在去年的报告中,我们介绍了一种通过分析链上数据来检测加密货币市场中可疑交易模式的新方法。我们专注于去中心化金融 (DeFi),因为它具有透明度和链上信息的可用性,而中心化交易平台则无法提供此类信息。我们的方法追踪的是行为模式而非意图,这意味着它本身不足以证明市场操纵;然而,当与链下信息相结合时,它为更深入的调查提供了一个宝贵的起点。这种对基础洞察的关注也是我们不估计受害者损失的原因,因为这种计算需要比链上分析多得多的数据。
本章重点介绍两种常见的市场操纵形式:刷量交易和哄抬出货骗局。刷量交易是指通过反复买卖同一种资产来人为地增加交易量,从而造成对需求的误导性看法。哄抬出货骗局通过抬高资产价格(通常是通过协调炒作)来引诱毫无戒心的投资者,而内部人员则会在价格最高时抛售其持有的资产,让不知情的资产持有者蒙受重大损失。
请继续阅读,我们将深入研究揭露这些可疑模式的方法,更清楚地了解市场操纵在加密领域的表现方式。
启发式方法可以识别潜在的洗钱模式,这些模式显示出洗钱集中在特定池子和少数参与者中
尽管不同司法管辖区对刷量交易的法律定义存在细微差别,但虚假交易一般被理解为几乎同时买卖资产,且不发生任何受益权、所有权或市场地位的变化。
目前,大多数关于加密货币刷量交易的学术研究都集中在中心化交易所 (CEX) 上,这些交易所增加交易量的可能动机包括吸引用户或攀升排行榜。与在 CEX 上交易不同,在去中心化交易所 (DEX) 上进行交易会产生gas 费用,从而使刷量交易的成本可能更高;尽管如此, 这种活动仍然存在。
世界各地的金融监管机构在识别传统市场的刷量交易面临挑战,因为合谋策略各不相同,而且合谋交易可能隐藏在正常交易活动中。这些挑战在加密货币领域往往以不同的形式出现,其中假名、去中心化平台的使用以及缺乏全面的监管监督增加了复杂性。
在我们的研究中,我们主要关注ERC-20 代币和BEP-20 代币等可替代代币,在识别刷量交易时遇到了以下困难:
- 最大可提取价值 (MEV) 机器人和套利者与刷量交易具有共同的特征,因为他们在很短的时间间隔内买卖相同的代币对。然而,这种活动通常不是为了提高交易量,而是为了抓住套利机会。
- 我们研究的大多数 DEX 都是基于 AMM (自动做市商)的,而不是基于订单簿的,这在大多数传统金融市场中很常见。在基于订单簿的市场中,交易者以交易双方之一设定的价格与直接交易对手进行交易。在基于 AMM 的市场中,交易者以算法确定的价格与流动性提供者提供的资产池进行交易。如果没有一个交易者同时参与交易的双方,那么识别能够实现预定洗盘结果的活动就更具挑战性。此外,由于交易者无法控制交易的报价,因此也很难确定价格是故意结构化的洗盘交易的结果,还是AMM通过算法设定的价格。
无论如何,我们可以通过查看链上活动来识别表现出潜在刷量交易活动模式的加密地址,我们将通过分析两个相关的启发式方法来证明这一点。
刷量交易启发法 1:跨交易匹配买卖
对于我们的第一个启发式方法,我们应用了以下标准来识别潜在的虚假交易,以避免捕获 MEV 机器人和套利者的活动,并排除不太可能由刷量交易驱动的某些高容量流动性池。我们寻找满足所有三个标准的活动:
- 在25个区块内(通常五分钟内生成25个区块)执行了一笔买入交易和一笔卖出交易的地址。
- 两笔交易的美元交易量差异不到1%,这表明该笔交易并未产生有意义的利润。
- 在研究的时间段内,单个地址执行了三笔或更多笔符合标准 1 和 2 的交易。
第一个启发式方法表明,2024 年以太坊、 BNB智能链(BNB )和 Base 上的刷量交易量总计约为 7.04 亿美元。从这个角度来看,通过该启发式方法识别出的疑似刷量交易量占 2024 年 11 月 DEX 总交易量的 0.035%。
下图中 3 月、4 月和 6 月的交易量增加很可能是由于一些 DEX 池存在非常活跃的疑似刷量交易。
