Análisis del modo de cultivo de los tokens meme en Solana
Resumen
Este informe investiga un modelo de cultivo de memes altamente colaborativo y común en Solana: los desplegadores de Token transfieren SOL a "carteras francotiradoras", permitiendo que estas carteras compren el Token en el mismo bloque en que se lanza. Al centrarnos en una cadena de fondos clara y verificable entre el desplegador y el francotirador, hemos identificado un conjunto de comportamientos de extracción de alta confiabilidad.
El análisis muestra que esta estrategia no es un fenómeno accidental ni un comportamiento marginal. Solo en el último mes, se han extraído más de 15,000 SOL de ganancias realizadas a través de más de 15,000 emisiones de tokens, involucrando a más de 4,600 billeteras de francotiradores y más de 10,400 desplegadores. Estas billeteras muestran una tasa de éxito anormalmente alta del (87% en la obtención de ganancias de francotiradores ), una forma de salida limpia y ordenada, así como un patrón de operación estructurado.
Descubrimiento clave:
Los ataques de francotiradores financiados por los desplegadores son sistemáticos, rentables y generalmente automatizados, y las actividades de francotiradores se concentran más durante el horario laboral en Estados Unidos.
La estructura de múltiples billeteras para la agricultura es bastante común, a menudo se utilizan billeteras temporales y retiros coordinados para simular la demanda real.
Los métodos de ofuscación están en constante evolución, como las cadenas de fondos de múltiples saltos y las transacciones de múltiples firmas, para evadir la detección.
Aunque tiene limitaciones, un filtro de capital de salto aún puede capturar los casos de comportamiento "interno" a gran escala más claros y repetibles.
Este informe presenta un conjunto de métodos heurísticos operativos para ayudar a los equipos de protocolo y a los frontends a identificar, etiquetar y responder en tiempo real a este tipo de actividades - incluyendo el seguimiento de la concentración de posiciones tempranas, etiquetar las wallets asociadas a los desplegadores, y emitir advertencias en el frontend a los usuarios en emisiones de alto riesgo.
A pesar de que el análisis solo cubrió un subconjunto de comportamientos de ataque en el mismo bloque, su escala, estructura y rentabilidad indican que la emisión de tokens de Solana está siendo manipulada activamente por redes colaborativas, y las medidas de defensa existentes son muy insuficientes.
Metodología
Este análisis parte de un objetivo claro: identificar el comportamiento de los tokens meme colaborativos en Solana, especialmente en el caso de que los desplegadores proporcionen fondos a las billeteras de ataque en el mismo bloque que el lanzamiento del token. Dividimos el problema en las siguientes fases:
Filtrar el mismo bloque de emboscadas
Primero, filtrar las billeteras que fueron atacadas en el mismo bloque después del despliegue. Dado que Solana no tiene un mempool global; es necesario conocer su dirección antes de que el Token aparezca en la interfaz pública; y el tiempo entre el despliegue y la primera interacción con el DEX es extremadamente corto. Este comportamiento casi no puede ser natural, por lo que "ataques en el mismo bloque" se convierte en un filtro de alta confianza para identificar actividades potencialmente colusorias o privilegiadas.
Identificar la billetera asociada con el desplegador
Para distinguir a los francotiradores técnicamente hábiles de los "insiders" colaborativos, rastreamos las transferencias de SOL entre los implementadores antes del lanzamiento del Token y los francotiradores, marcando únicamente las billeteras que cumplen con las siguientes condiciones: recibir SOL directamente del implementador; enviar SOL directamente al implementador. Solo las billeteras que tenían transferencias directas antes del lanzamiento se incluyeron en el conjunto de datos final.
Asociar el sniping con las ganancias de Token
Para cada billetera de francotirador, mapeamos su actividad de transacciones en el Token golpeado, calculando específicamente: el monto total de SOL gastado para comprar ese Token; el monto total de SOL obtenido al vender en DEX; la ganancia neta realizada ( en lugar de la ganancia nominal ). Esto permite atribuir con precisión las ganancias extraídas de cada golpe del desplegador.
Medir el tamaño y el comportamiento de la billetera
Analizamos la escala de este tipo de actividades desde múltiples dimensiones: la cantidad de implementadores independientes y de billeteras de ataque; el número de ataques coordinados confirmados en el mismo bloque; la distribución de las ganancias de los ataques; la cantidad de Tokens emitidos por cada implementador; la reutilización de billeteras de ataque entre diferentes Tokens.
