撰文:Dessislava Aubert、Anastasia Melachrinos
編譯:Block unicorn
2024 年10 月9 日,三家做市商——ZM Quant、CLS Global 和MyTrade——及其員工被指控代表加密貨幣公司及其代幣NexFundAI 進行刷單交易和共謀行為。根據聯邦調查局(FBI)收集的證據,共有18 名個人和實體面臨指控。
在本次深入分析中,我們將對NexFundAI 加密貨幣的鏈上資料進行分析,以識別可以延伸到其他加密貨幣的刷單交易模式,並質疑某些代幣的流動性。此外,我們將探索DeFi 中的其他刷單策略,以及如何在中心化平台上識別非法活動。
最後,我們也將研究韓國市場上的價格拉升行為,這些行為模糊了市場效率與操縱之間的界線。
FBI 辨識代幣資料中的刷單交易
NexFundAI 是一家由FBI 創建的公司在2024 年5 月發行的代幣,旨在揭露加密市場中的市場操縱行為。被指控的公司代表客戶從事演算法刷單交易、拉高出貨等操縱性手法,通常在Uniswap 等DeFi 交易所進行。這些行為針對新發行或小市值代幣,製造出活躍市場的假像以吸引真實投資者,最終推高代幣價格並提升其知名度。
FBI 的調查得出了明確的供述,涉案人員詳盡地描述了他們的操作步驟和意圖。有些人甚至明確表示,「這就是我們在Uniswap 上做市的方式。」然而,本案不僅提供了口頭證據,還透過數據展示了DeFi 中刷單交易的真實面貌,接下來我們將對此進行深入解析。
為開始我們對FBI 虛假代幣NexFundAI(Kaiko 代碼:NEXF)的數據探索,我們將首先檢查代幣的鏈上轉帳數據。該數據提供了從代幣發行起的完整路徑,包括持有這些代幣的所有錢包和智慧合約地址。
數據顯示,代幣發行方將代幣資金轉入了一個做市商錢包,該錢包再將資金分配給數十個其他錢包,這些錢包在圖表中通過深藍色的聚集群標識。
隨後,這些資金被用於在發行方創建的唯一二級市場——Uniswap 上進行刷單交易,該市場位於圖表中央,幾乎所有接收和/ 或轉移該代幣的錢包的交匯點(2024年5 月至9 月期間)。
這些發現進一步佐證了FBI 透過臥底「誘捕」行動揭露的訊息。被指控的公司使用多個機器人和數百個錢包進行刷單交易,未引起試圖抓住早期機會的投資者的懷疑。
為細化我們的分析並確認某些錢包的轉賬具有欺詐性質,尤其是聚集群內的錢包,我們記錄了每個錢包收到首次轉賬的日期,觀察整個鏈上數據而不僅限於NexFundAI 代幣轉賬。數據顯示,在樣本中的485 個錢包中,有148 個錢包(即28%)首次獲得資金的區塊與至少5 個其他錢包相同。
對於這種知名度不高的代幣而言,出現這樣的交易模式幾乎是不可能的。因此,可以合理推測至少這138 個位址與交易演算法相關,可能用於刷單交易。
為進一步確認涉及該代幣的刷單交易,我們分析了其唯一存在的二級市場的市場數據。透過匯總在Uniswap 市場上的每日交易量並對比買賣量,我們發現兩者之間有令人驚訝的對稱性。這種對稱性表明,做市商公司在該市場上每天會在所有參與刷單交易的錢包之間對沖總金額。
在深入查看單筆交易層面,並按錢包地址為交易染色標記之後,我們還發現某些地址在一個月的交易活動中,執行了完全相同的單筆交易(相同的數量和時間戳),表明這些地址使用了刷單策略,這也暗示這些地址相互關聯。
進一步調查表明,透過使用Kaiko 的Wallet Data 解決方案,我們發現這兩個地址儘管從未在鏈上直接交互,卻都由同一個錢包地址提供WETH 資金:0x4aa6a6231630ad13ef52c06de3d3d3850fafcd70。該錢包本身是透過Railgun 的一個智能合約獲得資金的。根據Railgun 官網的信息,「RAILGUN 是為專業交易員和DeFi 用戶提供的智能合約,旨在為加密交易增加隱私保護。」這些發現表明,這些錢包地址可能存在某些需要隱藏的行為,例如市場操縱甚至更嚴重的情況。
DeFi 詐欺超越了NexFundAI
DeFi 中的操縱行為並不僅限於FBI 的調查。我們的數據顯示,以太坊去中心化交易所上超過20 萬個資產中,許多缺乏實際用途,並被單一個人控制。
一些在以太坊上發行代幣的發行人會在Uniswap 上建立短期流動性池。透過控制池內的流動性,並使用多個錢包進行刷單交易,他們增強了池子的吸引力,吸引普通投資者入場,從而積累ETH,並拋售手中代幣。根據Kaiko 的Wallet Data 顯示,對四種加密貨幣的分析表明,這種操作可在大約10 天內實現初始ETH 投資的22 倍回報。這項分析揭示了代幣發行人中廣泛存在的詐欺行為,已超出FBI 對NexFundAI 的調查範圍。
數據模式:以GIGA2.0 代幣為例
一位用戶(例如0x33ee6449b05193766f839d6f84f7afd5c9bb3c93)從某個地址(如0x000)接收(並啟動)了某新代幣的全部供應量。
用戶立即(當天內)將這些代幣和部分ETH 轉移,以創建一個新的Uniswap V2 流動性池。由於所有流動性均為用戶貢獻,他獲得了代表其貢獻的UNI-V2 代幣.
