Vào ngày 9 tháng 10, ba nhà tạo lập thị trường (ZM Quant, CLS Global và MyTrade) cùng một số nhân viên của họ đã bị cáo buộc vì nghi ngờ có hành vi thông đồng thực hiện giao dịch giả mạo thay mặt cho token NexFundAI và các thực thể tiền điện tử. Theo chứng cứ từ FBI, tổng cộng có 18 cá nhân và thực thể phải đối mặt với các cáo buộc này.
Bài viết này sẽ đi sâu vào dữ liệu chuỗi của token NexFundAI để xác định các mô hình giao dịch giả mạo có thể mở rộng sang các token khác và đặt câu hỏi về tính thanh khoản của một số token cụ thể. Hơn nữa, bài viết sẽ khám phá các chiến lược giao dịch giả mạo khác trong lĩnh vực DeFi, cũng như cách phát hiện các hoạt động bất hợp pháp trên các nền tảng tập trung, và cuối cùng là nghiên cứu về thao túng giá trên thị trường Hàn Quốc.
Nhận diện giao dịch giả mạo trong dữ liệu token của FBI
NexFundAI là một công ty được thành lập bởi FBI vào tháng 5 năm 2024 để phát hành token nhằm vạch trần các hành vi thao túng thị trường trong ngành tiền điện tử. Các công ty bị cáo buộc đã đại diện cho khách hàng thực hiện giao dịch giả mạo thuật toán, kế hoạch thổi giá và xả hàng, cũng như các chiến lược thao túng khác, thường diễn ra trên các sàn giao dịch như Uniswap. Những hành vi này nhằm vào các token mới phát hành hoặc có vốn hóa nhỏ, tạo ra ảo giác về một thị trường sôi động để thu hút các nhà đầu tư thực sự, qua đó nâng cao giá cả và sự nổi bật của token.
Những người liên quan đã thừa nhận rõ ràng trong cuộc điều tra của FBI, mô tả quy trình và ý định của họ. Một số người thậm chí xác nhận rằng “đây là cách chúng tôi thường hoạt động trên Uniswap”.
Để khám phá dữ liệu về đồng token giả mạo NexFundAI của FBI, bài viết này sẽ kiểm tra các giao dịch chuyển nhượng trên chuỗi của token này. Những dữ liệu này cung cấp thông tin đầy đủ từ khi phát hành cho đến từng ví và địa chỉ hợp đồng thông minh nắm giữ những token này.
Dữ liệu cho thấy, nhà phát hành token đã cấp vốn cho một ví của nhà tạo lập thị trường (market maker) bằng token, và sau đó ví này đã phân bổ lại vốn cho hàng chục ví khác, những ví này được nổi bật bằng cụm màu xanh đậm.
Sau đó, các khoản vốn này được sử dụng cho các giao dịch rửa tiền trên thị trường thứ cấp duy nhất của token, thị trường này được nhà phát hành tạo ra trên Uniswap, và được xác định trong biểu đồ là điểm hội tụ của hầu hết các ví đã nhận và/hoặc chuyển token này trong khoảng thời gian từ tháng 5 đến tháng 9 năm 2024.
Những phát hiện này càng củng cố điều tra của FBI. Các công ty bị cáo buộc đã sử dụng nhiều bot và hàng trăm ví để thực hiện các giao dịch giả mạo.
Để hoàn thiện phân tích và xác nhận tính giả mạo của các chuyển khoản từ một số ví (đặc biệt là những ví trong cụm), bài viết đã xác định ngày chuyển khoản đầu tiên mà mỗi ví nhận được và xem xét toàn bộ chuỗi, không chỉ riêng các giao dịch chuyển nhượng token NexFundAI. Dữ liệu cho thấy, trong số 485 ví, có 148 ví (28%) lần đầu tiên nhận vốn từ ít nhất 5 ví khác trong cùng một khối.