Huellas de actividad de la máquina
Para entender cómo se llevan a cabo estas operaciones, agrupamos las actividades de sniper por horas UTC. Los resultados muestran: las actividades se concentran en ventanas de tiempo específicas; disminuyen significativamente durante la madrugada UTC; lo que sugiere que más que una automatización global y continua, son tareas cron alineadas con Estados Unidos o ventanas de ejecución manual.
Análisis del comportamiento de salida
Finalmente, estudiamos el comportamiento de las billeteras asociadas a los desplegadores al vender Token que han sido atacados: medimos el tiempo desde la primera compra hasta la venta final (, la duración de la posición ); contamos el número de transacciones de venta independientes utilizadas por cada billetera para salir. De esta manera, diferenciamos si la billetera elige liquidar rápidamente o vender de manera progresiva, y examinamos la relación entre la velocidad de salida y la rentabilidad.
Enfocarse en la amenaza más clara
Primero medimos la escala del ataque de bloque en la emisión de pump.fun, y los resultados fueron sorprendentes: más del 50% de los Token fueron atacados en el bloque de creación - el ataque de bloque ha pasado de ser un caso marginal a convertirse en el modo de emisión dominante.
En Solana, la participación en el mismo bloque generalmente requiere: transacciones pre-firmadas; coordinación fuera de la cadena; o que el implementador comparta la infraestructura con el comprador.
No todos los ataques de bloque en la misma área son igualmente maliciosos, al menos existen dos tipos de roles: "robots de pesca al azar" - que prueban heurísticas o especulaciones de pequeña cantidad; y cómplices internos - que incluyen a los desplegadores que proporcionan financiamiento a sus propios compradores.
Para reducir las falsas alarmas y resaltar el verdadero comportamiento colaborativo, hemos incorporado un filtro estricto en el indicador final: solo contabilizamos los ataques en los que hubo transferencias directas de SOL entre el desplegador y la billetera de ataque antes de que se lanzara. Esto nos permite identificar con confianza: las billeteras controladas directamente por el desplegador; las billeteras que actúan bajo la dirección del desplegador; las billeteras que tienen canales internos.
Estudio de caso 1: financiamiento directo
La billetera del desplegador envió un total de 1.2 SOL a 3 billeteras diferentes y luego desplegó un Token llamado SOL > BNB. Las 3 billeteras de financiamiento completaron la compra en el mismo bloque en que se creó el Token, antes de que fuera visible en un mercado más amplio. Posteriormente, vendieron rápidamente para obtener ganancias, ejecutando una salida relámpago coordinada. Este es un ejemplo de libro de texto de un ataque de billetera de financiamiento que barre los Tokens agrícolas, capturado directamente por nuestro enfoque de cadena de fondos. A pesar de la simplicidad del método, se ha llevado a cabo a gran escala en miles de emisiones.
Estudio de caso 2: financiamiento de múltiples saltos
Una cierta billetera está relacionada con múltiples ataques de Token. Esta entidad no financió directamente la billetera de ataque, sino que envió SOL a través de billeteras intermedias de 5 a 7 capas hasta llegar a la billetera de ataque final, completando así el ataque en el mismo bloque.
Nuestro enfoque actual solo detecta algunas transferencias iniciales del desplegador, pero no logra capturar toda la cadena hacia la billetera objetivo final. Estas billeteras de retransmisión suelen ser "de un solo uso", utilizadas únicamente para transferir SOL, lo que dificulta su asociación a través de consultas simples. Esta brecha no es un defecto de diseño, sino una compensación por los recursos computacionales: aunque es posible rastrear rutas de fondos de múltiples saltos en datos a gran escala, el costo es enorme. Por lo tanto, la implementación actual prioriza enlaces directos de alta confianza para mantener claridad y reproducibilidad.
Hemos utilizado herramientas de visualización para mostrar esta cadena de fondos más larga, presentando gráficamente cómo el dinero fluye desde la billetera inicial a través de la billetera shell hasta la billetera del desplegador final. Esto destaca la complejidad del engaño en el origen de los fondos y también señala la dirección para mejorar los métodos de detección en el futuro.
Descubrir
Enfocándonos en el subconjunto de "sniping en el mismo bloque + cadena de financiamiento directa", revelamos un comportamiento colaborativo en la cadena que es amplio, estructurado y altamente rentable. Todos los datos a continuación cubren desde el 15 de marzo hasta la fecha:
Es muy común y sistemático que los ataques de sniping sean financiados por el mismo bloque y el desplegador.
a. En el último mes se confirmaron más de 15,000 Token que fueron directamente atacados en la billetera de financiamiento al momento de salir en el bloque.
b. Involucra más de 4,600 billeteras de francotiradores, más de 10,400 desplegadores;
c. La cantidad emitida de pump.fun es aproximadamente 1.75%.
