在去年的報告中,我們介紹了一種通過分析鏈上數據來檢測加密貨幣市場中可疑交易模式的新方法。我們專注於去中心化金融 (DeFi),因為它具有透明度和鏈上信息的可用性,而中心化交易平臺則無法提供此類信息。我們的方法追蹤的是行為模式而非意圖,這意味著它本身不足以證明市場操縱;然而,當與鏈下信息相結合時,它為更深入的調查提供了一個寶貴的起點。這種對基礎洞察的關注也是我們不估計受害者損失的原因,因為這種計算需要比鏈上分析多得多的數據。
本章重點介紹兩種常見的市場操縱形式:刷量交易和哄抬出貨騙局。刷量交易是指通過反覆買賣同一種資產來人為地增加交易量,從而造成對需求的誤導性看法。哄抬出貨騙局通過抬高資產價格(通常是通過協調炒作)來引誘毫無戒心的投資者,而內部人員則會在價格最高時拋售其持有的資產,讓不知情的資產持有者蒙受重大損失。
請繼續閱讀,我們將深入研究揭露這些可疑模式的方法,更清楚地瞭解市場操縱在加密領域的表現方式。
啟發式方法可以識別潛在的洗錢模式,這些模式顯示出洗錢集中在特定池子和少數參與者中
儘管不同司法管轄區對刷量交易的法律定義存在細微差別,但虛假交易一般被理解為幾乎同時買賣資產,且不發生任何受益權、所有權或市場地位的變化。
目前,大多數關於加密貨幣刷量交易的學術研究都集中在中心化交易所 (CEX) 上,這些交易所增加交易量的可能動機包括吸引用戶或攀升排行榜。與在 CEX 上交易不同,在去中心化交易所 (DEX) 上進行交易會產生gas 費用,從而使刷量交易的成本可能更高;儘管如此, 這種活動仍然存在。
世界各地的金融監管機構在識別傳統市場的刷量交易面臨挑戰,因為合謀策略各不相同,而且合謀交易可能隱藏在正常交易活動中。這些挑戰在加密貨幣領域往往以不同的形式出現,其中假名、去中心化平臺的使用以及缺乏全面的監管監督增加了複雜性。
在我們的研究中,我們主要關注ERC-20 代幣和BEP-20 代幣等可替代代幣,在識別刷量交易時遇到了以下困難:
- 最大可提取價值 (MEV) 機器人和套利者與刷量交易具有共同的特徵,因為他們在很短的時間間隔內買賣相同的代幣對。然而,這種活動通常不是為了提高交易量,而是為了抓住套利機會。
- 我們研究的大多數 DEX 都是基於 AMM (自動做市商)的,而不是基於訂單簿的,這在大多數傳統金融市場中很常見。在基於訂單簿的市場中,交易者以交易雙方之一設定的價格與直接交易對手進行交易。在基於 AMM 的市場中,交易者以算法確定的價格與流動性提供者提供的資產池進行交易。如果沒有一個交易者同時參與交易的雙方,那麼識別能夠實現預定洗盤結果的活動就更具挑戰性。此外,由於交易者無法控制交易的報價,因此也很難確定價格是故意結構化的洗盤交易的結果,還是AMM通過算法設定的價格。
無論如何,我們可以通過查看鏈上活動來識別表現出潛在刷量交易活動模式的加密地址,我們將通過分析兩個相關的啟發式方法來證明這一點。
刷量交易啟發法 1:跨交易匹配買賣
對於我們的第一個啟發式方法,我們應用了以下標準來識別潛在的虛假交易,以避免捕獲 MEV 機器人和套利者的活動,並排除不太可能由刷量交易驅動的某些高容量流動性池。我們尋找滿足所有三個標準的活動:
- 在25個區塊內(通常五分鐘內生成25個區塊)執行了一筆買入交易和一筆賣出交易的地址。
- 兩筆交易的美元交易量差異不到1%,這表明該筆交易並未產生有意義的利潤。
- 在研究的時間段內,單個地址執行了三筆或更多筆符合標準 1 和 2 的交易。
第一個啟發式方法表明,2024 年以太坊、 BNB智能鏈(BNB )和 Base 上的刷量交易量總計約為 7.04 億美元。從這個角度來看,通過該啟發式方法識別出的疑似刷量交易量佔 2024 年 11 月 DEX 總交易量的 0.035%。
下圖中 3 月、4 月和 6 月的交易量增加很可能是由於一些 DEX 池存在非常活躍的疑似刷量交易。
