Autores do texto original: Dessislava Aubert, Anastasia Melachrinos.

Tradução do texto original: Block unicorn

Em 9 de outubro de 2024, três market makers - ZM Quant, CLS Global e MyTrade - e seus funcionários foram acusados de realizar transações de lavagem e conluio em nome de empresas de criptomoedas e seu token NexFundAI. De acordo com as evidências coletadas pelo FBI, 18 indivíduos e entidades enfrentam acusações.

Nesta análise aprofundada, analisaremos os dados on-chain da criptomoeda NexFundAI para identificar padrões de lavagem de transações que podem se estender a outras criptomoedas e questionar a liquidez de certos tokens. Além disso, exploraremos outras estratégias de lavagem de transações no DeFi e como identificar atividades ilegais em plataformas centralizadas.

Por fim, também examinaremos o comportamento de aumento de preços no mercado coreano, que confunde os limites entre eficiência do mercado e manipulação.

O FBI identificou transações de lavagem de dados de tokens.

NexFundAI é um token emitido em maio de 2024 por uma empresa criada pelo FBI para expor a manipulação de mercado no espaço de criptomoedas. As empresas acusadas realizam operações de lavagem de transações, impulsionam vendas, e outras práticas manipuladoras, geralmente em exchanges DeFi como a Uniswap. Essas ações visam tokens recém-emitidos ou de baixa capitalização, criando a ilusão de um mercado ativo para atrair investidores reais, aumentando assim o preço do token e sua visibilidade.

A investigação do FBI resultou em confissões claras, com os envolvidos descrevendo detalhadamente seus passos e intenções. Alguns até afirmaram explicitamente: 'É assim que fazemos market making na Uniswap.' No entanto, este caso não apenas fornece evidências verbais, mas também ilustra, por meio de dados, a verdadeira face das transações de lavagem no DeFi, que analisaremos em profundidade a seguir.

Para iniciar nossa exploração dos dados do token falso NexFundAI (código Kaiko: NEXF) do FBI, primeiro examinaremos os dados de transferência on-chain do token. Esses dados fornecem o caminho completo desde a emissão do token, incluindo todos os endereços de carteiras e contratos inteligentes que mantêm esses tokens.

Os dados mostram que o emissor do token transferiu os fundos do token para uma carteira de market maker, que então redistribuiu os fundos para dezenas de outras carteiras, que são identificadas no gráfico por um agrupamento azul profundo.

Subsequentemente, esses fundos foram usados para transações de lavagem no único mercado secundário criado pelo emissor - a Uniswap, que está centralizada no gráfico e é o ponto de interseção de quase todas as carteiras que recebem e/ou transferem o token (entre maio e setembro de 2024).

Essas descobertas corroboram ainda mais as informações reveladas pelo FBI através de ações de 'entrapment' disfarçadas. As empresas acusadas usaram vários robôs e centenas de carteiras para transações de lavagem, sem levantar suspeitas dos investidores que tentavam aproveitar oportunidades iniciais.

Para refinar nossa análise e confirmar que as transferências de certas carteiras têm natureza fraudulenta, especialmente as dentro do agrupamento, registramos a data da primeira transferência recebida por cada carteira, observando todos os dados on-chain, não apenas as transferências do token NexFundAI. Os dados mostram que, entre 485 carteiras na amostra, 148 carteiras (ou seja, 28%) têm blocos de recebimento de fundos idênticos a pelo menos 5 outras carteiras.

Para um token com pouca notoriedade, é quase impossível que um padrão de transação como esse ocorra. Portanto, é razoável supor que pelo menos esses 138 endereços estão relacionados a algoritmos de negociação, possivelmente utilizados para transações de lavagem.

Para confirmar ainda mais as transações de lavagem envolvendo esse token, analisamos os dados do mercado da única existência no mercado secundário. Ao compilar o volume de transações diárias no mercado Uniswap e comparar os volumes de compra e venda, encontramos uma simetria surpreendente entre os dois. Essa simetria indica que a empresa de market making está fazendo hedge do total diariamente entre todas as carteiras participantes das transações de lavagem.

