Plongée dans l'opération d'infiltration du FBI : le wash trading est courant des DEX aux CEX
TechFlow SélectionTechFlow Sélection
Plongée dans l'opération d'infiltration du FBI : le wash trading est courant des DEX aux CEX
Levo le voile sur les teneurs de marché : la manipulation du marché dans le domaine de la cryptographie pourrait être courante.
Dédié à des analyses Web3 approfondiesRédaction : Kaiko Research
Traduction : Felix, PANews
Le 9 octobre, trois sociétés de market-making (ZM Quant, CLS Global et MyTrade) ainsi que certains de leurs employés ont été inculpés pour avoir conspiré à effectuer des transactions fictives au nom du jeton NexFundAI et d'entités cryptographiques associées. Selon les preuves fournies par le FBI (Federal Bureau of Investigation), un total de 18 personnes physiques et morales font l'objet d'accusations.
Cet article examine en détail les données on-chain du jeton NexFundAI afin d'identifier des modèles de transactions fictives applicables à d'autres jetons, tout en remettant en question la liquidité réelle de certains actifs. Il explore également d'autres stratégies de wash trading dans DeFi, la manière de détecter des activités illégales sur les plateformes centralisées, et étudie des cas de manipulation de prix comme ceux observés sur le marché sud-coréen.
Identifier le wash trading dans les données du jeton du FBI
NexFundAI est un jeton émis par une entreprise créée en mai 2024 par le FBI dans le but d'exposer les manipulations de marché sur les marchés cryptos. Les sociétés accusées auraient mené pour leurs clients des opérations algorithmiques de wash trading, des schémas de « pump and dump », ainsi que d'autres stratégies manipulatrices, généralement sur des plateformes telles qu'Uniswap. Ces pratiques ciblent principalement les nouveaux jetons ou ceux à faible capitalisation, afin de créer une illusion de marché actif susceptible d'attirer de véritables investisseurs, ce qui permet d'augmenter artificiellement le prix et la visibilité du jeton.
Les individus mis en cause ont reconnu les faits lors de l'enquête du FBI, détaillant clairement leurs méthodes et intentions. Certains ont même confirmé : « C’est ainsi que nous faisons du market-making sur Uniswap. »
Pour explorer les données du faux jeton NexFundAI créé par le FBI, cet article analyse les transferts on-chain du jeton. Ces données offrent une vue complète, depuis l'émission jusqu'à chaque portefeuille et adresse de contrat intelligent détenant ces jetons.
Les données montrent que l'émetteur a approvisionné un portefeuille du market maker avec les jetons, puis redistribué ces fonds vers des dizaines d'autres portefeuilles, regroupés dans un cluster mis en évidence en bleu foncé.
Ces fonds ont ensuite été utilisés pour réaliser des wash trades sur le seul marché secondaire du jeton, créé par l'émetteur sur Uniswap, identifié au centre du graphique comme le point de convergence de presque tous les portefeuilles ayant reçu et/ou transféré ce jeton entre mai et septembre 2024.
Ces découvertes confirment davantage les conclusions du FBI : les entreprises incriminées ont utilisé plusieurs robots et des centaines de portefeuilles pour mener des transactions fictives.
Pour affiner l'analyse et confirmer la nature frauduleuse des transferts – notamment ceux des portefeuilles du cluster –, nous avons déterminé la date du premier transfert reçu par chaque portefeuille, en examinant toute la chaîne, et non seulement les mouvements liés au jeton NexFundAI. Les données révèlent que parmi 485 portefeuilles, 148 (soit 28 %) ont reçu leurs premiers fonds dans le même bloc que celui de cinq autres portefeuilles au moins dans l’échantillon.
Il est naturellement peu probable que des adresses négociant un jeton inconnu présentent un tel modèle. Ainsi, au moins 138 de ces adresses sont probablement liées à des algorithmes de trading, susceptibles d’être utilisés pour du wash trading.