Esta acción genera ganancias a gran escala
a. La obtención directa de capital ha logrado un beneficio neto >15,000 SOL;
b. Tasa de éxito de francotirador del 87%, pocas transacciones fallidas;
c. Rendimiento típico de una sola cartera 1-100 SOL, pocos superan 500 SOL.
Implementación repetida y apuntar a la red de cultivo de ataques.
a. Muchos desplegadores utilizan nuevas billeteras para crear en masa decenas a cientos de Token;
b. Algunas carteras de sniper ejecutan cientos de snipes en un día;
c. Se observa una estructura de "centro-radiación": una billetera financia múltiples billeteras de sniper, todas apuntando al mismo Token.
El sniping presenta un patrón temporal centrado en el ser humano
a. El pico de actividad está entre UTC 14:00-23:00; UTC 00:00-08:00 casi está detenido;
b. Coincide con el horario laboral de Estados Unidos, lo que indica que es un desencadenador manual/cron, y no una automatización global 24 horas.
Confusión de la propiedad entre billeteras de un solo uso y transacciones multifirma
a. El desplegador inyecta capital en varias billeteras al mismo tiempo y firma el ataque en la misma transacción;
b. Estas billeteras quemadas no firmarán más transacciones;
c. El desplegador divide la compra inicial en 2-4 billeteras, disfrazando la demanda real.
Comportamiento de salida
Para entender mejor cómo estos monederos se retiran, desglosamos los datos en dos dimensiones de comportamiento:
Velocidad de salida ( Tiempo de salida ) - Desde la primera compra hasta la venta final;
Cantidad de ventas ( Swap Count ) - Cantidad de transacciones de venta independientes utilizadas para salir.
conclusión de datos
Velocidad de salida
a. El 55% de las órdenes de venta se completaron en 1 minuto;
b. 85% en 5 minutos a la venta;
c. 11% en 15 segundos.
Número de ventas
a. Más del 90% de las carteras de francotirador solo utilizan 1-2 órdenes de venta para salir;
b. Rara vez se utiliza la venta progresiva.
Tendencia de ganancias
a. El más rentable es el monedero de salida en menos de 1 minuto, seguido por el de menos de 5 minutos;
b. Mantener por más tiempo o vender varias veces, aunque el beneficio promedio por transacción sea ligeramente más alto, la cantidad es muy pequeña y su contribución al beneficio total es limitada.
explicación
Estos patrones indican que el financiamiento de los francotiradores por parte del desplegador no es una actividad de trading, sino una estrategia de extracción automatizada y de bajo riesgo.
Una venta única representa una total indiferencia por las fluctuaciones de precios, simplemente aprovechando la oportunidad para hacer un dump.
Algunas estrategias de salida más complejas son solo excepciones, no son el modo principal.
Perspectivas operativas
Las siguientes recomendaciones tienen como objetivo ayudar a los equipos de protocolos, desarrolladores de frontend e investigadores a identificar y abordar los modelos de emisión de Token de extracción o colaborativos, transformando el comportamiento observado en
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
17 me gusta
Recompensa
17
4
Compartir
Comentar
0/400
SchrodingerWallet
· 07-27 08:51
¡Se ha vuelto grande, se ha vuelto grande, 4600 francotiradores!
Ver originalesResponder0
LiquidityWitch
· 07-24 21:45
Todo es solo una burbuja.
Ver originalesResponder0
GasBankrupter
· 07-24 21:45
He perdido mucho con memes... ¿Quién me entiende?
Ver originalesResponder0
ChainComedian
· 07-24 21:30
La cadena de financiamiento ha sido desmantelada, ¡castigo!
Revelación de la emisión de token de Solana: análisis del modo de extracción colaborativa entre los desplegadores y los francotiradores.
Análisis del modo de cultivo de los tokens meme en Solana
Resumen
Este informe investiga un modelo de cultivo de memes altamente colaborativo y común en Solana: los desplegadores de Token transfieren SOL a "carteras francotiradoras", permitiendo que estas carteras compren el Token en el mismo bloque en que se lanza. Al centrarnos en una cadena de fondos clara y verificable entre el desplegador y el francotirador, hemos identificado un conjunto de comportamientos de extracción de alta confiabilidad.
El análisis muestra que esta estrategia no es un fenómeno accidental ni un comportamiento marginal. Solo en el último mes, se han extraído más de 15,000 SOL de ganancias realizadas a través de más de 15,000 emisiones de tokens, involucrando a más de 4,600 billeteras de francotiradores y más de 10,400 desplegadores. Estas billeteras muestran una tasa de éxito anormalmente alta del (87% en la obtención de ganancias de francotiradores ), una forma de salida limpia y ordenada, así como un patrón de operación estructurado.