Các địa chỉ giao dịch của đồng token chưa biết này hiển nhiên khó có khả năng thể hiện mô hình này. Do đó, ít nhất 138 địa chỉ này có thể liên quan đến các thuật toán giao dịch, và có khả năng được sử dụng cho các giao dịch rửa tiền.
Để xác nhận thêm về các giao dịch rửa tiền liên quan đến token này, dữ liệu thị trường của thị trường thứ cấp duy nhất của token đã được kiểm tra. Bằng cách tổng hợp khối lượng giao dịch hàng ngày trên thị trường Uniswap này và so sánh khối lượng mua và bán, đã phát hiện ra sự đối xứng đáng kinh ngạc giữa hai bên. Sự đối xứng này cho thấy rằng nhà tạo lập thị trường đang hàng ngày bù đắp tổng số tiền giao dịch của tất cả các ví tham gia vào việc rửa tiền trên thị trường này.
Bằng cách quan sát các giao dịch đơn lẻ và phân loại các giao dịch dựa trên địa chỉ ví, phát hiện rằng một số địa chỉ đã thực hiện các giao dịch hoàn toàn giống nhau trong hoạt động giao dịch trong một tháng (cùng một số tiền, cùng thời điểm). Điều này cho thấy các địa chỉ này có liên quan đến nhau và tồn tại các chiến lược giao dịch giả mạo.
Sau khi sử dụng giải pháp dữ liệu ví của Kaiko để điều tra thêm, đã phát hiện ra rằng hai địa chỉ này, mặc dù chưa bao giờ tương tác trên chuỗi, nhưng đều được tài trợ bởi cùng một địa chỉ ví 0x4aa6a6231630ad13ef52c06de3d3d3850fafcd70 bằng token WETH. Chính ví này được tài trợ bởi một hợp đồng thông minh của Railgun. Theo thông tin từ trang web của Railgun, “Railgun là một hợp đồng thông minh dành cho các nhà giao dịch chuyên nghiệp và người dùng DeFi, cung cấp bảo mật quyền riêng tư cho các giao dịch tiền điện tử.” Những phát hiện này cho thấy địa chỉ ví đang che giấu một số bí mật, chẳng hạn như thao túng thị trường hoặc hành vi tồi tệ hơn.
Lừa đảo DeFi không chỉ giới hạn ở NexFundAI
Các hành vi thao túng trong DeFi không chỉ dừng lại ở cuộc điều tra của FBI. Dữ liệu cho thấy, trong số hơn 200.000 tài sản trên các sàn giao dịch phi tập trung (DEX) của Ethereum, có nhiều tài sản thiếu tính ứng dụng và được kiểm soát bởi cá nhân.
Một số nhà phát hành token trên Ethereum đang thiết lập các pool thanh khoản ngắn hạn trên Uniswap. Bằng cách kiểm soát thanh khoản của các pool này và thực hiện giao dịch rửa tiền với nhiều ví khác nhau, họ đã tăng cường sức hấp dẫn của các pool đối với các nhà đầu tư thông thường, tích lũy ETH và bán tháo token của mình. Như đã được trình bày, khoảng 10 ngày sau, đã tạo ra gấp 22 lần khoản đầu tư ETH ban đầu. Phân tích này đã tiết lộ sự tồn tại phổ biến của hành vi lừa đảo trong các nhà phát hành token, vượt ra ngoài cuộc điều tra của FBI về NexFundAI.
Dữ liệu mô hình: Ví dụ về token GIGA 2.0
Người dùng (chẳng hạn như 0x33ee6449b05193766f839d6f84f7afd5c9bb3c93) nhận (và khởi xướng) toàn bộ nguồn cung của token mới từ một địa chỉ (chẳng hạn như 0x000).
Người dùng ngay lập tức (trong vòng một ngày) chuyển token và một số ETH để tạo ra một pool mới trên Uniswap V2. Họ sở hữu toàn bộ tính thanh khoản và nhận được các token UNI-V2 để đại diện cho sự đóng góp của mình.
