Qu’est-ce qu’un rug pull en crypto ? Définition, mécanique et comment s’en protéger en 2026

Imagine que tu investis 5 000 euros dans un nouveau projet crypto qui promet « 100 fois ton capital ». La communauté Discord est en effervescence, des influenceurs en parlent partout sur X, le cours du token monte rapidement. Et puis, du jour au lendemain, le projet disparaît : site web hors ligne, équipe injoignable, token sans valeur, fonds envolés. Tu viens de te faire « rug pull ».

Le rug pull est l’une des arnaques les plus redoutées de l’écosystème crypto. Selon les estimations sectorielles, 24 % des tokens lancés en 2022 étaient en réalité des rug pulls ou des schémas de pump and dump. Et chaque année, des dizaines de milliers de personnes y laissent leurs économies. Pourtant, les mécaniques se ressemblent toujours, et apprendre à les reconnaître peut éviter la quasi-totalité des pièges. 

Qu’est-ce qu’un rug pull en crypto ? La définition simple

Un rug pull (littéralement « tirer le tapis ») est une escroquerie dans laquelle les développeurs d’un projet crypto abandonnent soudainement le projet en s’enfuyant avec les fonds des investisseurs. Les détenteurs de tokens se retrouvent alors avec des actifs sans valeur, sans recours et sans possibilité de récupérer leur argent.

L’expression vient de l’anglais « to pull the rug out from under someone » — tirer le tapis sous les pieds de quelqu’un pour le faire tomber brutalement. Dans le contexte financier, le « tapis » désigne la liquidité qui soutient le token : sans liquidité, plus personne ne peut revendre ses tokens à un prix décent.

Le phénomène est apparu massivement pendant le « DeFi summer de 2020 », période d’explosion des plateformes de finance décentralisée. La création de tokens était devenue extrêmement simple sur Uniswap (un échange décentralisé sur Ethereum) : quelques lignes de code, un pool de liquidité, et n’importe qui pouvait lancer son token en quelques minutes. Pour comprendre l’environnement dans lequel ces escroqueries prospèrent, il faut d’abord avoir en tête le fonctionnement de la blockchain et ses principes de décentralisation, qui rendent à la fois la création de tokens facile et le recours juridique compliqué.

Comment fonctionne un rug pull en 3 étapes

La mécanique d’un rug pull suit presque toujours le même scénario, qui se déroule en trois temps.

Étape 1 — Préparation. Les escrocs créent un nouveau token sur une blockchain compatible (le plus souvent un ERC-20 sur Ethereum ou un BEP-20 sur BNB Chain). Ils le listent sur un échange décentralisé (DEX) comme Uniswap ou PancakeSwap, puis créent un pool de liquidité en associant leur token à une cryptomonnaie populaire (ETH, USDT, BNB).

Étape 2 — Hype. Une fois le token disponible, les escrocs lancent une campagne marketing agressive pour attirer un maximum d’investisseurs. Méthodes classiques : influenceurs crypto payés, partenariats fictifs annoncés (« partenariat avec Mastercard »), faux endorsements de célébrités, promesses de rendement de 100 ou 1 000 fois. L’objectif est de créer un effet FOMO (Fear of Missing Out — peur de rater une opportunité) qui pousse les investisseurs à acheter sans réfléchir.

Étape 3 — Pull. Une fois le prix du token au plus haut et la liquidité conséquente, les développeurs drainent le pool de liquidité en une seule opération. Le cours s’effondre instantanément vers zéro, les investisseurs ne peuvent plus revendre leurs tokens à un prix décent, et les escrocs disparaissent avec les fonds. L’opération entière, de la création à la fuite, peut prendre quelques semaines, voire quelques jours.

Les 3 types de rug pull : hard, soft et honeypot

Tous les rug pulls ne fonctionnent pas exactement de la même manière. On distingue trois grandes catégories selon la mécanique de fuite.