例如,4 月份,五个 DEX 池共计涉及价值 7800 万美元的疑似刷量交易。尽管疑似刷量交易量全年波动,但涉及相关活动的 DEX 池数量保持相当稳定,平均每月约有 1,000 至 1,800 个池,占每月活跃的约 500,000 个池的 0.2% 至 0.3%,这表明刷量交易可能集中在特定池中和/或由少数有针对性的参与者推动。
我们在以太坊、 BNB和 Base 上总共识别出 23,436 个唯一地址,这些地址表现出符合启发式 1 标准的活动。平均而言,每个地址在研究的时间段内与两个 DEX 池进行交易并发起 129 笔疑似洗盘交易,总交易量为 30,033 美元。但是,如下表所示,与四个或更多 DEX 池进行交易的地址占启发式 1 识别的总地址的 10%。这些地址占 2024 年总疑似刷量交易量的 43%。
| 一个地址参与的 DEX 池数量 | 一个地址发起的虚假交易总量(美元) | 一个地址发起的虚假交易数量 | |
| 平均的 | 2 | 30,033美元 | 129 |
| 中位数 | 1 | $651 | 10 |
| 75 百分位数 | 2 | $5,940 | 二十五 |
| 90 百分位数 | 4 | $32,249 | 102 |
| 最大限度 | 241 | 17,334,934美元 | 54,684 |
2024 年的一个地址发起了超过 54,000 笔金额几乎相同的买卖交易——这本身就非常可疑——说明了这种潜在活动的规模。
刷量交易启发法 2:基于分散的检测
对于我们的第二个启发式方法,我们研究了代币多发送者之间的活动,这些活动最初是为了通过促进将不同的代币同时转移到多个地址来简化支付而开发的。不幸的是,许多坏人利用这些服务将资金分配到多个地址,通过算法管理它们,试图掩盖同一个人可能在操纵代币。
考虑到这一点,我们采用了以下标准来识别疑似刷量交易,计算了两个多发送者应用程序的ETH和BNB转账,并剔除了不太可能涉及刷量交易的主要资金池:
- 控制器地址将资金发送到五个或更多管理地址。
- 通过代币多发送者从相应的控制者地址接收其第一笔ETH或BNB存款的管理地址。
- 单个流动性池中管理地址执行的买卖双方美元总价值差异小于5%。
启发式 2 表明,2024 年以太坊、 BNB和 Base 上的虚假交易量总计约为 18.7 亿美元。2024 年 11 月,暗示的虚假交易量占 DEX 总交易量的 0.046%。
与第一个启发式方法类似,下图中 2024 年 3 月至 2024 年 4 月之间观察到的峰值与 2024 年最突出的运营商的活动相吻合。例如,4 月份,仅三个控制者地址就占了 3.18 亿美元的疑似刷量交易量。
2024 年 1 月,一个控制者地址的疑似虚假交易量约为 1.4299 亿美元。尽管 2024 年全年每月估计的虚假交易量波动很大,但活跃控制者地址的数量更加稳定,在 1 月至 6 月期间呈现稳步上升趋势。
仔细研究这些地址后,我们发现控制器地址在 2024 年平均管理着 183 个地址。如下表所示,单个控制器地址可以管理数万个地址。
| 一个操作员控制的地址数 | |
| 平均的 | 183 |
| 中位数 | 7 |
| 75 百分位数 | 21 |
| 90 百分位数 | 100.00 |
| 最大限度 | 22,832 |
2024 年,一个控制者地址的平均疑似洗盘交易量约为 366 万美元。如下图所示,一个地址控制的疑似刷量交易最高交易量可达数亿美元,说明了这种夸大活动的潜在规模。
| 单个操作员执行的虚假交易总量(美元) | |
| 平均的 | $3,661,934 |
| 中位数 | 11,742美元 |
| 75 百分位数 | $223,446 |
| 90 百分位数 | 1,918,388 美元 |
| 最大限度 | $313,585,875 |
启发式方法 1 和 2 使用不同的方法来检测不同的潜在刷量交易策略。通过将启发式方法 1(7.04 亿美元)和启发式方法 2(18.7 亿美元)的总数相加,我们发现潜在的刷量交易活动总额为 25.7 亿美元。每个启发式方法检测到的金额可能存在重叠 - 换句话说,两个启发式方法可能都检测到了一些可疑的刷量交易活动 - 因此我们认为这是该方法的上限估计值。