Descubrimiento clave:
A pesar de que el análisis solo cubrió un subconjunto de comportamientos de ataque en el mismo bloque, su escala, estructura y rentabilidad indican que la emisión de tokens de Solana está siendo manipulada activamente por redes colaborativas, y las medidas de defensa existentes son muy insuficientes.
Metodología
Este análisis parte de un objetivo claro: identificar el comportamiento de los tokens meme colaborativos en Solana, especialmente en el caso de que los desplegadores proporcionen fondos a las billeteras de ataque en el mismo bloque que el lanzamiento del token. Dividimos el problema en las siguientes fases:
Primero, filtrar las billeteras que fueron atacadas en el mismo bloque después del despliegue. Dado que Solana no tiene un mempool global; es necesario conocer su dirección antes de que el Token aparezca en la interfaz pública; y el tiempo entre el despliegue y la primera interacción con el DEX es extremadamente corto. Este comportamiento casi no puede ser natural, por lo que "ataques en el mismo bloque" se convierte en un filtro de alta confianza para identificar actividades potencialmente colusorias o privilegiadas.
Para distinguir a los francotiradores técnicamente hábiles de los "insiders" colaborativos, rastreamos las transferencias de SOL entre los implementadores antes del lanzamiento del Token y los francotiradores, marcando únicamente las billeteras que cumplen con las siguientes condiciones: recibir SOL directamente del implementador; enviar SOL directamente al implementador. Solo las billeteras que tenían transferencias directas antes del lanzamiento se incluyeron en el conjunto de datos final.
Para cada billetera de francotirador, mapeamos su actividad de transacciones en el Token golpeado, calculando específicamente: el monto total de SOL gastado para comprar ese Token; el monto total de SOL obtenido al vender en DEX; la ganancia neta realizada ( en lugar de la ganancia nominal ). Esto permite atribuir con precisión las ganancias extraídas de cada golpe del desplegador.
Analizamos la escala de este tipo de actividades desde múltiples dimensiones: la cantidad de implementadores independientes y de billeteras de ataque; el número de ataques coordinados confirmados en el mismo bloque; la distribución de las ganancias de los ataques; la cantidad de Tokens emitidos por cada implementador; la reutilización de billeteras de ataque entre diferentes Tokens.
Para entender cómo se llevan a cabo estas operaciones, agrupamos las actividades de sniper por horas UTC. Los resultados muestran: las actividades se concentran en ventanas de tiempo específicas; disminuyen significativamente durante la madrugada UTC; lo que sugiere que más que una automatización global y continua, son tareas cron alineadas con Estados Unidos o ventanas de ejecución manual.
Finalmente, estudiamos el comportamiento de las billeteras asociadas a los desplegadores al vender Token que han sido atacados: medimos el tiempo desde la primera compra hasta la venta final (, la duración de la posición ); contamos el número de transacciones de venta independientes utilizadas por cada billetera para salir. De esta manera, diferenciamos si la billetera elige liquidar rápidamente o vender de manera progresiva, y examinamos la relación entre la velocidad de salida y la rentabilidad.
Enfocarse en la amenaza más clara
Primero medimos la escala del ataque de bloque en la emisión de pump.fun, y los resultados fueron sorprendentes: más del 50% de los Token fueron atacados en el bloque de creación - el ataque de bloque ha pasado de ser un caso marginal a convertirse en el modo de emisión dominante.
En Solana, la participación en el mismo bloque generalmente requiere: transacciones pre-firmadas; coordinación fuera de la cadena; o que el implementador comparta la infraestructura con el comprador.
No todos los ataques de bloque en la misma área son igualmente maliciosos, al menos existen dos tipos de roles: "robots de pesca al azar" - que prueban heurísticas o especulaciones de pequeña cantidad; y cómplices internos - que incluyen a los desplegadores que proporcionan financiamiento a sus propios compradores.
Para reducir las falsas alarmas y resaltar el verdadero comportamiento colaborativo, hemos incorporado un filtro estricto en el indicador final: solo contabilizamos los ataques en los que hubo transferencias directas de SOL entre el desplegador y la billetera de ataque antes de que se lanzara. Esto nos permite identificar con confianza: las billeteras controladas directamente por el desplegador; las billeteras que actúan bajo la dirección del desplegador; las billeteras que tienen canales internos.
