作者:研究公司Kaiko
编译:Felix, PANews
10月9日,三家做市商(ZM Quant、CLS Global和MyTrade)及其部分员工因涉嫌代表NexFundAI代币和加密实体进行串谋虚假交易被指控。根据FBI(联邦调查局)提供的证据,总共有18名个人和实体面临指控。
本文将深入研究NexFundAI代币的链上数据,以识别可以扩展到其他代币的虚假交易模式,并质疑某些代币的流动性。此外,本文将探索DeFi中的其他虚假交易策略,以及如何在中心化平台上发现非法活动,最后研究韩国市场上的价格操纵等。
识别FBI代币数据中的虚假交易
NexFundAI是FBI于2024年5月成立的一家公司所发行的代币,用以揭露加密市场的市场操纵行为。被指控的公司代表客户进行算法虚假交易、哄抬和抛售计划,以及其他操纵策略,通常在Uniswap等交易所进行。这些做法针对新发行的或小盘代币,以创造活跃市场的假象,吸引真正的投资者,提高代币价格和知名度。
相关人员对FBI的调查供认不讳,涉案人员明确阐述了他们的流程和意图。有些人甚至证实,“这就是我们在Uniswap上做市的一贯方式”。
为了对FBI的假代币NexFundAI进行数据探索,本文将检查代币的链上转移。这些数据提供了从发行到持有这些代币的每个钱包和智能合约地址的完整信息。
数据显示,代币发行者用代币为做市商的一个钱包提供资金,然后该钱包将资金重新分配到数十个钱包中,这些钱包以深蓝色突出显示的集群标识。
然后,这些资金被用于代币唯一的二级市场进行洗盘交易,该市场由发行人在Uniswap上创建,在图表中心标识为2024年5月到9月期间收到和/或转移此代币的几乎所有钱包的汇聚点。
这些发现进一步证实了FBI的调查。被指控的公司使用多个机器人和数百个钱包进行虚假交易。
为了完善分析并确认某些钱包(特别是集群中的钱包)转账的欺诈性,本文确定了每个钱包收到的第一次转账的日期,并查看了整个链,而不仅仅是NexFundAI代币转账。数据显示,在485个钱包中,有148个(28%)与该样本中至少5个其他钱包首次在同一区块上获得资金。
交易这种未知代币的地址自然不太可能显示这种模式。因此,至少这138个地址可能与交易算法有关,可能用于洗盘交易。
为了进一步确认涉及此代币的洗盘交易,检查该代币唯一存在的二级市场的市场数据。通过汇总此Uniswap市场上的每日交易量并比较买入和卖出量,发现两者之间存在惊人的对称性。这种对称性表明,做市商每天都在抵消这个市场上从事洗盘交易的所有钱包的总金额。
通过观察单个交易,并根据钱包地址对交易进行着色。发现一些地址在一个月的交易活动中执行完全相同的单个交易(相同金额,相同时间点)。这表明这些地址是相关的,存在虚假交易策略。
使用Kaiko的钱包数据解决方案进行进一步调查后,发现这两个地址尽管从未在链上交互过,但都由同一个钱包地址 0x4aa6a6231630ad13ef52c06de3d3d3850fafcd70用WETH代币资助。这个钱包本身是由Railgun的一个智能合约提供资金。根据Railgun网站介绍,“Railgun是一款面向专业交易员和DeFi用户的智能合约,为加密交易增加隐私保护”。这些发现表明,钱包地址隐藏了一些秘密,例如市场操纵或更糟糕的行为。
DeFi欺诈不局限于NexFundAI
DeFi的操纵行为并不局限于FBI的调查。数据显示,以太坊DEXs上的20多万资产中有许多缺乏实用性,并由个人控制。
在以太坊上发现的一些代币发行者正在Uniswap上建立短期流动性池。通过控制池的流动性,并与多个钱包进行洗盘交易,增强了池对普通投资者的吸引力,积累了ETH,并抛售他们的代币。正如所展示的,在大约10天内产生了22倍的初始ETH投资。这一分析揭示了代币发行人普遍存在的欺诈行为,其范围超出了FBI的NexFundAI调查。
数据模式:GIGA2.0代币示例
