Auteur original : Dessislava Aubert, Anastasia Melachrinos
Traduction originale : Block unicorn
Le 9 octobre 2024, trois teneurs de marché - ZM Quant, CLS Global et MyTrade - ainsi que leurs employés ont été accusés de représenter des entreprises de cryptomonnaie et leur jeton NexFundAI dans des transactions de lavage d'ordres et de complot. Selon les preuves recueillies par le FBI, un total de 18 individus et entités font face à des accusations.
Dans cette analyse approfondie, nous allons examiner les données de la chaîne de la cryptomonnaie NexFundAI pour identifier les modèles de transactions de lavage d'ordres qui peuvent s'étendre à d'autres cryptomonnaies et remettre en question la liquidité de certains jetons. De plus, nous explorerons d'autres stratégies de lavage d'ordres dans DeFi et comment identifier les activités illégales sur les plateformes centralisées.
Enfin, nous examinerons également les comportements de hausse des prix sur le marché coréen, qui brouillent la frontière entre l'efficacité du marché et la manipulation.
Le FBI identifie les transactions de lavage d'ordres dans les données des jetons
NexFundAI est une entreprise créée par le FBI qui a émis un jeton en mai 2024, visant à révéler les comportements de manipulation du marché dans le secteur de la cryptomonnaie. Les entreprises accusées représentent des clients dans des transactions de lavage d'ordres algorithmiques, de manipulation du marché, etc., généralement sur des échanges DeFi comme Uniswap. Ces comportements ciblent les jetons nouvellement émis ou de petite capitalisation, créant une fausse impression de marché actif pour attirer de véritables investisseurs, faisant finalement grimper le prix des jetons et améliorant leur visibilité.
L'enquête du FBI a abouti à des aveux clairs, les personnes impliquées décrivant en détail leurs étapes et leurs intentions. Certains ont même déclaré clairement : « C'est ainsi que nous faisons le marché sur Uniswap. » Cependant, cette affaire fournit non seulement des preuves verbales, mais elle montre également grâce aux données le véritable visage des transactions de lavage d'ordres dans DeFi, que nous allons analyser en profondeur par la suite.
Pour commencer notre exploration des données sur le jeton frauduleux NexFundAI (code Kaiko : NEXF) du FBI, nous allons d'abord examiner les données de transfert en chaîne du jeton. Ces données fournissent un chemin complet depuis l'émission du jeton, y compris tous les portefeuilles et adresses de contrats intelligents détenant ces jetons.
Les données montrent que l'émetteur du jeton a transféré des fonds du jeton vers un portefeuille de teneur de marché, qui a ensuite distribué les fonds à des dizaines d'autres portefeuilles, identifiés dans le graphique par des groupes denses de couleur bleu foncé.
Ensuite, ces fonds ont été utilisés pour des transactions de lavage d'ordres sur le seul marché secondaire créé par l'émetteur - Uniswap, qui se trouve au centre du graphique, point de rencontre de presque tous les portefeuilles recevant et/ou transférant ce jeton (entre mai et septembre 2024).
Ces découvertes corroborent davantage les informations révélées par le FBI grâce à des opérations d'infiltration. Les entreprises accusées utilisaient plusieurs bots et des centaines de portefeuilles pour des transactions de lavage d'ordres, ne suscitant pas les soupçons des investisseurs cherchant à saisir des opportunités précoces.
Pour affiner notre analyse et confirmer la nature frauduleuse des transferts de certains portefeuilles, en particulier des portefeuilles au sein d'un groupe, nous avons enregistré la date de réception du premier transfert pour chaque portefeuille, en observant l'ensemble des données de la chaîne et non seulement les transferts de jetons NexFundAI. Les données montrent que parmi 485 portefeuilles dans l'échantillon, 148 portefeuilles (soit 28 %) ont reçu des fonds dans le même bloc que 5 autres portefeuilles.
Pour un jeton de cette notoriété, un tel modèle de transaction est presque impossible. Il est donc raisonnable de supposer qu'au moins ces 138 adresses sont liées à des algorithmes de transaction, susceptibles d'être utilisés pour des transactions de lavage d'ordres.
Pour confirmer davantage les transactions de lavage d'ordres impliquant ce jeton, nous avons analysé les données de marché du seul marché secondaire existant. En compilant le volume quotidien des transactions sur le marché Uniswap et en le comparant au volume d'achat et de vente, nous avons trouvé une symétrie surprenante entre les deux. Cette symétrie indique que la société de tenue de marché couvre chaque jour le montant total des transactions de lavage d'ordres entre tous les portefeuilles impliqués.
