就能让人掏钱。

更可怕的是，区块链的去中心化设计，让骗子在币圈如鱼得水。他们利用技术手段隐藏真实身份，跑了也没人能找到。在这样的环境下，想靠投机赚快钱？就像在雷区里捡黄金，捡到的可能性还没你踩雷的概率高。

别被“一夜暴富”的故事迷惑，那些赚到钱的人不是你，也不会是你。散户想从币圈赚钱，唯一的办法就是：不要急功近利，先活下来！

原则二：代币短期看不懂，就别持有一秒

代币不是股票。股票背后是企业，而代币本质上只是一串代码。只要骗子愿意，他们可以随时发行一个新币，并用包装和营销手段吸引投资者买入。即便看起来是个有潜力的项目，短期的价格波动也是人为操控的重灾区。

为什么说不想持有一年，就别持有一秒？

因为短期代币投资就像买彩票，风险极高，收益靠运气。你可能觉得短期抛售能“跑得快”，但事实证明，Rug Pull 的发生速度通常比你想象的还要快。CertiK 的数据显示，超过 89.84% 的 Rug Pull 代币的生命周期不到 72 小时，其中 55.07% 的代币甚至在 3 小时内就完成了骗局！换句话说，你根本没有反应时间。

此外，如果一个项目真有长期价值，你也不需要急着在代币刚上线时冲进去。优质的项目会有持久的增长，而骗子的骗局只能靠短期的泡沫撑场面。让时间来验证代币的真伪，往往是最好的防守策略。