Pour confirmer davantage la présence de wash trading impliquant ce jeton, nous avons analysé les données du marché secondaire unique où ce jeton existe. En agrégeant le volume quotidien des transactions sur ce marché Uniswap et en comparant les volumes d’achats et de ventes, nous observons une symétrie frappante entre les deux. Cette symétrie suggère que les market makers compensent quotidiennement le montant total des transactions fictives réalisées par tous les portefeuilles sur ce marché.
En examinant les transactions individuelles et en colorant celles-ci selon l'adresse du portefeuille, nous constatons que certaines adresses exécutent exactement la même transaction unique (montant identique, moment identique) durant un mois d'activité. Cela indique que ces adresses sont liées et participent à une stratégie de wash trading.
Une enquête approfondie via la solution de données portefeuille de Kaiko révèle que ces deux adresses, bien qu'elles n'aient jamais interagi on-chain, ont toutes deux été approvisionnées en WETH par la même adresse : 0x4aa6a6231630ad13ef52c06de3d3d3850fafcd70. Cette adresse elle-même a été alimentée par un contrat intelligent de Railgun. Selon le site officiel de Railgun, « Railgun est un contrat intelligent destiné aux traders professionnels et aux utilisateurs DeFi, apportant une couche de confidentialité aux transactions cryptographiques ». Ces découvertes suggèrent que certaines adresses masquent des activités secrètes, telles que la manipulation de marché, voire pires.
La fraude dans DeFi ne se limite pas à NexFundAI
Les manipulations dans DeFi ne se limitent pas à l’enquête du FBI. Les données montrent que parmi plus de 200 000 actifs présents sur les DEX Ethereum, de nombreux jetons manquent de fonctionnalité et sont contrôlés par une seule personne.
Dans certains cas recensés sur Ethereum, les émetteurs de jetons créent des pools de liquidité temporaires sur Uniswap. En contrôlant la liquidité du pool et en réalisant des wash trades avec plusieurs portefeuilles, ils augmentent l’attrait du pool pour les investisseurs ordinaires, accumulent de l’ETH, puis vendent massivement leurs jetons. Comme illustré ici, un gain de 22 fois l’investissement initial en ETH a été réalisé en environ 10 jours. Cette analyse met en lumière une fraude généralisée parmi les émetteurs de jetons, allant bien au-delà de l’enquête du FBI sur NexFundAI.
Modèles de données : exemple du jeton GIGA2.0
Un utilisateur (par exemple 0x33ee6449b05193766f839d6f84f7afd5c9bb3c93) reçoit (et initie) la totalité de l’offre d’un nouveau jeton depuis une adresse (comme 0x000).
Immédiatement (dans la journée), l’utilisateur transfère les jetons ainsi qu’une quantité d’ETH pour créer un nouveau pool Uniswap V2. Il détient alors toute la liquidité et reçoit les jetons UNI-V2 correspondant à sa contribution.
En moyenne 10 jours plus tard, l’utilisateur retire toute la liquidité, brûle ses jetons UNI-V2 et récupère l’ETH supplémentaire généré par les frais de transaction du pool.
Lors de l’examen des données on-chain de ces quatre jetons, on observe exactement le même modèle. Cela prouve que des manipulateurs organisent soigneusement des campagnes automatisées et répétitives dont le seul objectif est de tirer profit.
La manipulation de marché n'est pas exclusive à DeFi
Bien que la méthode du FBI ait permis de révéler efficacement ces pratiques, les abus de marché ne sont ni nouveaux ni propres à DeFi dans l’écosystème cryptographique. En 2019, le PDG du market maker Gotbit a publiquement discuté de ses activités immorales consistant à aider des projets cryptos à « simuler » une activité via des petites bourses, en exploitant leurs programmes d’incitation. Le PDG de Gotbit ainsi que deux directeurs ont par la suite été inculpés pour un schéma similaire impliquant plusieurs cryptomonnaies.