Estudio de caso 1: financiamiento directo
La billetera del desplegador envió un total de 1.2 SOL a 3 billeteras diferentes y luego desplegó un Token llamado SOL > BNB. Las 3 billeteras de financiamiento completaron la compra en el mismo bloque en que se creó el Token, antes de que fuera visible en un mercado más amplio. Posteriormente, vendieron rápidamente para obtener ganancias, ejecutando una salida relámpago coordinada. Este es un ejemplo de libro de texto de un ataque de billetera de financiamiento que barre los Tokens agrícolas, capturado directamente por nuestro enfoque de cadena de fondos. A pesar de la simplicidad del método, se ha llevado a cabo a gran escala en miles de emisiones.
Estudio de caso 2: financiamiento de múltiples saltos
Una cierta billetera está relacionada con múltiples ataques de Token. Esta entidad no financió directamente la billetera de ataque, sino que envió SOL a través de billeteras intermedias de 5 a 7 capas hasta llegar a la billetera de ataque final, completando así el ataque en el mismo bloque.
Nuestro enfoque actual solo detecta algunas transferencias iniciales del desplegador, pero no logra capturar toda la cadena hacia la billetera objetivo final. Estas billeteras de retransmisión suelen ser "de un solo uso", utilizadas únicamente para transferir SOL, lo que dificulta su asociación a través de consultas simples. Esta brecha no es un defecto de diseño, sino una compensación por los recursos computacionales: aunque es posible rastrear rutas de fondos de múltiples saltos en datos a gran escala, el costo es enorme. Por lo tanto, la implementación actual prioriza enlaces directos de alta confianza para mantener claridad y reproducibilidad.
Hemos utilizado herramientas de visualización para mostrar esta cadena de fondos más larga, presentando gráficamente cómo el dinero fluye desde la billetera inicial a través de la billetera shell hasta la billetera del desplegador final. Esto destaca la complejidad del engaño en el origen de los fondos y también señala la dirección para mejorar los métodos de detección en el futuro.
Descubrir
Enfocándonos en el subconjunto de "sniping en el mismo bloque + cadena de financiamiento directa", revelamos un comportamiento colaborativo en la cadena que es amplio, estructurado y altamente rentable. Todos los datos a continuación cubren desde el 15 de marzo hasta la fecha:
a. En el último mes se confirmaron más de 15,000 Token que fueron directamente atacados en la billetera de financiamiento al momento de salir en el bloque. b. Involucra más de 4,600 billeteras de francotiradores, más de 10,400 desplegadores; c. La cantidad emitida de pump.fun es aproximadamente 1.75%.
a. La obtención directa de capital ha logrado un beneficio neto >15,000 SOL; b. Tasa de éxito de francotirador del 87%, pocas transacciones fallidas; c. Rendimiento típico de una sola cartera 1-100 SOL, pocos superan 500 SOL.
a. Muchos desplegadores utilizan nuevas billeteras para crear en masa decenas a cientos de Token; b. Algunas carteras de sniper ejecutan cientos de snipes en un día; c. Se observa una estructura de "centro-radiación": una billetera financia múltiples billeteras de sniper, todas apuntando al mismo Token.
a. El pico de actividad está entre UTC 14:00-23:00; UTC 00:00-08:00 casi está detenido; b. Coincide con el horario laboral de Estados Unidos, lo que indica que es un desencadenador manual/cron, y no una automatización global 24 horas.
a. El desplegador inyecta capital en varias billeteras al mismo tiempo y firma el ataque en la misma transacción; b. Estas billeteras quemadas no firmarán más transacciones; c. El desplegador divide la compra inicial en 2-4 billeteras, disfrazando la demanda real.
Comportamiento de salida
Para entender mejor cómo estos monederos se retiran, desglosamos los datos en dos dimensiones de comportamiento:
conclusión de datos
a. El 55% de las órdenes de venta se completaron en 1 minuto; b. 85% en 5 minutos a la venta; c. 11% en 15 segundos.
a. Más del 90% de las carteras de francotirador solo utilizan 1-2 órdenes de venta para salir; b. Rara vez se utiliza la venta progresiva.
a. El más rentable es el monedero de salida en menos de 1 minuto, seguido por el de menos de 5 minutos; b. Mantener por más tiempo o vender varias veces, aunque el beneficio promedio por transacción sea ligeramente más alto, la cantidad es muy pequeña y su contribución al beneficio total es limitada.
explicación
Estos patrones indican que el financiamiento de los francotiradores por parte del desplegador no es una actividad de trading, sino una estrategia de extracción automatizada y de bajo riesgo.
Perspectivas operativas
Las siguientes recomendaciones tienen como objetivo ayudar a los equipos de protocolos, desarrolladores de frontend e investigadores a identificar y abordar los modelos de emisión de Token de extracción o colaborativos, transformando el comportamiento observado en