原文作者:Dessislava Aubert、Anastasia Melachrinos

原文编译:Block unicorn


2024 年 10 月 9 日,三家做市商——ZM Quant、CLS Global 和 MyTrade——及其员工被指控代表加密货币公司及其代币 NexFundAI 进行刷单交易和共谋行为。根据联邦调查局(FBI)收集的证据,共有 18 名个人和实体面临指控。


在本次深入分析中,我们将对 NexFundAI 加密货币的链上数据进行分析,以识别可以延伸到其他加密货币的刷单交易模式,并质疑某些代币的流动性。此外,我们将探索 DeFi 中的其他刷单策略,以及如何在中心化平台上识别非法活动。


最后,我们还将研究韩国市场上的价格拉升行为,这些行为模糊了市场效率与操纵之间的界限。


FBI 识别代币数据中的刷单交易


NexFundAI 是一家由 FBI 创建的公司在 2024 年 5 月发行的代币,旨在揭露加密市场中的市场操纵行为。被指控的公司代表客户从事算法刷单交易、拉高出货等操纵性手法,通常在 Uniswap 等 DeFi 交易所进行。这些行为针对新发行或小市值代币,制造出活跃市场的假象以吸引真实投资者,最终推高代币价格并提升其知名度。


FBI 的调查得出了明确的供述,涉案人员详尽描述了他们的操作步骤和意图。有些人甚至明确表示,「这就是我们在 Uniswap 上做市的方式。」然而,本案不仅提供了口头证据,还通过数据展示了 DeFi 中刷单交易的真实面貌,接下来我们将对此进行深入解析。



为开始我们对 FBI 虚假代币 NexFundAI(Kaiko 代码:NEXF)的数据探索,我们将首先检查代币的链上转账数据。该数据提供了从代币发行起的完整路径,包括持有这些代币的所有钱包和智能合约地址。


数据显示,代币发行方将代币资金转入了一个做市商钱包,该钱包再将资金分配给数十个其他钱包,这些钱包在图表中通过深蓝色的聚集群标识。


随后,这些资金被用于在发行方创建的唯一二级市场——Uniswap 上进行刷单交易,该市场位于图表中央,是几乎所有接收和/或转移该代币的钱包的交汇点(2024 年 5 月至 9 月期间)。


这些发现进一步佐证了 FBI 通过卧底「诱捕」行动揭露的信息。被指控的公司使用多个机器人和数百个钱包进行刷单交易,未引起试图抓住早期机会的投资者的怀疑。


为细化我们的分析并确认某些钱包的转账具有欺诈性质,尤其是聚集群内的钱包,我们记录了每个钱包收到首次转账的日期,观察整个链上数据而不仅限于 NexFundAI 代币转账。数据显示,在样本中的 485 个钱包中,有 148 个钱包(即 28%)首次获得资金的区块与至少 5 个其他钱包相同。



对于这种知名度不高的代币而言,出现这样的交易模式几乎是不可能的。因此,可以合理推测至少这 138 个地址与交易算法相关,可能用于刷单交易。


为进一步确认涉及该代币的刷单交易,我们分析了其唯一存在的二级市场的市场数据。通过汇总在 Uniswap 市场上的每日交易量并对比买卖量,我们发现两者之间有令人惊讶的对称性。这种对称性表明,做市商公司在该市场上每天会在所有参与刷单交易的钱包之间对冲总金额。



深入查看单笔交易层面,并按钱包地址为交易染色标记之后,我们还发现某些地址在一个月的交易活动中,执行了完全相同的单笔交易(相同的数量和时间戳),表明这些地址使用了刷单策略,这也暗示这些地址相互关联。



进一步调查表明,通过使用 Kaiko 的 Wallet Data 解决方案,我们发现这两个地址尽管从未在链上直接交互,却都由同一个钱包地址提供 WETH 资金:0x4aa6a6231630ad13ef52c06de3d3d3850fafcd70。该钱包本身是通过 Railgun 的一个智能合约获得资金的。根据 Railgun 官网的信息,「RAILGUN 是为专业交易员和 DeFi 用户提供的智能合约,旨在为加密交易增加隐私保护。」这些发现表明,这些钱包地址可能存在某些需要隐藏的行为,例如市场操纵甚至更严重的情况。


DeFi 欺诈超越了 NexFundAI


DeFi 中的操纵行为并不仅限于 FBI 的调查。我们的数据显示,以太坊去中心化交易所上超过 20 万个资产中,许多缺乏实际用途,并被单一个人所控制。


一些在以太坊上发行代币的发行人会在 Uniswap 上建立短期流动性池。通过控制池内的流动性,并使用多个钱包进行刷单交易,他们增强了池子的吸引力,吸引普通投资者入场,从而积累 ETH,并抛售手中代币。根据 Kaiko 的 Wallet Data 显示,对四种加密货币的分析表明,这种操作可在大约 10 天内实现初始 ETH 投资的 22 倍回报。这一分析揭示了代币发行人中广泛存在的欺诈行为,已超出 FBI 对 NexFundAI 的调查范围。


数据模式:以 GIGA2.0 代币为例


一位用户(例如 0x33ee6449b05193766f839d6f84f7afd5c9bb3c93)从某地址(如 0x000)接收(并启动)了某新代币的全部供应量。



用户立即(当天内)将这些代币和部分 ETH 转移,用以创建一个新的 Uniswap V2 流动性池。由于所有流动性均为用户贡献,他获得了代表其贡献的 UNI-V2 代币.