例如,4 月份,五個 DEX 池共計涉及價值 7800 萬美元的疑似刷量交易。儘管疑似刷量交易量全年波動,但涉及相關活動的 DEX 池數量保持相當穩定,平均每月約有 1,000 至 1,800 個池,佔每月活躍的約 500,000 個池的 0.2% 至 0.3%,這表明刷量交易可能集中在特定池中和/或由少數有針對性的參與者推動。
我們在以太坊、 BNB和 Base 上總共識別出 23,436 個唯一地址,這些地址表現出符合啟發式 1 標準的活動。平均而言,每個地址在研究的時間段內與兩個 DEX 池進行交易併發起 129 筆疑似洗盤交易,總交易量為 30,033 美元。但是,如下表所示,與四個或更多 DEX 池進行交易的地址佔啟發式 1 識別的總地址的 10%。這些地址佔 2024 年總疑似刷量交易量的 43%。
| 一個地址參與的 DEX 池數量 | 一個地址發起的虛假交易總量(美元) | 一個地址發起的虛假交易數量 | |
| 平均的 | 2 | 30,033美元 | 129 |
| 中位數 | 1 | $651 | 10 |
| 75 百分位數 | 2 | $5,940 | 二十五 |
| 90 百分位數 | 4 | $32,249 | 102 |
| 最大限度 | 241 | 17,334,934美元 | 54,684 |
2024 年的一個地址發起了超過 54,000 筆金額幾乎相同的買賣交易——這本身就非常可疑——說明了這種潛在活動的規模。
刷量交易啟發法 2:基於分散的檢測
對於我們的第二個啟發式方法,我們研究了代幣多發送者之間的活動,這些活動最初是為了通過促進將不同的代幣同時轉移到多個地址來簡化支付而開發的。不幸的是,許多壞人利用這些服務將資金分配到多個地址,通過算法管理它們,試圖掩蓋同一個人可能在操縱代幣。
考慮到這一點,我們採用了以下標準來識別疑似刷量交易,計算了兩個多發送者應用程序的ETH和BNB轉賬,並剔除了不太可能涉及刷量交易的主要資金池:
- 控制器地址將資金髮送到五個或更多管理地址。
- 通過代幣多發送者從相應的控制者地址接收其第一筆ETH或BNB存款的管理地址。
- 單個流動性池中管理地址執行的買賣雙方美元總價值差異小於5%。
啟發式 2 表明,2024 年以太坊、 BNB和 Base 上的虛假交易量總計約為 18.7 億美元。2024 年 11 月,暗示的虛假交易量佔 DEX 總交易量的 0.046%。
與第一個啟發式方法類似,下圖中 2024 年 3 月至 2024 年 4 月之間觀察到的峰值與 2024 年最突出的運營商的活動相吻合。例如,4 月份,僅三個控制者地址就佔了 3.18 億美元的疑似刷量交易量。
2024 年 1 月,一個控制者地址的疑似虛假交易量約為 1.4299 億美元。儘管 2024 年全年每月估計的虛假交易量波動很大,但活躍控制者地址的數量更加穩定,在 1 月至 6 月期間呈現穩步上升趨勢。
仔細研究這些地址後,我們發現控制器地址在 2024 年平均管理著 183 個地址。如下表所示,單個控制器地址可以管理數萬個地址。
| 一個操作員控制的地址數 | |
| 平均的 | 183 |
| 中位數 | 7 |
| 75 百分位數 | 21 |
| 90 百分位數 | 100.00 |
| 最大限度 | 22,832 |
2024 年,一個控制者地址的平均疑似洗盤交易量約為 366 萬美元。如下圖所示,一個地址控制的疑似刷量交易最高交易量可達數億美元,說明了這種誇大活動的潛在規模。
| 單個操作員執行的虛假交易總量(美元) | |
| 平均的 | $3,661,934 |
| 中位數 | 11,742美元 |
| 75 百分位數 | $223,446 |
| 90 百分位數 | 1,918,388 美元 |
| 最大限度 | $313,585,875 |
啟發式方法 1 和 2 使用不同的方法來檢測不同的潛在刷量交易策略。通過將啟發式方法 1(7.04 億美元)和啟發式方法 2(18.7 億美元)的總數相加,我們發現潛在的刷量交易活動總額為 25.7 億美元。每個啟發式方法檢測到的金額可能存在重疊 - 換句話說,兩個啟發式方法可能都檢測到了一些可疑的刷量交易活動 - 因此我們認為這是該方法的上限估計值。