Ao examinar transações individuais e marcar transações coloridas por endereço de carteira, descobrimos que certos endereços realizaram transações idênticas em um mês de atividade de negociação (mesmo valor e timestamp), indicando que esses endereços usaram uma estratégia de lavagem de transações, o que também sugere que esses endereços estão interconectados.

Investigações adicionais indicam que, ao usar a solução Wallet Data da Kaiko, descobrimos que esses dois endereços, embora nunca tenham interagido diretamente na blockchain, foram financiados pelo mesmo endereço de carteira: 0x4aa6a6231630ad13ef52c06de3d3d3850fafcd70. Essa carteira foi financiada através de um contrato inteligente da Railgun. De acordo com informações do site da Railgun, 'RAILGUN é um contrato inteligente projetado para fornecer proteção de privacidade em transações de criptomoedas para traders profissionais e usuários de DeFi.' Essas descobertas indicam que esses endereços de carteira podem estar envolvidos em comportamentos que precisam ser ocultados, como manipulação de mercado ou até situações mais graves.

Fraude no DeFi vai além da NexFundAI.

Comportamentos manipulativos no DeFi não se limitam à investigação do FBI. Nossos dados mostram que, entre mais de 200 mil ativos em exchanges descentralizadas na Ethereum, muitos carecem de utilidade real e estão sob o controle de uma única pessoa.

Alguns emissários de tokens emitidos na Ethereum estabelecem pools de liquidez de curto prazo na Uniswap. Controlando a liquidez dentro do pool e usando várias carteiras para transações de lavagem, eles aumentam o apelo do pool, atraindo investidores comuns, acumulando ETH e vendendo os tokens em suas mãos. De acordo com os dados da Wallet Data da Kaiko, a análise de quatro criptomoedas sugere que essa operação pode alcançar um retorno de 22 vezes o investimento inicial em ETH em cerca de 10 dias. Esta análise revela fraudes amplamente presentes entre os emissores de tokens, que estão além do escopo da investigação do FBI sobre a NexFundAI.

Padrões de dados: tomando o token GIGA2.0 como exemplo.

Um usuário (por exemplo, 0x33ee6449b05193766f839d6f84f7afd5c9bb3c93) recebeu (e iniciou) todo o suprimento de um novo token de um determinado endereço (por exemplo, 0x000).

Os usuários transferiram esses tokens e parte do ETH imediatamente (no mesmo dia) para criar um novo pool de liquidez Uniswap V2. Como toda a liquidez foi contribuída pelos usuários, eles receberam tokens UNI-V2 representando sua contribuição.

Em média, 10 dias depois, o usuário retira toda a liquidez, destrói os tokens UNI-V2 e retira os ganhos adicionais de ETH obtidos com taxas de transação.

Ao analisar os dados on-chain desses quatro tokens, encontramos padrões idênticos reaparecendo, indicando manipulação realizada por meio de operações automatizadas e repetitivas, cujo único objetivo é lucrar.

Manipulação de mercado não se limita ao DeFi.

Embora a investigação do FBI tenha efetivamente exposto esses comportamentos, o abuso de mercado não é exclusivo de criptomoedas ou DeFi. Em 2019, o CEO da Gotbit falou abertamente sobre seus negócios antiéticos que ajudaram projetos de criptomoedas a 'disfarçar o sucesso', aproveitando a conivência de exchanges menores para essas práticas. O CEO da Gotbit e dois de seus diretores também foram acusados neste caso por manipulação de várias criptomoedas usando métodos semelhantes.

No entanto, detectar esse tipo de manipulação em exchanges centralizadas é mais difícil. Essas exchanges apenas exibem dados de livro de ordens e transações em nível de mercado, tornando difícil identificar transações falsas com precisão. No entanto, comparar padrões de transação e indicadores de mercado entre diferentes exchanges ainda ajuda a identificar problemas. Por exemplo, se o volume de transações exceder significativamente a liquidez (1% de profundidade de mercado), isso pode estar relacionado a transações de lavagem.

Os dados mostram que ativos com uma razão volume-liquidez superior a 100 são mais comuns nas exchanges HTX e Poloniex. Normalmente, tokens meme, tokens de privacidade e altcoins de baixa capitalização apresentam razões anormalmente elevadas de volume-depósito.