1. Le hard rug pull — Le plus violent. Les développeurs codent dans le smart contract une fonction de retrait privilégié qui leur permet de drainer instantanément l’intégralité du pool de liquidité. C’est la version « éclair » : le pool est vidé en une transaction, le cours s’effondre à zéro en quelques minutes, les investisseurs n’ont aucun temps de réaction.
2. Le soft rug pull — Plus subtil. Les développeurs vendent progressivement leurs propres tokens au fur et à mesure que le cours monte, parfois sur plusieurs semaines ou mois. Ils gardent le projet « vivant » en apparence (Discord actif, communications régulières) jusqu’à ce que la majorité des tokens en leur possession soient écoulés. On parle aussi de « slow rug ». Plus difficile à détecter à temps.
3. Le honeypot (« pot de miel ») — Le plus pervers. Le smart contract est codé pour empêcher les utilisateurs de revendre le token. Concrètement, on peut acheter le token mais pas le revendre — seuls les développeurs ont les droits de vente. Les investisseurs s’aperçoivent du piège uniquement quand ils essaient de prendre leurs bénéfices. À ce moment-là, leurs fonds sont déjà bloqués.

Les rug pulls les plus célèbres : Squid Game Token, AnubisDAO, OneCoin

L’histoire récente de la crypto est jalonnée de rug pulls spectaculaires. Voici les cas les plus marquants à connaître.

Squid Game Token (2021) — Profitant de la sortie de la série Netflix Squid Game, des escrocs ont lancé un token censé permettre de participer à un jeu en ligne basé sur la série. Le token a explosé en quelques jours, atteignant un prix astronomique. Puis, en quelques minutes, les développeurs ont drainé le pool, empochant environ 3,4 millions de dollars et laissant les investisseurs avec un token tombé à zéro.

AnubisDAO (2021) — Un projet présenté comme un fork de OlympusDAO qui promettait une nouvelle « monnaie de réserve décentralisée ». Quelques heures après le lancement, 60 millions de dollars de liquidités ont été transférés sur un wallet privé. Le compte Twitter du projet a disparu dans la foulée.

Thodex (2021) — Plateforme d’échange centralisée turque. Son fondateur Faruk Fatih Özer a fui à l’étranger avec 2 milliards de dollars appartenant à ses 400 000 utilisateurs. Il a été arrêté en Albanie en 2022 et condamné à plusieurs siècles de prison cumulés.

OneCoin (2014-2017) — Bien que techniquement plus proche d’un schéma de Ponzi, OneCoin est souvent cité comme l’un des plus grands rug pulls de l’histoire. Sa fondatrice, Ruja Ignatova surnommée « The CryptoQueen », a levé au moins 4 milliards de dollars auprès de centaines de milliers d’investisseurs dans le monde. Elle est aujourd’hui la seule femme sur la liste des dix personnes les plus recherchées par le FBI, toujours en fuite depuis 2017.

Ces cas illustrent la diversité des montages, mais aussi la récurrence des signaux d’alerte que nous allons détailler ci-dessous.

Pourquoi les rug pulls sont si fréquents dans la crypto

Quatre facteurs structurels expliquent la prolifération des rug pulls dans l’écosystème.

1. La facilité de création de tokens. Créer un token ERC-20 sur Ethereum ou un BEP-20 sur BNB Chain prend quelques minutes et coûte quelques dizaines de dollars. Aucune autorisation, aucun KYC, aucune vérification préalable n’est requise sur les blockchains publiques.
2. L’anonymat des développeurs. Beaucoup de projets crypto sont lancés par des équipes totalement anonymes, identifiées uniquement par des pseudonymes. En cas de fraude, retrouver les auteurs devient extrêmement difficile.
3. L’irréversibilité des transactions blockchain. Une fois les fonds transférés sur un wallet « clean » et mixés via des outils dédiés (Tornado Cash, etc.), il est presque impossible de remonter la piste. Les transactions ne peuvent pas être annulées.
4. Le manque d’éducation des investisseurs. Beaucoup d’investisseurs débutants entrent dans la crypto sans avoir les bases techniques pour évaluer un projet sérieux. C’est précisément pour cela que les ressources pour bien débuter dans l’univers Blockchain sont essentielles avant tout investissement.