刷量交易案例研究:交易量提升機器人,Volume.li
刷量交易已成為加密貨幣市場誠信的一個主要問題,引起了美國監管機構和執法部門的關注。例如,2024 年 10 月 9 日,美國證券交易委員會 (SEC)指控四家做市商——ZM Quant、Gorbit、CLS Global 和 MyTrade——製造虛假代幣交易量。美國國稅局 (IRS) 後來報告稱,這一刷量交易計劃涉及18 名個人和實體,他們在英國和葡萄牙設有接觸點,經營一項國際交易計劃。
本案中,做市商通過操作交易機器人進行涉嫌非法交易,這些交易機器人創造了虛假的代幣交易量。通常,為此目的構建和操作機器人的策略很難與 CEX 和 DEX 上的普通交易區分開來。
為了深入探究這一過程的工作原理,我們研究了一個名為Volume.li的助推機器人服務,該服務為想要在 DEX 上創建虛假交易量的客戶提供交易機器人。雖然 SEC 在上述案件中指控的人員沒有使用這項服務,但它展示了虛假交易者如何利用工具進行類似活動。根據其網站,Volume.li 迄今為止共產生了 2.575 億美元的交易量。
客戶可以選擇在 24 小時內購買不同交易量的機器人,從 50 美元到 100,000 美元不等。Volume.li 網站稱,24 小時內產生 100,000 美元交易量的機器人成本為 0.212 ETH。客戶支付這筆費用後,機器人將快速連續地買賣代幣 100 次。
在下面的例子中,購買的交易機器人在Uniswap上生成了 SoylanaManletCaptainZ 代幣(ANSEM)與 wETH 配對的虛假交易。
我們發現,該交易機器人使用特定函數 (0x5f437312) 來發起交易。通常, Uniswap中的交換是在路由器合約收到交易時啟動的,這意味著合約是接收者。然而,在這些類型的交易中,一些地址(可能由 Volume.li 控制)將交易發送到它們管理的智能合約,調用 0x5f437312 函數。這些智能合約充當中介,隨後在Uniswap上觸發多筆虛假交易。
一個通過 Volume.li 增加交易量的資產示例是 Donald J. Chump 代幣,截至 2025 年 1 月,該代幣共有 6,939 名持有者。在五天內,Volume.li 的機器人使用五個不同的地址生成了 10,341 對買賣訂單,共計產生了 39,723 美元的虛假交易量。從 7 月 27 日到 7 月 30 日,該代幣發行方嚴重依賴 Volume.li 來產生流動性,這約佔該代幣在Uniswap上總交易量的 43%。
正如 Volume.li 所舉例說明的,即使我們的起點是在鏈下,將感興趣平臺的開源研究與我們自己的啟發式方法相結合,也可以對潛在的鏈上市場操縱產生強有力的見解。
2024 年發行的所有代幣中有 4.52% 顯示出可能與哄抬和拋售計劃有關的模式
2024 年,區塊鏈生態系統中推出了超過 300 萬個代幣,其中約 129 萬個(42.54%)在 DEX 上上市。
去年,我們注意到大多數新代幣都是在以太坊上開發的,因為使用 ERC-20 標準創建代幣非常容易。儘管以太坊仍然是 DEX 上活躍交易代幣數量最多的鏈,但我們注意到許多代幣創建者使用其他鏈,例如BNB和 Base。在下圖中,我們看到,在 2024 年的大多數月份,這些鏈上發行了數十萬種代幣,7 月份發行量超過 40 萬種。
儘管 2024 年發行的代幣數量驚人,但在過去 30 天內,只有一小部分(1.7%)交易活躍。那麼,為什麼這麼多代幣似乎處於休眠狀態?一種可能性是,許多代幣在發行後不久就被拋棄了,可能是因為缺乏興趣或未能獲得關注。也有可能其中一些代幣助長了故意的短暫計劃,旨在利用最初的炒作,然後逐漸消失,也稱為哄抬股價或拉票。
以下是哄抬股價騙局如何利用代幣運作的示例:
- 加密參與者要麼推出新的代幣,要麼購買現有代幣的大量供應(通常是歷史交易量較低的代幣)。
