Autores originales: Dessislava Aubert, Anastasia Melachrinos.
Traducción del original: Block unicorn
El 9 de octubre de 2024, tres creadores de mercado —ZM Quant, CLS Global y MyTrade— y sus empleados fueron acusados de realizar transacciones de lavado y conspiración en nombre de la empresa de criptomonedas y su token NexFundAI. Según la evidencia recopilada por el FBI, un total de 18 personas y entidades enfrentan cargos.
En este análisis profundo, analizaremos los datos en cadena de la criptomoneda NexFundAI para identificar patrones de transacciones de lavado que pueden extenderse a otras criptomonedas y cuestionar la liquidez de ciertos tokens. Además, exploraremos otras estrategias de lavado en DeFi y cómo identificar actividades ilegales en plataformas centralizadas.
Finalmente, también investigaremos el comportamiento de elevación de precios en el mercado coreano, que difumina la línea entre la eficiencia del mercado y la manipulación.
El FBI identifica transacciones de lavado en los datos de tokens.
NexFundAI es un token emitido en mayo de 2024 por una empresa creada por el FBI, destinada a exponer la manipulación del mercado en criptomonedas. La empresa acusada realiza operaciones de lavado y otras tácticas manipulativas en nombre de sus clientes, generalmente en intercambios DeFi como Uniswap. Estas prácticas se dirigen a tokens recién emitidos o de baja capitalización, creando la ilusión de un mercado activo para atraer a inversores reales, lo que finalmente eleva el precio del token y aumenta su visibilidad.
La investigación del FBI ha producido confesiones claras, donde los involucrados describieron en detalle sus pasos operativos e intenciones. Algunos incluso afirmaron explícitamente, 'así es como hacemos mercado en Uniswap'. Sin embargo, este caso no solo proporciona evidencia verbal, sino que también muestra a través de datos la verdadera naturaleza de las transacciones de lavado en DeFi, lo que analizaremos en profundidad a continuación.
Para comenzar nuestra exploración de datos sobre el token falso NexFundAI (código de Kaiko: NEXF) del FBI, primero examinaremos los datos de transferencia en cadena del token. Estos datos proporcionan el camino completo desde la emisión del token, incluyendo todas las billeteras y direcciones de contratos inteligentes que tienen estos tokens.
Los datos muestran que el emisor del token transfirió los fondos del token a una billetera de un creador de mercado, que luego distribuyó los fondos a decenas de otras billeteras, que están marcadas en el gráfico con un grupo denso de color azul oscuro.
Luego, estos fondos se utilizaron para realizar transacciones de lavado en Uniswap, el único mercado secundario creado por los emisores, que se encuentra en el centro del gráfico, siendo el punto de intersección de casi todas las billeteras que reciben y/o transfieren ese token (durante el período de mayo a septiembre de 2024).
Estos hallazgos refuerzan aún más la información revelada por las operaciones encubiertas del FBI. La empresa acusada utilizó múltiples bots y cientos de billeteras para realizar transacciones de lavado, sin despertar sospechas entre los inversores que intentaban aprovechar oportunidades tempranas.
Para afinar nuestro análisis y confirmar que ciertas transferencias de billetera tienen naturaleza fraudulenta, especialmente las billeteras dentro del grupo denso, registramos las fechas en que cada billetera recibió su primera transferencia, observando todos los datos en cadena y no limitándonos solo a las transferencias del token NexFundAI. Los datos muestran que en una muestra de 485 billeteras, 148 billeteras (es decir, 28%) compartían el mismo bloque de la primera transferencia de fondos con al menos 5 otras billeteras.
Para un token de bajo perfil como este, un patrón de transacciones así es casi imposible. Por lo tanto, es razonable suponer que al menos estas 138 direcciones están relacionadas con algoritmos de transacción, posiblemente utilizados para realizar transacciones de lavado.
Para confirmar además las transacciones de lavado involucradas con este token, analizamos los datos del mercado de su único mercado secundario existente. Al compilar el volumen diario de transacciones en el mercado de Uniswap y comparar el volumen de compras y ventas, encontramos una sorprendente simetría entre ambos. Esta simetría sugiere que la empresa creadora de mercado está cubriendo el monto total entre todas las billeteras que participan en las transacciones de lavado diariamente.