Sau khoảng 10 ngày, người dùng sẽ rút toàn bộ tính thanh khoản, hủy bỏ các token UNI-V2 của mình và thu hồi ETH bổ sung kiếm được từ phí giao dịch trong pool.
Khi phân tích dữ liệu chuỗi của bốn loại token này, phát hiện ra rằng có một mô hình hoàn toàn giống nhau. Điều này cho thấy một số người đã lên kế hoạch thao túng một cách tinh vi thông qua các chương trình tự động và lặp đi lặp lại, với mục đích duy nhất là kiếm lợi.
Thao túng thị trường không phải là đặc quyền của DeFi
Mặc dù phương pháp của FBI đã phát hiện ra những hành vi này, nhưng việc lạm dụng thị trường trong lĩnh vực tiền điện tử không phải là điều mới mẻ và cũng không chỉ giới hạn ở DeFi. Vào năm 2019, Giám đốc điều hành của làm thị trường Gotbit đã công khai thảo luận về mô hình kinh doanh phi đạo đức của mình, giúp các dự án tiền điện tử “giả mạo” và tận dụng các cơ chế khuyến khích của các sàn giao dịch nhỏ để thao túng trên nền tảng của họ. Giám đốc điều hành của Gotbit và hai giám đốc khác cũng bị cáo buộc liên quan đến các kế hoạch tương tự cho nhiều loại tiền điện tử.
Tuy nhiên, việc phát hiện thao túng trong giao dịch tập trung là khá khó khăn. Các sàn giao dịch chỉ hiển thị dữ liệu đơn hàng và giao dịch ở cấp độ thị trường, do đó rất khó để xác định sự tồn tại của các giao dịch giả. Tuy nhiên, có thể hỗ trợ phân tích bằng cách so sánh mô hình giao dịch và chỉ số thị trường của các sàn giao dịch khác nhau. Ví dụ, nếu khối lượng giao dịch vượt xa tính thanh khoản của tài sản và sàn giao dịch (1% độ sâu thị trường), thì có thể đó là do giao dịch rửa. Thông thường, các loại token như Meme coin, token riêng tư và altcoin có giá trị vốn hóa nhỏ thường biểu hiện tỷ lệ khối lượng/độ sâu bất thường cao.
Cần lưu ý rằng tỷ lệ khối lượng giao dịch với tính thanh khoản không phải là chỉ số hoàn hảo, vì khối lượng giao dịch có thể bị ảnh hưởng nặng nề bởi các chương trình của sàn giao dịch nhằm tăng khối lượng giao dịch, chẳng hạn như các hoạt động không tính phí giao dịch.
Tương quan khối lượng giao dịch qua các sàn
Có thể kiểm tra sự tương quan của khối lượng giao dịch giữa các sàn giao dịch khác nhau. Đối với một tài sản, xu hướng khối lượng giao dịch thường giữ liên kết lâu dài giữa các sàn giao dịch. Sự đồng nhất, đơn điệu trong khối lượng giao dịch, các giai đoạn không có giao dịch hoặc sự khác biệt giữa các sàn giao dịch có thể là dấu hiệu của hoạt động giao dịch bất thường.
Ví dụ, khi nghiên cứu PEPE (trong một số sàn giao dịch có tỷ lệ khối lượng so với độ sâu cao), nhận thấy rằng có sự khác biệt lớn trong xu hướng khối lượng giao dịch giữa một sàn giao dịch ẩn danh và các nền tảng khác trong năm 2024. Khối lượng giao dịch PEPE trên sàn giao dịch này duy trì ở mức cao, thậm chí còn tăng vào tháng 7, trong khi khối lượng giao dịch PEPE trên hầu hết các sàn giao dịch khác thì giảm.
Dữ liệu giao dịch chi tiết hơn cho thấy các nhà giao dịch thuật toán hoạt động tích cực trên thị trường PEPE-USDT của sàn này. Vào ngày 3 tháng 7, trong vòng 24 giờ, có 4.200 lệnh mua và bán 1 triệu PEPE.