Comment éviter un rug pull : 10 signaux d’alerte à vérifier

La bonne nouvelle : la due diligence (vérification rigoureuse avant d’investir) permet d’éviter la grande majorité des rug pulls. Voici les 10 signaux d’alerte à examiner systématiquement.

Les trois vérifications les plus importantes :

• L’audit du smart contract par un cabinet indépendant (CertiK, Hacken, Quantstamp). Un audit valide ne garantit pas l’absence de fraude, mais son absence est un signal d’alerte majeur.
• Le verrouillage de la liquidité (« liquidity lock »). Les développeurs sérieux bloquent la liquidité du pool pendant plusieurs mois ou années via des services comme Unicrypt ou Team.Finance. Cela rend matériellement impossible un hard rug pull.
• L’identité de l’équipe. Les projets sérieux ont des fondateurs identifiés, avec un historique professionnel vérifiable sur LinkedIn et une réputation en jeu.

Que faire si on a été victime d’un rug pull

La triste réalité : moins de 5 % des fonds extraits par rug pull sont récupérés, selon les données sectorielles 2024-2025. Mais quelques actions restent recommandées si tu as été victime.

1. Documenter immédiatement. Capturer les transactions blockchain, les communications du projet (Discord, Telegram, X), les liens vers les wallets impliqués. Ces preuves seront utiles pour les enquêtes futures et potentiellement pour une déduction fiscale au titre de perte théorique.
2. Signaler aux autorités. Aux États-Unis, déposer un rapport à IC3 (Internet Crime Complaint Center du FBI). En France, déposer plainte auprès de la police judiciaire spécialisée en cybercriminalité et faire un signalement à l’AMF (Autorité des Marchés Financiers).
3. Soumettre des informations à Chainalysis. Cette société spécialisée dans l’analyse blockchain travaille avec les autorités pour traquer les fonds dérobés. Une « tip » bien documentée peut contribuer à l’identification future des escrocs.
4. Surveiller les exchanges centralisés. Si les escrocs déposent leurs fonds sur un exchange centralisé (Binance, Coinbase, Kraken) qui coopère avec les autorités, un gel peut être obtenu dans certains cas. C’est presque toujours la seule voie de récupération.
5. Ne pas tomber dans la « recovery scam ». Après un rug pull, les victimes sont souvent ciblées par de nouveaux escrocs qui promettent de récupérer les fonds moyennant un paiement. Ces offres sont systématiquement frauduleuses.

Rug pull et régulation en 2026 : MiCA en Europe, wire fraud aux États-Unis

La régulation des rug pulls évolue rapidement en 2026, même si elle reste insuffisante.

En Europe : MiCA. Le règlement européen sur les marchés de crypto-actifs (Markets in Crypto-Assets), pleinement en vigueur depuis 2025, qualifie les rug pulls de fraude et de manipulation de marché. Les plateformes agréées CASP (Crypto-Asset Service Provider) sont tenues d’effectuer une diligence raisonnable sur les tokens qu’elles listent. Cela ne supprime pas les rug pulls mais en limite la diffusion sur les plateformes régulées.

Aux États-Unis : wire fraud et securities violations. Les rug pulls sont poursuivables comme wire fraud (fraude par communication électronique) au niveau fédéral, et potentiellement comme violation des lois sur les valeurs mobilières si la SEC considère le token comme un « security ». Les peines peuvent atteindre 20 ans de prison par chef d’accusation.

En France : l’AMF (Autorité des Marchés Financiers) supervise désormais les CASP via le régime issu de MiCA. Les plateformes régulées comme Coinhouse (première à avoir obtenu le statut PSAN, désormais CASP) sélectionnent rigoureusement les crypto-actifs qu’elles proposent, ce qui limite l’exposition des utilisateurs aux projets douteux.

L’enjeu juridique de fond : le fait qu’un rug pull se déroule sur la blockchain ne change rien à sa qualification légale. C’est une escroquerie, poursuivable comme telle. Mais la difficulté d’identifier les auteurs et de récupérer les fonds reste le talon d’Achille de la régulation actuelle.