刷量交易案例研究:交易量提升机器人,Volume.li
刷量交易已成为加密货币市场诚信的一个主要问题,引起了美国监管机构和执法部门的关注。例如,2024 年 10 月 9 日,美国证券交易委员会 (SEC)指控四家做市商——ZM Quant、Gorbit、CLS Global 和 MyTrade——制造虚假代币交易量。美国国税局 (IRS) 后来报告称,这一刷量交易计划涉及18 名个人和实体,他们在英国和葡萄牙设有接触点,经营一项国际交易计划。
本案中,做市商通过操作交易机器人进行涉嫌非法交易,这些交易机器人创造了虚假的代币交易量。通常,为此目的构建和操作机器人的策略很难与 CEX 和 DEX 上的普通交易区分开来。
为了深入探究这一过程的工作原理,我们研究了一个名为Volume.li的助推机器人服务,该服务为想要在 DEX 上创建虚假交易量的客户提供交易机器人。虽然 SEC 在上述案件中指控的人员没有使用这项服务,但它展示了虚假交易者如何利用工具进行类似活动。根据其网站,Volume.li 迄今为止共产生了 2.575 亿美元的交易量。
客户可以选择在 24 小时内购买不同交易量的机器人,从 50 美元到 100,000 美元不等。Volume.li 网站称,24 小时内产生 100,000 美元交易量的机器人成本为 0.212 ETH。客户支付这笔费用后,机器人将快速连续地买卖代币 100 次。
在下面的例子中,购买的交易机器人在Uniswap上生成了 SoylanaManletCaptainZ 代币(ANSEM)与 wETH 配对的虚假交易。
我们发现,该交易机器人使用特定函数 (0x5f437312) 来发起交易。通常, Uniswap中的交换是在路由器合约收到交易时启动的,这意味着合约是接收者。然而,在这些类型的交易中,一些地址(可能由 Volume.li 控制)将交易发送到它们管理的智能合约,调用 0x5f437312 函数。这些智能合约充当中介,随后在Uniswap上触发多笔虚假交易。
一个通过 Volume.li 增加交易量的资产示例是 Donald J. Chump 代币,截至 2025 年 1 月,该代币共有 6,939 名持有者。在五天内,Volume.li 的机器人使用五个不同的地址生成了 10,341 对买卖订单,共计产生了 39,723 美元的虚假交易量。从 7 月 27 日到 7 月 30 日,该代币发行方严重依赖 Volume.li 来产生流动性,这约占该代币在Uniswap上总交易量的 43%。
正如 Volume.li 所举例说明的,即使我们的起点是在链下,将感兴趣平台的开源研究与我们自己的启发式方法相结合,也可以对潜在的链上市场操纵产生强有力的见解。
2024 年发行的所有代币中有 4.52% 显示出可能与哄抬和抛售计划有关的模式
2024 年,区块链生态系统中推出了超过 300 万个代币,其中约 129 万个(42.54%)在 DEX 上上市。
去年,我们注意到大多数新代币都是在以太坊上开发的,因为使用 ERC-20 标准创建代币非常容易。尽管以太坊仍然是 DEX 上活跃交易代币数量最多的链,但我们注意到许多代币创建者使用其他链,例如BNB和 Base。在下图中,我们看到,在 2024 年的大多数月份,这些链上发行了数十万种代币,7 月份发行量超过 40 万种。
尽管 2024 年发行的代币数量惊人,但在过去 30 天内,只有一小部分(1.7%)交易活跃。那么,为什么这么多代币似乎处于休眠状态?一种可能性是,许多代币在发行后不久就被抛弃了,可能是因为缺乏兴趣或未能获得关注。也有可能其中一些代币助长了故意的短暂计划,旨在利用最初的炒作,然后逐渐消失,也称为哄抬股价或拉票。
以下是哄抬股价骗局如何利用代币运作的示例:
- 加密参与者要么推出新的代币,要么购买现有代币的大量供应(通常是历史交易量较低的代币)。