Toutefois, détecter ces manipulations sur les plateformes centralisées est plus difficile. Ces dernières ne diffusent que des données agrégées de commandes et de transactions au niveau du marché, rendant complexe l’identification du wash trading. Néanmoins, cela peut être facilité en comparant les modèles de trading et les indicateurs de marché entre différentes bourses. Par exemple, si le volume de transactions dépasse largement la liquidité de l’actif et de la bourse (profondeur de marché à 1 %), cela peut indiquer du wash trading. Des jetons comme les Meme coins, les jetons de confidentialité ou les altcoins à faible capitalisation affichent souvent un ratio volume/profondeur anormalement élevé.
Il convient de noter que le ratio volume/liquidité n’est pas un indicateur parfait, car les volumes peuvent être fortement influencés par des programmes de bourse visant à gonfler artificiellement les volumes, comme les offres sans commissions.
On peut également analyser la corrélation des volumes entre les bourses. Pour un actif donné, les tendances de volume sont généralement corrélées à long terme entre les plateformes. Des volumes parfaitement cohérents, des périodes de volume nul, ou des divergences marquées entre bourses peuvent signaler des activités anormales.
Par exemple, en étudiant PEPE (un jeton dont le ratio volume/profondeur est élevé sur certaines bourses), on remarque une grande divergence entre une bourse anonyme et d’autres plateformes en 2024. Le volume de PEPE sur cette bourse reste élevé, voire augmente en juillet, tandis que sur la plupart des autres plateformes, il diminue.
Une analyse plus fine des transactions révèle que des algorithmes de trading sont actifs sur le marché PEPE-USDT de cette bourse. Le 3 juillet, 4 200 ordres d’achat et de vente de 1 million de PEPE ont été exécutés en 24 heures.
Le même type de schéma apparaît sur d’autres journées de juillet. Par exemple, entre le 9 et le 12 juillet, plus de 5 900 transactions d’achat/vente de 2 millions de PEPE ont été réalisées.
Certains signes indiquent la possible existence de wash trading automatisé : un ratio volume/profondeur élevé, des modèles hebdomadaires anormaux, et des ordres répétitifs de taille fixe et d’exécution rapide. Dans le wash trading, une même entité passe simultanément des ordres d’achat et de vente pour gonfler artificiellement le volume et donner l’illusion d’une liquidité accrue.
La frontière entre manipulation et inefficacité de marché est floue
Dans les marchés cryptos, la manipulation peut parfois être confondue avec de l’arbitrage, où des traders profitent des inefficacités du marché.
Le « Fishing Net Pumping » sur le marché sud-coréen en est un exemple. Des traders exploitent temporairement les suspensions de dépôt et de retrait pour gonfler artificiellement le prix d’un actif et en tirer profit. Un cas notable est celui du jeton CRV après le piratage de 2023, lorsque plusieurs bourses sud-coréennes ont suspendu ses transactions.
Lorsqu'une bourse a suspendu les dépôts et retraits de CRV, son prix a d'abord grimpé fortement en raison d'achats massifs. Puis, il a chuté rapidement avec le début des ventes. Pendant la suspension, le prix a connu plusieurs hausses éphémères dues à des achats, suivies systématiquement par des ventes. Globalement, les ventes ont surpassé les achats.
Dès la fin de la suspension, le prix a chuté rapidement, car les traders pouvaient désormais facilement acheter et vendre entre bourses pour réaliser des profits. En raison de la liquidité limitée, ces suspensions attirent souvent des traders particuliers et spéculateurs anticipant une hausse des prix.
Conclusion
La recherche sur la détection de la manipulation de marché dans les cryptomonnaies en est encore à ses débuts. Toutefois, combiner les données et preuves issues d’enquêtes passées peut aider régulateurs, bourses et investisseurs à mieux identifier et prévenir ces problèmes à l’avenir. Dans DeFi, la transparence des données blockchain offre une opportunité unique de détecter le wash trading sur tous les jetons, contribuant progressivement à renforcer l’intégrité du marché.
Dans les bourses centralisées, l’analyse des données de marché peut mettre en lumière de nouvelles formes d’abus et inciter progressivement certaines plateformes à aligner leurs incitations avec l’intérêt public. À mesure que l’industrie cryptographique évolue, exploiter toutes les données disponibles permettra de réduire les pratiques nuisibles et de créer un environnement de trading plus équitable.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@KaikoData