Al examinar en profundidad el nivel de transacciones individuales y marcar las transacciones por dirección de billetera, también descubrimos que ciertas direcciones ejecutaron exactamente las mismas transacciones (mismo monto y marca de tiempo) en un mes de actividad transaccional, lo que indica que estas direcciones utilizaron estrategias de lavado, lo que también sugiere que estas direcciones están interrelacionadas.
Investigaciones adicionales indican que, al usar la solución de datos de Wallet de Kaiko, descubrimos que estas dos direcciones, aunque nunca han interactuado directamente en la cadena, fueron financiadas por la misma dirección de billetera que proporciona fondos WETH: 0x4aa6a6231630ad13ef52c06de3d3d3850fafcd70. Esta billetera se financió a través de un contrato inteligente de Railgun. Según la información del sitio oficial de Railgun, 'RAILGUN es un contrato inteligente diseñado para proporcionar privacidad en el comercio de criptomonedas para traders profesionales y usuarios de DeFi'. Estos hallazgos indican que estas direcciones de billetera pueden estar involucradas en ciertos comportamientos que necesitan ser ocultados, como la manipulación del mercado o situaciones aún más graves.
El fraude en DeFi va más allá de NexFundAI.
Las conductas manipulativas en DeFi no se limitan a la investigación del FBI. Nuestros datos muestran que en más de 200,000 activos en intercambios descentralizados de Ethereum, muchos carecen de un uso real y son controlados por una sola persona.
Algunos emisores de tokens en Ethereum crean grupos de liquidez a corto plazo en Uniswap. Controlando la liquidez dentro del grupo y utilizando múltiples billeteras para realizar transacciones de lavado, aumentan el atractivo del grupo para atraer a inversores minoristas, acumulando ETH y luego vendiendo sus tokens. Según los datos de Wallet de Kaiko, el análisis de cuatro criptomonedas muestra que esta operación puede lograr un retorno de 22 veces la inversión inicial en ETH en aproximadamente 10 días. Este análisis revela un comportamiento fraudulento ampliamente presente entre los emisores de tokens, que ha superado el alcance de la investigación del FBI sobre NexFundAI.
Patrón de datos: tomando como ejemplo el token GIGA2.0.
Un usuario (por ejemplo, 0x33ee6449b05193766f839d6f84f7afd5c9bb3c93) recibió (y lanzó) la totalidad de la oferta de un nuevo token desde una dirección (por ejemplo, 0x000).
Los usuarios transfirieron inmediatamente (dentro del mismo día) estos tokens y parte de ETH para crear un nuevo grupo de liquidez en Uniswap V2. Dado que toda la liquidez fue contribuida por los usuarios, recibió tokens UNI-V2 que representan su contribución.
En promedio, 10 días después, el usuario retira toda la liquidez, quema los tokens UNI-V2 y retira las ganancias adicionales de ETH obtenidas por tarifas de transacción.
Al analizar los datos en cadena de estos cuatro tokens, descubrimos que el mismo patrón se repite, lo que indica que la manipulación a través de operaciones automatizadas y repetitivas tiene como único objetivo obtener ganancias.
La manipulación del mercado no se limita a DeFi.
Si bien la investigación del FBI ha expuesto efectivamente estas conductas, el abuso del mercado no es exclusivo de las criptomonedas o DeFi. En 2019, el CEO de Gotbit habló públicamente sobre su negocio poco ético que ayudaba a proyectos de criptomonedas a 'disfrazarse con éxito', aprovechando la tolerancia de intercambios pequeños hacia estas prácticas. El CEO de Gotbit y sus dos directores también fueron acusados en este caso por involucrarse en manipulación de múltiples criptomonedas utilizando métodos similares.
Sin embargo, detectar este tipo de manipulación en intercambios centralizados es más difícil. Estos intercambios solo muestran el libro de órdenes y los datos de transacciones a nivel del mercado, lo que dificulta la identificación precisa de transacciones falsas. Aun así, comparar patrones de transacciones y métricas de mercado entre intercambios sigue siendo útil para detectar problemas. Por ejemplo, si el volumen de transacciones supera significativamente la liquidez (1% de profundidad de mercado), podría estar relacionado con transacciones de lavado.
Los datos muestran que los activos con más de 100 veces la relación de volumen a liquidez son los más comunes en HTX y Poloniex. Normalmente, los tokens meme, tokens de privacidad y altcoins de baja capitalización muestran relaciones de volumen a profundidad anormalmente altas.
