Análise do modo de cultivo de meme Token na Solana
Resumo
Este relatório investiga um padrão de cultivo de meme Token comum e altamente colaborativo na Solana: os implantadores de Token transferem SOL para "wallets de sniper", permitindo que essas wallets comprem o Token na mesma block em que ele é lançado. Ao focar na cadeia de fundos clara e verificável entre os implantadores e os snipers, identificamos um conjunto de comportamentos de extração de alta confiança.
A análise mostra que essa estratégia não é um fenômeno acidental nem um comportamento marginal. Apenas no último mês, mais de 15.000 SOL em lucros realizados foram extraídos de mais de 15.000 emissões de Tokens dessa maneira, envolvendo mais de 4.600 carteiras de snipers e mais de 10.400 implantadores. Essas carteiras apresentam uma taxa de sucesso anormalmente alta de (87% nos lucros de sniping ), uma forma de saída limpa e um padrão de operação estruturado.
Descobertas chave:
O sniper financiado pelo deployer é sistemático, lucrativo e geralmente automatizado, com atividades de sniper mais concentradas durante o horário de trabalho nos Estados Unidos.
A estrutura de múltiplas carteiras é bastante comum, frequentemente utilizando carteiras temporárias e saídas colaborativas para simular a demanda real.
Os meios de ofuscação estão em constante evolução, como cadeias de fundos de múltiplos saltos e transações de assinatura múltipla, para evitar a deteção.
Embora tenha limitações, um filtro de fundos ainda pode capturar os casos de comportamento "interno" em grande escala mais claros e repetíveis.
Este relatório apresenta um conjunto de métodos heurísticos acionáveis que ajudam as equipas de protocolo e frontend a identificar, marcar e responder em tempo real a estas atividades - incluindo o rastreamento da concentração de posições iniciais, etiquetagem de carteiras associadas aos implementadores e emissão de alertas de frontend aos usuários em lançamentos de alto risco.
Apesar de a análise abranger apenas um subconjunto do comportamento de sniper de bloco na mesma rede, sua escala, estrutura e rentabilidade indicam que a emissão de Token Solana está sendo ativamente manipulada por uma rede colaborativa, e as medidas de defesa existentes são insuficientes.
Metodologia
Esta análise parte de um objetivo claro: identificar comportamentos que indicam a manipulação de Token meme na Solana, especialmente em situações em que os implementadores fornecem fundos a carteiras alvo na mesma altura de bloco em que o Token é lançado. Vamos dividir a questão nas seguintes fases:
Filtrar snipers na mesma rede
Primeiro, filtre as carteiras que foram atacadas no mesmo bloco após a implantação. Como a Solana não possui um mempool global; é necessário conhecer seu endereço antes que o token apareça na interface pública; e o tempo entre a implantação e a primeira interação com a DEX é extremamente curto. Esse comportamento é quase impossível de ocorrer naturalmente, portanto, "ataques no mesmo bloco" tornam-se um filtro de alta confiabilidade para identificar potencial conluio ou atividades privilegiadas.
Identificar e implantar a carteira associada ao deployer
Para distinguir entre os atiradores de elite tecnicamente habilidosos e os "insiders" colaborativos, rastreamos as transferências de SOL entre o implantador e os atiradores de elite antes do lançamento do token, marcando apenas as carteiras que atendem aos seguintes critérios: receber SOL diretamente do implantador; enviar SOL diretamente ao implantador. Apenas as carteiras que tiveram transferências diretas antes do lançamento foram incluídas no conjunto de dados final.
Associar o sniping com os lucros do Token
Para cada carteira de sniper, mapeamos suas atividades de negociação nos tokens alvo, calculando especificamente: o total em SOL gasto na compra do token; o total em SOL obtido na venda na DEX; o lucro líquido realizado ( e não o rendimento nominal ). Desta forma, podemos atribuir com precisão o lucro retirado de cada sniper ao seu deployer.
Medir a escala e o comportamento da carteira
Analisamos a escala dessas atividades a partir de várias dimensões: número de implantadores independentes e carteiras de sniper; número de vezes que os snipers colaboraram na mesma blockchain; distribuição de lucros de sniper; quantidade de tokens emitidos por cada implantador; reutilização de carteiras de sniper entre tokens.
Vestígios de atividade da máquina
Para entender como essas operações ocorrem, agrupamos as atividades de sniper por hora UTC. Os resultados mostram: as atividades se concentram em janelas de tempo específicas; diminuem significativamente durante as horas profundas da noite UTC; isso sugere que, em vez de ser uma automação global e contínua, é mais como tarefas cron alinhadas com os EUA ou janelas de execução manual.
Análise do Comportamento de Saída
Por fim, estudamos o comportamento das carteiras associadas aos investidores ao vender tokens que foram alvo de ataques: medindo o tempo entre a primeira compra e a venda final ( duração da posse ); contabilizando o número de transações de venda independentes utilizadas por cada carteira para sair. Assim, diferenciamos se a carteira opta por liquidar rapidamente ou por uma venda gradual, e examinamos a relação entre a velocidade de saída e a rentabilidade.