- 该参与者使用社交媒体和/或在线聊天室来炒作代币。
- 这种炒作吸引了其他用户的注意,从而导致代币的购买压力增加。
- 初始参与者还可能参与上一节所述的刷量交易,以进一步人为地抬高代币的交易量。
- 如果这些方法成功,代币的价值就会上升。
- 一旦代币达到期望的价格目标,原始参与者就会清算其头寸以获取利润。
- 由于抛售压力,代币价格迅速下跌,导致许多受害者“陷入困境”。
- 如果参与者也是代币创建者或流动性池的主要流动性提供者之一,他们也可能完全跑路该项目,带走更多用户的资金。然而,在某些情况下,治理协议可能不允许这样做。
使用链上分析可以识别许多此类活动,我们使用以下标准来识别潜在的哄抬和抛售计划。我们寻找满足所有三个标准的活动:
- 一个地址为代币的流动性池增加了价值,随后又移除了该池至少 65% 的流动性,价值 1,000 美元或更多。
- 代币的流动性池不再活跃。
- 该流动资金池此前已获得关注,其中已发生超过 100 笔交易。
今年,我们对方法论做了几项修改,采用了更严格的标准来提高准确性。首先,我们将流动性移除Threshold从去年的 70% 放宽至 65%,以捕捉流动性量较大的代币。我们还用完全不活跃的流动性池取代了流动性价值 300 美元或以下的代币标准(如果过去 30 天内没有发生任何交易,我们会认为流动性池不活跃)。最后,我们将原来的代币被 DEX 参与者购买至少五次且与代币最大持有者没有链上联系的标准,改为流动性池有超过 100 笔交易的标准。
| 代币数量 | 占已发行代币总数的百分比 | |
| 2024 年发行的代币数量 | 3,033,931 | 100% |
| DEX 上列出的代币数量 | 1,290,512 | 42.54% |
| 疑似哄抬股价的代币数量 | 137,158 | 4.52% |
大约 89% 涉嫌哄抬和抛售的 DEX 池似乎由创建 DEX 池的地址操纵。其余 11% 似乎由池或代币部署者资助的地址操纵。在某些情况下,池部署者地址和操纵池的地址由同一地址来源资助,这表明可能存在协同努力来利用用户。
| 全部的 | |
| 由部署 DEX 池的同一参与者倾销的池数量 | 140,398 |
| 涉嫌参与哄抬股价的 DEX 矿池总数 | 157,746 |
| 由部署 DEX 池的同一参与者倾销的池份额 | 89.00% |
DEX 池启动后,通常需要几天到几个月的时间才会放弃相关代币。正如我们在下表中看到的那样,平均需要六到七天,而 1% 的疑似哄抬和抛售计划持续时间超过四到五个月。
| 全部的 | |
| 平均天数 | 6.51 |
| 中位数(天) | 0 |
| 75 百分位数(以天为单位) | 0 |
| 以天为单位的第 90 百分位数 | 12 |
| 99 百分位数(以天为单位) | 125 |
应对加密货币市场操纵的挑战
市场操纵仍然是加密行业参与者和当局关注的一个关键问题,因为他们努力跟上快速发展的行业。市场操纵的复杂性和动态性,加上加密的独特特性(例如其假名性和去中心化),加剧了挑战。因此,必须采取一种强大而协调的方法——充分利用链上数据和分析的力量,以便主动检测和预防操纵活动。
本网站包含指向不受 Chainalysis, Inc. 或其关联公司(统称“Chainalysis”)控制的第三方网站的链接。访问此类信息并不意味着 Chainalysis 与该网站或其运营商有关联、认可、批准或推荐,并且 Chainalysis 不对其中托管的产品、服务或其他内容负责。
本材料仅供参考,不旨在提供法律、税务、财务或投资建议。收件人在做出此类决定之前应咨询自己的顾问。Chainalysis 对收件人使用本材料时做出的任何决定或任何其他行为或疏忽不承担任何责任。
Chainalysis 不保证或担保本报告中信息的准确性、完整性、及时性、适用性或有效性,并且不对因该材料任何部分的错误、遗漏或其他不准确之处而导致的任何索赔负责。