Es importante señalar que la relación de volumen a liquidez no es un indicador perfecto, ya que el volumen puede aumentar significativamente debido a actividades promocionales de ciertos intercambios (como promociones de cero tarifas). Para evaluar con mayor certeza el volumen de transacciones falsas, podemos examinar la correlación del volumen de transacciones entre intercambios. Normalmente, la tendencia de volumen de transacciones de un activo entre diferentes intercambios está relacionada y muestra consistencia a largo plazo. Si el volumen de transacciones es monotonamente creciente durante mucho tiempo, hay largos periodos sin transacciones, o hay diferencias significativas entre diferentes intercambios, esto podría indicar la existencia de actividades de transacciones anómalas.
Por ejemplo, al observar el token PEPE en ciertos intercambios, notamos que el volumen de transacciones en HTX difiere significativamente del de otras plataformas en 2024. En HTX, el volumen de transacciones de PEPE se mantuvo alto durante julio, incluso aumentando, mientras que en la mayoría de los otros intercambios, el volumen de transacciones disminuyó.
Un análisis adicional de los datos de transacciones muestra que hay transacciones algorítmicas activas en el mercado PEPE-USDT en HTX. En un solo día del 3 de julio, hubo 4200 órdenes de compra y venta de 1M PEPE, con un promedio de aproximadamente 180 órdenes por hora. Este patrón de transacciones contrasta marcadamente con las transacciones en Kraken, que son más naturales y orientadas al retail, con tamaños y tiempos de transacción irregulares.
Días similares también se observaron en otras fechas de julio. Por ejemplo, entre el 9 y el 12 de julio, se realizaron más de 5900 transacciones de compra y venta de 2M PEPE.
Hay muchas señales que indican la posible existencia de lavado automatizado, incluyendo una alta relación de volumen a profundidad, patrones de transacciones semanales inusuales, tamaños fijos de órdenes repetidas y ejecuciones rápidas. En las transacciones de lavado, la misma entidad coloca simultáneamente órdenes de compra y venta para inflar el volumen de transacciones, haciendo que el mercado parezca más líquido.
La delgada línea entre la manipulación del mercado y el desequilibrio de eficiencia.
La manipulación del mercado en el mercado de criptomonedas a veces se confunde con arbitraje, que es aprovechar el desequilibrio de eficiencia del mercado para obtener ganancias.
Por ejemplo, el fenómeno de 'pump and dump' es común en el mercado coreano (después de atraer a comerciantes minoristas, vacían los fondos del grupo). Los comerciantes utilizan pausas temporales en depósitos y retiros para inflar artificialmente el precio de los activos y obtener ganancias. Un caso típico ocurrió en 2023, cuando el token nativo de Curve (CRV) fue suspendido en varias bolsas coreanas debido a un ataque hacker.
El gráfico muestra que cuando Bithumb suspendió los depósitos y retiros del token CRV, una gran cantidad de órdenes de compra impulsaron el precio a un aumento significativo, pero luego rápidamente retrocedió a medida que comenzaba la venta. Durante el período de suspensión, los aumentos de precios breves causados por compras fueron seguidos inmediatamente por ventas. En general, el volumen de ventas superó claramente al volumen de compras.
Una vez finalizada la suspensión, el precio cae rápidamente, ya que los comerciantes pueden fácilmente comprar y vender entre intercambios para arbitrar. Este tipo de suspensión suele atraer a comerciantes minoristas y especuladores que anticipan que los precios aumentarán debido a la liquidez restringida.
Conclusión
La identificación de la manipulación del mercado en el mercado de criptomonedas aún se encuentra en una etapa temprana. Sin embargo, la combinación de datos y evidencia de investigaciones anteriores ayuda a los reguladores, intercambios e inversores a abordar mejor los problemas de manipulación del mercado en el futuro. En el ámbito de DeFi, la transparencia de los datos de blockchain ofrece oportunidades únicas para detectar transacciones de lavado de varios tipos de tokens, lo que a su vez mejora gradualmente la integridad del mercado. En los intercambios centralizados, los datos del mercado pueden revelar nuevos problemas de abuso del mercado y gradualmente alinear los intereses de ciertos intercambios con el interés público. A medida que la industria de criptomonedas avanza, utilizar todos los datos disponibles ayuda a reducir comportamientos indebidos y crea un entorno de negociación más justo.