用户(如0x33ee6449b05193766f839d6f84f7afd5c9bb3c93)从地址(如0x000)接收(并发起)新代币的全部供应。
用户立即(一天之内)转移代币和一些ETH,以创建一个新的Uniswap V2池。它拥有所有的流动性,获得代表其贡献的UNI-V2代币。
平均10天后,用户会撤回所有流动性,销毁其UNI-V2代币,并收取从池子的交易费中获得的额外ETH。
在检查这四种代币的链上数据时,会发现完全相同的模式。这证明有人通过自动化和重复性的方案精心策划操纵,其唯一目的是牟利。
市场操纵非DeFi独有
虽然FBI的方法有效揭露了这些做法,但市场滥用对加密货币来说并不新鲜,也不是DeFi独有。2019年,做市商Gotbit首席执行官公开讨论了其不道德业务,即帮助加密项目“伪装”,利用小型交易所的激励措施,在他们的平台上进行操纵。Gotbit首席执行官和两名董事也因涉及多种加密货币的类似计划而受到指控。
然而,在中心化交易中发现这种操纵是比较困难的。这些交易所只显示市场层面的订单和交易数据,因此很难确定虚假交易。不过,可以通过比较各交易所的交易模式和市场指标进行辅助。例如,如果交易量大大超过了资产和交易所的流动性(1%的市场深度),则可能是由于洗盘交易。一般像Meme币、隐私代币和低市值山寨币这样的代币,通常表现出异常高的量深比。
值得注意的是,交易量与流动性比率并不是完美的指标,因为交易量可能会受到旨在增加交易所交易量的交易所计划的严重影响,比如零佣金活动。
可以检查交易量的跨交易所相关性。对于一种资产来说,交易量趋势往往是在各交易所之间长期相关。一致的、单调的交易量、零交易量的时期或不同交易所之间的差异都可能是不正常交易活动的信号。
例如,当研究PEPE(在某些交易所中交易量与深度比率较高)时,注意到某匿名交易所和其他平台在2024年的交易量趋势存在很大差异。该交易所的PEPE交易量保持高位,甚至在7月份有所上升,而其他大多数交易所的PEPE交易量则有所下降。
更详细的交易数据显示,算法交易者活跃于该交易所上的PEPE-USDT市场。7月3日,在24小时内,有4,200笔100万PEPE的买入和卖出订单。
同样的交易对在7月份的其他交易日也出现了类似的模式,证实了自动交易活动。例如,在7月9日至12日之间,执行了超过5900笔200万PEPE的买卖交易。
一些迹象表明可能出现自动洗盘交易。这些迹象包括高成交量深度比,异常的每周交易模式,以及固定规模和快速执行的重复订单。在虚假交易中,一个实体同时下达买入和卖出指令,以虚假地增加交易量,使市场看起来更具流动性。
市场操纵和低效的界限很模糊
加密市场中的市场操纵有时会被误认为套利,即交易者从市场低效中获利。
韩国市场的“Fishing Net Pumping”就是一个例子。交易员利用存款和取款的暂时停顿人为地提高资产价格并获利。一个值得注意的例子是,在2023年遭到黑客攻击后,CRV代币在几家韩国交易所的交易暂停。
当某交易所暂停CRV代币的存取款时,由于大量购买,价格最初大幅上涨。然而,随着抛售开始迅速下跌。在暂停期间,由于买入,价格出现了几次短暂上涨,但之后总是出现卖出。总的来说,卖出多于买入。
一旦暂停结束,价格就会迅速下跌,因为交易者可以轻松地在交易所之间买卖以获利。由于流动性有限,这些暂停通常会吸引散户交易者和投机者,他们预计价格会上涨。
结论
如何识别加密市场的市场操纵研究仍处于早期阶段。然而,结合过去调查的数据和证据可以帮助监管机构、交易所和投资者在未来更好地解决这个问题。在DeFi中,区块链数据的透明度为检测所有代币的洗盘交易提供了独特的机会,并逐步提高了市场诚信度。
在中心化交易所,市场数据可以凸显新的市场滥用问题,并逐步使一些交易所的激励与公众利益保持一致。随着加密行业发展,利用所有可用数据可以帮助减少有害做法,创造更公平的交易环境。
APP 