Mô hình giao dịch tương tự cũng xuất hiện trong các ngày giao dịch khác vào tháng 7, xác nhận hoạt động giao dịch tự động. Ví dụ, từ ngày 9 đến 12 tháng 7, đã thực hiện hơn 5.900 giao dịch mua và bán 2 triệu PEPE.
Dấu hiệu nhận biết giao dịch rửa tự động
Một số dấu hiệu cho thấy có thể xuất hiện giao dịch rửa tự động. Những dấu hiệu này bao gồm tỷ lệ khối lượng giao dịch sâu cao, mô hình giao dịch hàng tuần bất thường và các lệnh lặp lại với quy mô cố định và thực hiện nhanh chóng. Trong giao dịch giả, một thực thể có thể đồng thời đưa ra lệnh mua và bán để tăng khối lượng giao dịch giả tạo, khiến thị trường trông có vẻ thanh khoản hơn.
Ranh giới giữa thao túng thị trường và sự kém hiệu quả là rất mờ nhạt.
Thao túng thị trường trong ngành tiền điện tử đôi khi có thể bị nhầm lẫn với hoạt động arbitrage, tức là các nhà giao dịch kiếm lợi từ sự kém hiệu quả của thị trường.
Một ví dụ điển hình là hiện tượng “Fishing Net Pumping” trên thị trường Hàn Quốc. Các nhà giao dịch tận dụng những khoảng ngừng gửi và rút tiền tạm thời để làm tăng giá của tài sản một cách nhân tạo và kiếm lợi. Một ví dụ đáng chú ý là sau khi bị tấn công vào năm 2023, giao dịch token CRV đã bị tạm ngừng tại một số sàn giao dịch Hàn Quốc.
Khi một sàn giao dịch tạm ngừng gửi và rút tiền của token CRV, giá đã tăng mạnh do có nhiều giao dịch mua. Tuy nhiên, khi hoạt động bán tháo bắt đầu, giá nhanh chóng giảm. Trong thời gian tạm ngừng, giá đã có một số lần tăng ngắn hạn do việc mua vào, nhưng sau đó luôn xuất hiện hoạt động bán ra. Tổng thể, lượng bán ra luôn lớn hơn lượng mua vào.
Khi lệnh tạm ngừng kết thúc, giá sẽ nhanh chóng giảm xuống vì các nhà giao dịch có thể dễ dàng mua và bán giữa các sàn giao dịch để thu lợi. Do tính thanh khoản hạn chế, những khoảng ngừng này thường thu hút các nhà giao dịch lẻ và các nhà đầu cơ, những người kỳ vọng rằng giá sẽ tăng.
Kết luận
Cách nhận diện các hành vi thao túng thị trường trong ngành tiền điện tử vẫn đang ở giai đoạn đầu. Tuy nhiên, việc kết hợp dữ liệu và bằng chứng từ các cuộc điều tra trước đây có thể giúp các cơ quan quản lý, sàn giao dịch và nhà đầu tư giải quyết vấn đề này tốt hơn trong tương lai. Trong lĩnh vực DeFi, tính minh bạch của dữ liệu blockchain mang lại cơ hội độc đáo để phát hiện các giao dịch rửa tiền của tất cả các token và dần dần nâng cao tính liêm chính của thị trường.
Tại các sàn giao dịch tập trung, dữ liệu thị trường có thể làm nổi bật các vấn đề lạm dụng thị trường mới và dần dần giúp tạo ra sự phù hợp giữa động lực của một số sàn giao dịch với lợi ích công cộng. Khi ngành công nghiệp tiền điện tử phát triển, việc tận dụng tất cả các dữ liệu có sẵn sẽ giúp giảm thiểu các thực tiễn có hại, tạo ra môi trường giao dịch công bằng hơn.
