Marktanomalie: Spoofing

• Binance, 14. April 2025: Eine sehr große BTC-Sell-Order (~2.500 BTC, rund 212 Mio. USD) erschien sichtbar im Orderbuch und wurde kurz darauf wieder entfernt. Das Ereignis löste eine schnelle Marktreaktion aus und wurde branchenweit als Spoofing-Indiz diskutiert. (Dokumentiert und analysiert in der Fachpresse.)
• MEXC, März–Mai 2025: Die Börse berichtete öffentlich, ein koordiniertes Netzwerk gestört zu haben; im Fokus der internen Kontrollen standen u. a. Spoofing/Layering. (Eigenes Börsenstatement; ergänzend Branchenberichte.)

Kurz gesagt: Der Zweck der großen sichtbaren Orders ist nicht die Ausführung, sondern die Reaktion anderer Marktteilnehmer zu triggern.

So entsteht die Täuschung im Orderbuch

1. Ein Akteur platziert sehr große Limit-Orders nahe am aktuellen Geld-/Briefkurs (z. B. wenige Basispunkte entfernt). Das verändert das Tiefenbild und signalisiert scheinbar starken Druck.
2. Ziel ist die Reaktion: Market-Taker weichen aus, Market-Maker ziehen Quotes nach, Momentum-Trader springen auf.
3. Sobald der Preis anläuft, werden die großen Orders rasch storniert (Millisekunden bis wenige Sekunden). Der Initiator handelt die Gegenseite (verkauft ins kurz hochgezogene Bid oder kauft ins kurz gedrückte Ask).
4. Ergebnis: Kurzfristige Preisbewegung ohne echte Absorptionsbereitschaft – klassische Spoofing-Signatur.

• Große, touch-nahe Order-Cluster (z. B. ≤10 bp Distanz) mit kurzer Lebensdauer (sub-Sekunden bis wenige Sekunden).
• Hohe Cancel-zu-Trade-Quote im kurzen Fenster; Großteil der hinzugefügten sichtbaren Tiefe wird ohne Fill wieder gelöscht.
• Preis-Anlauf auf die „Wall“, Wall verschwindet am Anlaufpunkt, danach Konter-Trade auf der Gegenseite.
• Wellenartige Sequenzen (mehrere Auf-/Abbau-Zyklen in 30–60 s).

• Hohe API-Raten ermöglichen schnelle Add/Cancel-Folgen (z. B. Binance Futures ~1.200 Orders/Minute je (Sub-)Account; OKX bis ~1.000 Order-Requests je 2 Sek. auf Sub-Account-Ebene) – genug „Taktfrequenz“ für Täusch-Posting.
• Einzel-Venue-Sicht: Jede Börse sieht nur ihr Buch; ein börsenübergreifender Audit-Trail wie im Aktienmarkt fehlt.

In den USA adressiert der Commodity Exchange Act § 4c(a)(5)(C) Spoofing („bids or offers with the intent to cancel before execution“). Die CFTC hat dazu Leitfäden veröffentlicht und durchgesetzt. An Aktienmärkten unterstützt der Consolidated Audit Trail (CAT, SEC Rule 613) die lückenlose Order-Nachverfolgung über Venues hinweg – Spoofing-Signaturen werden dadurch früher und fundierter erkannt.

• Marktwirkung: Spoofing verzerrt kurzfristig Preisfindung, Spread und Tiefe und kann eine Kaskade aus Momentum-/Arb-Reaktionen auslösen.
• EU-Kontext (MiCA): Anbieter, die vor dem 30. Dezember 2024 tätig waren, können unter Übergangsregeln bis 1. Juli 2026 weiterarbeiten; gleichzeitig werden Marktintegritäts- und Überwachungsanforderungen geschärft (ESMA-Hinweise zu Übergängen/Erwartungen). Fazit: Wer robuste Spoofing-Detektion nachweist, ist regulatorisch im Vorteil.

Adaptiv, quantilbasiert, je Symbol/Venue gegen 30-Tage-Baseline zur gleichen Tageszeit. Benötigt: L2/L3-Events Add/Modify/Cancel mit Zeitstempel im ms-Bereich + Trades.

E3 (hoch) – klassisches Spoof-Setup erfüllt

• Displayed-Notional @ ≤10 bp steigt ≥3× über Baseline, und
• ≥80 % dieses Zusatz-Notionals werden ≤500 ms nach einem ≥5 bp Mid-Move gecancelt, und
• Cancel-to-Trade (C2T) im 60-s-Fenster > p99, und
• Gegen-Ausführung (kleine/mittlere Fills) auf der anderen Buchseite kurz nach dem Cancel.

E2 (mittel)

• Median-Lifetime der Top-10 % größten Orders @ ≤10 bp < p1 der Baseline und Imbalance-Flip (Buch kippt nach Cancel) mit kleinem Reversal.

E1 (niedrig)

• Einzel-„Walls“ (≥p99 Notional @ ≤10 bp) erscheinen/verschwinden ≥2× in 60 s ohne relevante Fills → Watchlist.

• Market-Making abgrenzen: Kurzlebige Quoten ohne Täuschungsabsicht sind möglich. Kombination aus Lifetime + C2T + Preisreaktion (Impact/Reversal) reduziert Fehlalarme.
• Technische Effekte prüfen: Deploys, Gateways, Rate-Limit-Bremsen, Feed-Störungen können Cancel-Cluster erzeugen.
• Distanz-Bins auswerten: 0–10 bp / 10–25 bp / 25–50 bp – Täusch-Posting sitzt typischerweise nah am Touch.

• Für Trader: Frühwarnung verhindert Fills gegen falsche Tiefe, senkt Slippage, schützt vor falschen Ausbrüchen.
• Für Betreiber/Compliance: Sauber belegte Spoofing-Signale (Metriken, Zeitstempel, Relation zu API-Grenzen) erleichtern interne Reviews und den Austausch mit Aufsichtsbehörden – und unterstützen MiCA-konforme Überwachung.

• CoinDesk – „A Vanishing $212M Bitcoin Order Caused Chaos for Traders - Is Spoofing Back in Crypto?“, 29. April 2025.
• MEXC – „Detects and Eliminates Coordinated Market Manipulation Scheme“, 25. März 2025; sowie „Risk Control Guideline“, 1. Mai 2025.
• CFTC – „Interpretive Guidance and Policy Statement on Disruptive Trading Practices“ (inkl. Spoofing-Definition nach CEA § 4c(a)(5)(C)), 2013.
• SEC – Rule 613 (Consolidated Audit Trail): SEC-Übersicht und CAT NMS Plan.
• Binance – „Rate Limits on Binance Futures“, zuletzt aktualisiert 27. Dezember 2024; Entwicklerdoku zu Spot-Rate-Limits.
• OKX – Entwicklerdoku zu Rate Limits (z. B. 1.000 Order-Requests je 2 Sek. auf Sub-Account-Ebene).
• ESMA – MiCA-Seite und Statement zu Übergangsmaßnahmen, Dez. 2024 (Grandfathering bis 1. Juli 2026 möglich).