平均而言,10 天后,該用戶會撤出所有流動性,銷毀UNI-V2 代幣,並提取因交易手續費所獲的額外ETH 收益。
當分析這四個代幣的鏈上資料時,我們發現完全相同的模式重複出現,顯示透過自動化和重複性操作進行的操縱,其唯一目的就是獲利。
市場操弄不限於DeFi
雖然FBI 的調查有效揭露了這些行為,但市場濫用並非加密貨幣或DeFi 獨有。 2019 年,Gotbit 的CEO 公開談論他幫助加密專案「偽裝成功」的不道德生意,利用小型交易所對這些做法的默許。 Gotbit 的CEO 及其兩名董事也因涉及類似手法操縱多種加密貨幣而在本案中被控。
然而,在中心化交易所中發現此類操縱更加困難。這些交易所僅顯示市場層面的訂單簿和交易數據,很難精準辨識虛假交易。儘管如此,將交易模式和市場指標跨交易所比較仍有助於發現問題。例如,如果交易量顯著超過流動性(1% 市場深度),則可能與刷單交易有關。
數據顯示,HTX 和Poloniex 上具有超過100 倍交易量- 流動性比的資產最多。通常meme 幣、隱私幣和小市值的山寨幣顯示出異常高的交易量- 深度比。
需要注意的是,交易量- 流動性比並非完美指標,因為交易量可能因某些交易所的推廣活動(如零手續費活動)而顯著提高。為更有把握地判斷虛假交易量,我們可以檢查交易所間的交易量關聯性。通常,某資產在不同交易所間的交易量趨勢是相關的,長期呈現一致性。若交易量長期單調、出現長時間無交易期或在不同交易所間有明顯差異,則可能表示存在異常交易活動。
例如,當我們查看某些交易所上的PEPE 代幣時,發現HTX 與其他平台在2024 年的交易量趨勢差異顯著。在HTX 上,PEPE 交易量在7 月期間保持高位,甚至有所上升,而在大多數其他交易所中交易量則下降。
進一步分析交易數據顯示,在HTX 上的PEPE-USDT 市場中有演算法交易活躍。 7 月3 日內,有4,200 筆1M PEPE 的買賣訂單,每小時平均約180 筆。這種交易模式與Kraken 同期的交易形成鮮明對比,後者的交易更顯自然且偏向零售驅動,交易規模和時間均不規則。
在7 月的其他幾天也出現了類似的模式。例如,7 月9 日至12 日期間,共執行了5,900 多筆2M PEPE 的買賣交易。
種種跡象顯示可能存在自動化刷單行為,包括高交易量- 深度比、不尋常的每週交易模式、重複訂單的固定規模及快速執行。在刷單交易中,同一主體同時下達買賣訂單,以虛增交易量,使市場顯得更具流動性。
市場操縱與效率失衡的微妙界限
加密市場中的市場操縱有時會被誤認為是套利行為,套利是利用市場的效率失衡獲利。
例如,「撒網捕魚式拉盤」現像在韓國市場屢見不鮮(透過拉盤吸引散戶進場之後,清空池子資金跑路)。交易者利用儲值與提現的暫時暫停,人為拉高資產價格從中獲利。一個典型的案例發生在2023 年,Curve 的原生代幣(CRV)因駭客攻擊在幾家韓國交易所暫停交易。
圖表顯示,當Bithumb 暫停CRV 代幣的儲值和提現時,大量買單推動價格大幅上升,但隨後隨著拋售開始迅速回落。在暫停期間,多次因買入而導致的短暫漲價都緊接著出現了拋售。整體來看,拋售量明顯高於買入量。
一旦暫停結束,價格迅速下跌,因為交易者可以輕鬆地在交易所之間買賣套利。這類暫停通常會吸引散戶交易者和投機者,他們預期由於流動性受限,價格將會上漲。
結論
識別加密市場中的市場操縱仍處於早期階段。然而,結合過往調查的數據和證據,有助於監管機構、交易所和投資者更好地應對未來的市場操縱問題。在DeFi 領域,區塊鏈數據的透明度為檢測各類代幣的刷單交易提供了獨特機會,從而逐步提高市場誠信。在中心化交易所中,市場數據可以揭示新的市場濫用問題,並逐步使部分交易所的利益與公眾利益一致。隨著加密產業的發展,利用所有可用數據有助於減少不良行為,創造更公平的交易環境。