En examinant de près le niveau des transactions individuelles et en marquant les transactions par adresse de portefeuille, nous avons également découvert que certaines adresses avaient exécuté exactement les mêmes transactions individuelles (même quantité et horodatage) au cours d'un mois d'activité, indiquant que ces adresses utilisaient une stratégie de lavage d'ordres, ce qui suggère également une connexion entre ces adresses.
Des enquêtes supplémentaires montrent qu'en utilisant la solution Wallet Data de Kaiko, nous avons découvert que ces deux adresses, bien qu'elles n'aient jamais interagi directement sur la chaîne, sont toutes deux financées par la même adresse de portefeuille : 0x4aa6a6231630ad13ef52c06de3d3d3850fafcd70. Ce portefeuille a lui-même obtenu des fonds via un contrat intelligent de Railgun. Selon les informations sur le site officiel de Railgun, « RAILGUN est un contrat intelligent destiné à fournir une protection de la vie privée pour les transactions cryptographiques aux traders professionnels et aux utilisateurs DeFi. » Ces découvertes indiquent que ces adresses de portefeuille pourraient être impliquées dans des comportements nécessitant dissimulation, comme la manipulation de marché voire des cas plus graves.
La fraude DeFi dépasse NexFundAI
Les comportements de manipulation dans DeFi ne se limitent pas à l'enquête du FBI. Nos données montrent que parmi plus de 200 000 actifs sur les échanges décentralisés d'Ethereum, de nombreux manquent d'utilité réelle et sont contrôlés par une seule personne.
Certains émetteurs de jetons sur Ethereum établissent des pools de liquidité à court terme sur Uniswap. En contrôlant la liquidité dans le pool et en utilisant plusieurs portefeuilles pour des transactions de lavage d'ordres, ils augmentent l'attrait du pool, attirant ainsi des investisseurs ordinaires pour accumuler de l'ETH et vendre leurs jetons. Selon les données de Wallet Data de Kaiko, l'analyse de quatre cryptomonnaies indique que cette opération peut réaliser un retour de 22 fois sur l'investissement initial en ETH en environ 10 jours. Cette analyse révèle une fraude répandue parmi les émetteurs de jetons, qui dépasse le champ d'enquête du FBI sur NexFundAI.
Modèle de données : exemple avec le jeton GIGA2.0
Un utilisateur (par exemple 0x33ee6449b05193766f839d6f84f7afd5c9bb3c93) reçoit (et initie) la totalité de l'approvisionnement d'un nouveau jeton d'une certaine adresse (comme 0x000).
L'utilisateur transfère immédiatement (le même jour) ces jetons et une partie de l'ETH pour créer un nouveau pool de liquidité Uniswap V2. Comme toute la liquidité provient des contributions des utilisateurs, il reçoit des jetons UNI-V2 en retour de sa contribution.
En moyenne, 10 jours plus tard, l'utilisateur retire toute la liquidité, détruit les jetons UNI-V2 et retire les bénéfices supplémentaires en ETH obtenus grâce aux frais de transaction.
En analysant les données de la chaîne de ces quatre jetons, nous avons constaté que le même modèle se répétait, indiquant une manipulation par des opérations automatisées et répétitives, dont le seul but est de réaliser des bénéfices.
La manipulation du marché n'est pas limitée à DeFi
Bien que l'enquête du FBI ait efficacement révélé ces comportements, l'abus de marché n'est pas propre à la cryptomonnaie ou à DeFi. En 2019, le PDG de Gotbit a publiquement discuté de son entreprise peu éthique qui aidait les projets cryptographiques à « se déguiser avec succès », profitant de la complaisance des petits échanges envers ces pratiques. Le PDG de Gotbit et deux de ses directeurs ont également été inculpés dans cette affaire pour avoir manipulé diverses cryptomonnaies par des méthodes similaires.
Cependant, il est plus difficile de détecter de telles manipulations sur les échanges centralisés. Ces échanges affichent uniquement le carnet de commandes et les données de transactions au niveau du marché, rendant difficile l'identification précise des transactions falsifiées. Néanmoins, comparer les modèles de transactions et les indicateurs de marché entre les échanges aide encore à identifier les problèmes. Par exemple, si le volume des transactions dépasse considérablement la liquidité (1 % de profondeur du marché), cela pourrait être lié à des transactions de lavage d'ordres.
