러그풀, 어떻게 피할 수 있을까?

2022-09-08

러그풀이란?

양탄자(Rug)를 잡아당겨(Pull) 그 위에 있는 사람들을 넘어뜨린다는 말에서 유래된 러그풀(Rug Pull)은 디지털자산 프로젝트가 프로젝트를 갑작스럽게 중단하거나 잠적하여 투자금을 훔치는 형태의 투자사기를 뜻합니다. 디지털자산에 관한 관심이 증대하면서 러그풀로 인해 수많은 투자자가 피해를 입고 있습니다.


지난 2021년 말, 넷플릭스에서 인기리에 방영한 오징어 게임의 이름을 따 만들어진 스퀴즈 코인(Squid Coin) 프로젝트가 러그풀의 대표적인 사례라고 할 수 있습니다. 당시 익명의 개발자가 유명세를 탄 드라마의 이름을 따 프로젝트를 만든 후 갑자기 종적을 감추는 바람에 약 43,000명 이상의 투자자가 큰 피해를 입었습니다.



하드 러그풀과 소프트 러그풀

러그풀도 하드 러그풀과 소프트 러그풀로 구분할 수 있습니다.


하드 러그풀은 프로젝트의 스마트 컨트랙트 자체에 악의적인 코드(매매 제한, 유동성 조작 등)를 삽입한 의도적인 사기입니다. 반면 소프트 러그풀은 의도적이지 않지만, 모종의 이유로 토큰을 덤핑하거나 프로젝트를 포기하는 행위입니다. 


안타깝지만 이같은 러그풀이 발생했을 경우 이를 추적하여 기소하는 것은 쉽지 않습니다. 아직 디지털자산의 법적 지위가 모호하고, 디파이(DeFi) 투자자를 보호하기 위한 법적, 제도적 여건들이 완전하게 갖추어지지 않은 까닭입니다.


러그풀 피하는 법

디지털자산 투자자들이 러그풀로 인한 손해를 예방하기 위해서는 다음 사항을 유심히 살펴봐야 합니다.


첫째, 개발자를 신뢰할 수 있는지 확인해야 합니다. 만약 익명의 개발자가 진행하는 프로젝트라면 더욱 주의해야 합니다.


둘째, 신뢰할 수 있는 스마트 컨트랙트 감사기관으로부터 코드 감사를 받았는지 확인해야 합니다. 물론, 외부 감사를 진행했다 하더라도 100% 안전을 보장하지는 않지만 꼼꼼히 확인하는 것이 중요합니다.


셋째, 코드가 오픈소스로 공개되어 있는지 확인해야 합니다. 만약 오픈소스가 아니라면 개발자가 약속하는 내용이 스마트 컨트랙트 코드와 일치하여 신뢰할 수 있는지 확인해야 합니다.