É importante notar que a razão volume-liquidez não é um indicador perfeito, pois o volume de transações pode ser significativamente aumentado devido a promoções em certas exchanges (como atividades sem taxas). Para avaliar com mais precisão o volume de transações falso, podemos verificar a correlação do volume de transações entre exchanges. Normalmente, a tendência de volume de transações de um ativo entre diferentes exchanges é correlacionada e apresenta consistência a longo prazo. Se o volume de transações for consistentemente monotônico, apresentar longos períodos sem transações ou houver discrepâncias significativas entre diferentes exchanges, isso pode indicar atividades de transação anormais.

Por exemplo, ao examinar o token PEPE em certas exchanges, observamos que o HTX apresenta uma tendência de volume de transações significativamente diferente de outras plataformas em 2024. No HTX, o volume de transações de PEPE permaneceu alto em julho, até mesmo aumentando, enquanto na maioria das outras exchanges, o volume de transações caiu.

Uma análise adicional dos dados de transações revelou que há negociação algorítmica ativa no mercado PEPE-USDT do HTX. Em 3 de julho, houve 4200 ordens de compra e venda de 1M PEPE, com uma média de aproximadamente 180 ordens por hora. Este padrão de transação contrasta fortemente com as transações realizadas na Kraken durante o mesmo período, que são mais naturais e tendem a ser impulsionadas por varejo, com tamanhos e horários de transação irregulares.

Padrões semelhantes também foram observados em outros dias de julho. Por exemplo, entre 9 e 12 de julho, mais de 5900 transações de compra e venda de 2M PEPE foram executadas.

Vários sinais indicam a possibilidade de comportamentos automatizados de lavagem, incluindo altas razões de volume-negócio, padrões de negociação semanais incomuns, tamanhos fixos de pedidos repetidos e execução rápida. Em transações de lavagem, o mesmo agente emite simultaneamente ordens de compra e venda, inflando artificialmente o volume de transações, fazendo o mercado parecer mais líquido.

A linha tênue entre manipulação de mercado e desequilíbrio de eficiência.

A manipulação de mercado no mercado de criptomoedas às vezes é confundida com arbitragem, que é lucrar com o desequilíbrio de eficiência do mercado.

Por exemplo, o fenômeno conhecido como 'pump and dump' é comum no mercado coreano (através do qual os traders atraem varejistas para entrar antes de esvaziar os fundos do pool e fugir). Os traders lucram ao elevar artificialmente o preço do ativo usando suspensões temporárias de depósitos e retiradas. Um caso típico ocorreu em 2023, quando o token nativo da Curve (CRV) foi suspenso em várias exchanges coreanas devido a um ataque de hackers.

O gráfico mostra que, quando a Bithumb suspendeu depósitos e retiradas de tokens CRV, uma grande quantidade de ordens de compra fez o preço subir drasticamente, mas logo depois, com o início das vendas, o preço caiu rapidamente. Durante a suspensão, os aumentos temporários de preço causados por compras foram seguidos por vendas. No geral, o volume de vendas foi claramente maior do que o volume de compras.

Uma vez que a suspensão termina, o preço cai rapidamente, pois os operadores podem facilmente comprar e vender entre as exchanges para arbitragem. Esse tipo de suspensão geralmente atrai traders de varejo e especuladores, que esperam que os preços aumentem devido à liquidez restrita.

Conclusão

A identificação da manipulação de mercado no mercado de criptomoedas ainda está em estágio inicial. No entanto, a combinação de dados e evidências de investigações passadas ajuda os reguladores, as exchanges e os investidores a lidar melhor com problemas futuros de manipulação de mercado. No espaço DeFi, a transparência dos dados da blockchain oferece oportunidades únicas para detectar transações de lavagem de vários tokens, aumentando gradualmente a integridade do mercado. Nas exchanges centralizadas, os dados do mercado podem revelar novos problemas de abuso de mercado e gradualmente alinhar os interesses de algumas exchanges com o interesse público. Com o desenvolvimento da indústria de criptomoedas, o uso de todos os dados disponíveis ajuda a reduzir comportamentos inadequados e criar um ambiente de negociação mais justo.