Les données montrent que les actifs ayant un ratio volume-liquidité supérieur à 100 fois se trouvent principalement sur HTX et Poloniex. En général, les jetons meme, les jetons de confidentialité et les altcoins de petite capitalisation montrent des ratios volume-profondeur anormalement élevés.
Il convient de noter que le ratio volume-liquidité n'est pas un indicateur parfait, car le volume peut être considérablement augmenté en raison des activités promotionnelles de certains échanges (comme les promotions sans frais). Pour évaluer plus précisément les volumes de transactions falsifiés, nous pouvons examiner la corrélation des volumes de transactions entre les échanges. En général, la tendance du volume des transactions d'un actif entre différents échanges est corrélée, montrant une cohérence à long terme. Si le volume des transactions est monotone sur le long terme, présente de longues périodes sans transactions ou montre des différences significatives entre différents échanges, cela pourrait indiquer des activités de transaction anormales.
Par exemple, lorsque nous examinons le jeton PEPE sur certaines plateformes de trading, nous remarquons que le volume des transactions sur HTX diffère considérablement des autres plateformes en 2024. Sur HTX, le volume des transactions de PEPE est resté élevé pendant la période de juillet, voire a augmenté, tandis que le volume sur la plupart des autres échanges a diminué.
Une analyse plus approfondie des données de transaction montre qu'il y a un trading algorithmique actif sur le marché PEPE-USDT sur HTX. Dans les 3 jours de juillet, il y a eu 4200 ordres d'achat et de vente de 1M PEPE, soit environ 180 ordres par heure. Ce modèle de transaction contraste fortement avec les transactions sur Kraken au même moment, où les transactions semblent plus naturelles et orientées vers le commerce de détail, avec des tailles et des timings irréguliers.
Des modèles similaires ont également été observés lors d'autres jours de juillet. Par exemple, entre le 9 et le 12 juillet, plus de 5900 transactions de vente et d'achat de 2M PEPE ont été exécutées.
De nombreux indices suggèrent l'existence de comportements de lavage d'ordres automatisés, y compris des ratios volume- liquidité élevés, des modèles de transactions hebdomadaires inhabituels, des tailles d'ordres répétitives et une exécution rapide. Dans les transactions de lavage d'ordres, le même acteur passe simultanément des ordres d'achat et de vente pour gonfler le volume des transactions, rendant le marché plus liquide.
La frontière subtile entre la manipulation du marché et le déséquilibre d'efficacité
La manipulation du marché dans le secteur de la cryptomonnaie est parfois confondue avec des pratiques d'arbitrage, qui consistent à tirer parti des déséquilibres d'efficacité du marché.
Par exemple, le phénomène de « pêche au filet » est courant sur le marché coréen (après avoir attiré les petits investisseurs, vider les fonds et s'enfuir). Les traders utilisent la pause temporaire des dépôts et des retraits pour faire monter artificiellement le prix des actifs et en tirer profit. Un cas typique s'est produit en 2023, lorsque le jeton natif de Curve (CRV) a été suspendu sur plusieurs échanges coréens en raison d'une attaque de hacker.
Le graphique montre qu'au moment où Bithumb a suspendu les dépôts et retraits du jeton CRV, un grand nombre d'ordres d'achat ont fait grimper le prix de manière significative, mais par la suite, avec le début des ventes, il a rapidement chuté. Pendant la pause, plusieurs hausses de prix causées par des achats ont été suivies de ventes. Dans l'ensemble, le volume des ventes était nettement supérieur à celui des achats.
Une fois la pause terminée, le prix chute rapidement, car les traders peuvent facilement acheter et vendre pour arbitrer entre les échanges. Ce type de pause attire généralement les traders particuliers et les spéculateurs, qui s'attendent à ce que le prix augmente en raison de la liquidité restreinte.
Conclusion
L'identification de la manipulation du marché dans le secteur de la cryptomonnaie en est encore à ses débuts. Cependant, la combinaison de données et d'évidences d'enquêtes passées aide les régulateurs, les échanges et les investisseurs à mieux faire face aux problèmes futurs de manipulation du marché. Dans le domaine de DeFi, la transparence des données blockchain offre une opportunité unique de détecter les transactions de lavage d'ordres sur divers jetons, augmentant progressivement l'intégrité du marché. Dans les échanges centralisés, les données de marché peuvent révéler de nouveaux problèmes d'abus de marché, alignant progressivement les intérêts de certains échanges avec l'intérêt public. Avec l'évolution de l'industrie de la cryptomonnaie, l'utilisation de toutes les données disponibles contribue à réduire les comportements indésirables et à favoriser un environnement de trading plus équitable.
Lien vers le texte original