- 該參與者使用社交媒體和/或在線聊天室來炒作代幣。
- 這種炒作吸引了其他用戶的注意,從而導致代幣的購買壓力增加。
- 初始參與者還可能參與上一節所述的刷量交易,以進一步人為地抬高代幣的交易量。
- 如果這些方法成功,代幣的價值就會上升。
- 一旦代幣達到期望的價格目標,原始參與者就會清算其頭寸以獲取利潤。
- 由於拋售壓力,代幣價格迅速下跌,導致許多受害者“陷入困境”。
- 如果參與者也是代幣創建者或流動性池的主要流動性提供者之一,他們也可能完全跑路該項目,帶走更多用戶的資金。然而,在某些情況下,治理協議可能不允許這樣做。
使用鏈上分析可以識別許多此類活動,我們使用以下標準來識別潛在的哄抬和拋售計劃。我們尋找滿足所有三個標準的活動:
- 一個地址為代幣的流動性池增加了價值,隨後又移除了該池至少 65% 的流動性,價值 1,000 美元或更多。
- 代幣的流動性池不再活躍。
- 該流動資金池此前已獲得關注,其中已發生超過 100 筆交易。
今年,我們對方法論做了幾項修改,採用了更嚴格的標準來提高準確性。首先,我們將流動性移除Threshold從去年的 70% 放寬至 65%,以捕捉流動性量較大的代幣。我們還用完全不活躍的流動性池取代了流動性價值 300 美元或以下的代幣標準(如果過去 30 天內沒有發生任何交易,我們會認為流動性池不活躍)。最後,我們將原來的代幣被 DEX 參與者購買至少五次且與代幣最大持有者沒有鏈上聯繫的標準,改為流動性池有超過 100 筆交易的標準。
| 代幣數量 | 佔已發行代幣總數的百分比 | |
| 2024 年發行的代幣數量 | 3,033,931 | 100% |
| DEX 上列出的代幣數量 | 1,290,512 | 42.54% |
| 疑似哄抬股價的代幣數量 | 137,158 | 4.52% |
大約 89% 涉嫌哄抬和拋售的 DEX 池似乎由創建 DEX 池的地址操縱。其餘 11% 似乎由池或代幣部署者資助的地址操縱。在某些情況下,池部署者地址和操縱池的地址由同一地址來源資助,這表明可能存在協同努力來利用用戶。
| 全部的 | |
| 由部署 DEX 池的同一參與者傾銷的池數量 | 140,398 |
| 涉嫌參與哄抬股價的 DEX 礦池總數 | 157,746 |
| 由部署 DEX 池的同一參與者傾銷的池份額 | 89.00% |
DEX 池啟動後,通常需要幾天到幾個月的時間才會放棄相關代幣。正如我們在下表中看到的那樣,平均需要六到七天,而 1% 的疑似哄抬和拋售計劃持續時間超過四到五個月。
| 全部的 | |
| 平均天數 | 6.51 |
| 中位數(天) | 0 |
| 75 百分位數(以天為單位) | 0 |
| 以天為單位的第 90 百分位數 | 12 |
| 99 百分位數(以天為單位) | 125 |
應對加密貨幣市場操縱的挑戰
市場操縱仍然是加密行業參與者和當局關注的一個關鍵問題,因為他們努力跟上快速發展的行業。市場操縱的複雜性和動態性,加上加密的獨特特性(例如其假名性和去中心化),加劇了挑戰。因此,必須採取一種強大而協調的方法——充分利用鏈上數據和分析的力量,以便主動檢測和預防操縱活動。
本網站包含指向不受 Chainalysis, Inc. 或其關聯公司(統稱“Chainalysis”)控制的第三方網站的鏈接。訪問此類信息並不意味著 Chainalysis 與該網站或其運營商有關聯、認可、批准或推薦,並且 Chainalysis 不對其中託管的產品、服務或其他內容負責。
本材料僅供參考,不旨在提供法律、稅務、財務或投資建議。收件人在做出此類決定之前應諮詢自己的顧問。Chainalysis 對收件人使用本材料時做出的任何決定或任何其他行為或疏忽不承擔任何責任。
Chainalysis 不保證或擔保本報告中信息的準確性、完整性、及時性、適用性或有效性,並且不對因該材料任何部分的錯誤、遺漏或其他不準確之處而導致的任何索賠負責。