平均而言,10 天后,该用户会撤出所有流动性,销毁 UNI-V2 代币,并提取因交易手续费所获的额外 ETH 收益。



当分析这四个代币的链上数据时,我们发现完全相同的模式重复出现,表明通过自动化和重复性操作进行的操纵,其唯一目的就是获利。


市场操纵不局限于 DeFi


虽然 FBI 的调查有效揭露了这些行为,但市场滥用并非加密货币或 DeFi 独有。2019 年,Gotbit 的 CEO 公开谈论他帮助加密项目「伪装成功」的不道德生意,利用小型交易所对这些做法的默许。Gotbit 的 CEO 及其两名董事也因涉及类似手法操纵多种加密货币而在本案中被控。


然而,在中心化交易所中发现此类操纵更加困难。这些交易所仅显示市场层面的订单簿和交易数据,很难精准识别虚假交易。尽管如此,将交易模式和市场指标跨交易所比较仍有助于发现问题。例如,如果交易量显著超过流动性(1% 市场深度),则可能与刷单交易有关。



数据显示,HTX 和 Poloniex 上具有超过 100 倍交易量-流动性比的资产最多。通常 meme 币、隐私币和小市值的山寨币显示出异常高的交易量-深度比。


需要注意的是,交易量-流动性比并非完美指标,因为交易量可能因某些交易所的推广活动(如零手续费活动)而显著提高。为更有把握地判断虚假交易量,我们可以检查交易所间的交易量关联性。通常,某资产在不同交易所间的交易量趋势是相关的,长期呈现一致性。若交易量长期单调、出现长时间无交易期或在不同交易所间存在明显差异,则可能表明存在异常交易活动。



例如,当我们查看某些交易所上的 PEPE 代币时,发现 HTX 与其他平台在 2024 年的交易量趋势差异显著。在 HTX 上,PEPE 交易量在 7 月期间保持高位,甚至有所上升,而在大多数其他交易所中交易量则下降。


进一步分析交易数据显示,在 HTX 上的 PEPE-USDT 市场中有算法交易活跃。7 月 3 日内,有 4200 笔 1M PEPE 的买卖订单,每小时平均约 180 笔。这种交易模式与 Kraken 同期的交易形成鲜明对比,后者的交易更显自然且偏向零售驱动,交易规模和时间均不规则。



在 7 月的其他几天也出现了类似的模式。例如,7 月 9 日至 12 日期间,共执行了 5900 多笔 2M PEPE 的买卖交易。



种种迹象表明可能存在自动化刷单行为,包括高交易量-深度比、不寻常的每周交易模式、重复订单的固定规模及快速执行。在刷单交易中,同一主体同时下达买卖订单,以虚增交易量,使市场显得更具流动性。


市场操纵与效率失衡的微妙界限


加密市场中的市场操纵有时会被误认为是套利行为,套利是利用市场的效率失衡获利。


例如,「撒网捕鱼式拉盘」现象在韩国市场屡见不鲜(通过拉盘吸引散户进场之后,清空池子资金跑路)。交易者利用充值与提现的临时暂停,人为拉高资产价格从中获利。一个典型的案例发生在 2023 年,Curve 的原生代币(CRV)因黑客攻击在几家韩国交易所暂停交易。



图表显示,当 Bithumb 暂停 CRV 代币的充值和提现时,大量买单推动价格大幅上升,但随后随着抛售开始迅速回落。在暂停期间,多次因买入而导致的短暂涨价都紧接着出现了抛售。总体来看,抛售量明显高于买入量。


一旦暂停结束,价格迅速下跌,因为交易者可以轻松地在交易所之间买卖套利。这类暂停通常会吸引散户交易者和投机者,他们预期由于流动性受限,价格将会上涨。


结论


识别加密市场中的市场操纵仍处于早期阶段。然而,结合过往调查的数据和证据,有助于监管机构、交易所和投资者更好地应对未来的市场操纵问题。在 DeFi 领域,区块链数据的透明度为检测各类代币的刷单交易提供了独特机会,从而逐步提高市场诚信。在中心化交易所中,市场数据可以揭示新的市场滥用问题,并逐步使部分交易所的利益与公众利益一致。随着加密行业的发展,利用所有可用数据有助于减少不良行为,营造更公平的交易环境。


原文链接