Questions fréquentes sur les rug pulls en crypto

Qu’est-ce qu’un rug pull en termes simples ? Un rug pull est une escroquerie dans laquelle les développeurs d’un projet crypto abandonnent soudainement le projet en s’enfuyant avec les fonds des investisseurs. Le terme vient de l’expression anglaise « tirer le tapis sous les pieds de quelqu’un » — l’idée d’un effondrement soudain et sans avertissement.

Quels sont les types de rug pull ? Trois types principaux. Le hard rug pull : retrait instantané de toute la liquidité par les développeurs en une transaction. Le soft rug pull (ou « slow rug ») : vente progressive des tokens des développeurs sur plusieurs semaines ou mois. Le honeypot : le smart contract est codé pour empêcher les utilisateurs de revendre, seuls les développeurs peuvent vendre.

Comment reconnaître un rug pull avant qu’il ne se produise ? Plusieurs signaux d’alerte : équipe totalement anonyme, absence d’audit indépendant du smart contract, liquidité non bloquée, répartition déséquilibrée des tokens (développeurs >20 %), whitepaper vide, promesses de rendement x100 ou x1000, communauté avec engagement artificiel, promotion massive par influenceurs payés, pression FOMO et urgence artificielle.

Quels sont les rug pulls les plus célèbres ? Squid Game Token en 2021 (3,4 M$ extraits), AnubisDAO la même année (60 M$), Thodex en 2021 (2 milliards $ par le fondateur Faruk Fatih Özer en Turquie), et OneCoin de Ruja Ignatova (au moins 4 milliards $ levés, fondatrice toujours en fuite, seule femme sur la liste des 10 personnes les plus recherchées par le FBI).

Peut-on récupérer ses fonds après un rug pull ? C’est très difficile. Selon les données sectorielles 2024-2025, moins de 5 % des fonds rug pull sont récupérés. Les blockchains étant irréversibles et les escrocs utilisant des outils pour brouiller les pistes, la seule voie de récupération réaliste passe par les exchanges centralisés coopérant avec les autorités, dans le cas où les fonds y sont déposés.

Les rug pulls sont-ils illégaux ? Oui. Un rug pull est une escroquerie au sens classique du droit pénal, et le fait qu’il se déroule sur la blockchain ne change rien à sa qualification. Aux États-Unis, il est poursuivable comme wire fraud (jusqu’à 20 ans de prison par chef d’accusation). En Europe, il relève de la fraude et de la manipulation de marché sous MiCA. En France, il est qualifié d’escroquerie en bande organisée selon les cas.

Comment se protéger d’un rug pull en 2026 ? Trois précautions principales : vérifier l’audit indépendant du smart contract (CertiK, Hacken, Quantstamp), vérifier que la liquidité est bloquée pour plusieurs mois ou années via Unicrypt ou Team.Finance, et privilégier les plateformes régulées (Coinhouse, Bitpanda) qui sélectionnent rigoureusement les crypto-actifs proposés.

Ce qu’il faut retenir

Un rug pull est une escroquerie crypto dans laquelle les développeurs d’un projet disparaissent avec les fonds des investisseurs, laissant les détenteurs de tokens avec des actifs sans valeur. Selon les estimations, 24 % des tokens lancés en 2022 étaient des rug pulls ou des pump and dump. Trois mécaniques principales existent : hard rug pull (retrait instantané de toute la liquidité), soft rug pull (vente progressive des tokens des développeurs) et honeypot (smart contract empêchant la revente). Les cas célèbres — Squid Game Token, AnubisDAO, Thodex, OneCoin — illustrent l’ampleur potentielle du phénomène. La bonne nouvelle : la due diligence permet d’éviter la quasi-totalité des pièges. Vérifications essentielles : audit indépendant du smart contract, liquidité bloquée, équipe identifiée, plateforme régulée. La régulation progresse : MiCA en Europe, wire fraud aux États-Unis, mais la récupération des fonds reste extrêmement difficile (moins de 5 % récupérés). Le meilleur antidote au rug pull restera toujours la prudence avant l’investissement.