Focar nas ameaças mais claras
Primeiro, avaliamos a escala da caça aos blocos no lançamento da pump.fun, e os resultados foram chocantes: mais de 50% dos Tokens foram caçados no momento da criação do bloco - a caça aos blocos passou de um caso marginal para um modo de emissão dominante.
Na Solana, a participação no mesmo bloco geralmente requer: transações pré-assinadas; coordenação off-chain; ou infraestrutura compartilhada entre o implementador e o comprador.
Nem todos os atiradores de bloco são igualmente maliciosos, existem pelo menos duas categorias de papéis: "robôs que lançam redes e tentam a sorte" - testando heurísticas ou especulação de baixo valor; e insiders colaborativos - incluindo implantadores que fornecem fundos para os seus próprios compradores.
Para reduzir falsos positivos e destacar o verdadeiro comportamento colaborativo, adicionámos uma filtragem rigorosa nos indicadores finais: contabilizamos apenas os ataques que envolvem transferências diretas de SOL entre o implantador e a carteira de ataque antes do lançamento. Isso nos permite identificar com confiança: carteiras controladas diretamente pelo implantador; carteiras que atuam sob a direção do implantador; carteiras que possuem canais internos.
Estudo de Caso 1: Financiamento Direto
A carteira do implantador enviou um total de 1,2 SOL para 3 carteiras diferentes e depois implantou um token chamado SOL > BNB. As 3 carteiras que receberam o financiamento completaram a compra no mesmo bloco em que o token foi criado, antes de se tornarem visíveis para o mercado mais amplo. Em seguida, venderam rapidamente para lucrar, executando uma saída relâmpago coordenada. Este é um exemplo clássico de um ataque de sniper pré-financiado que captura tokens agrícolas, diretamente capturado pelo nosso método de cadeia de financiamento. Apesar de a técnica ser simples, ela se repete em grande escala em milhares de emissões.
Estudo de Caso 2: Financiamento de Múltiplos Saltos
Uma carteira está relacionada a múltiplos ataques a tokens. A entidade não financiou diretamente a carteira de ataque, mas transferiu SOL através de 5 a 7 carteiras intermediárias até chegar à carteira de ataque final, completando assim o ataque no mesmo bloco.
Os nossos métodos atuais apenas detectam algumas transferências iniciais do deployer, mas não conseguem capturar toda a cadeia de transações até a carteira final alvo. Estas carteiras de retransmissão são geralmente "usadas uma única vez", apenas para transmitir SOL, tornando difícil estabelecer associações através de consultas simples. Esta lacuna não é um defeito de design, mas sim uma questão de compromisso de recursos computacionais - embora seja viável rastrear caminhos de fundos de múltiplos saltos em grandes volumes de dados, o custo é enorme. Portanto, a implementação atual prioriza ligações diretas de alta confiança para manter clareza e reprodutibilidade.
Usamos ferramentas de visualização para mostrar esta cadeia de financiamento mais longa, apresentando graficamente como os fundos fluem do wallet inicial através do wallet shell até o wallet do implementador final. Isso destaca a complexidade da confusão da origem dos fundos e também aponta direções para melhorar os métodos de detecção no futuro.
Descobrir
Focando no subconjunto "sniping na mesma blockchain + cadeia de financiamento direta", revelamos um comportamento colaborativo on-chain amplamente estruturado e altamente lucrativo. Todos os dados a seguir abrangem desde 15 de março até o presente:
O sniping financiado pelo mesmo bloco e pelo implementador é bastante comum e sistemático.
a. No último mês, foram confirmados mais de 15.000 Token que foram diretamente atacados por carteiras de financiamento assim que foram lançados na blockchain;
b. Envolve mais de 4,600 carteiras de snipers e mais de 10,400 implementadores;
c. A quantidade emitida pela pump.fun é de aproximadamente 1,75%.
Esta ação é altamente lucrativa
a. Obtenção direta de capital do wallet de ataque já realizou um lucro líquido >15,000 SOL;
b. Taxa de sucesso do sniper 87%, transações malsucedidas muito raras;
c. Rendimento típico de uma única carteira 1-100 SOL, poucos acima de 500 SOL.
Repetição de implantações e a mira em redes de farming
a. Muitos implantadores usam novas carteiras para criar em massa dezenas a centenas de Tokens;
b. Algumas carteiras de sniper executam centenas de snipes em um dia;
c. Observou-se a estrutura "centro-radial": uma carteira financia várias carteiras de sniper, todas visam o mesmo Token.
O sniper apresenta um padrão de tempo centrado no ser humano
a. Picos de atividade entre UTC 14:00-23:00; quase parado entre UTC 00:00-08:00;
b. Coincide com o horário de trabalho dos EUA, indicando que é acionado manualmente/cron e não é totalmente automático 24 horas por dia.
Confusão de propriedade entre carteiras únicas e transações multi-assinatura
a. O implantador injeta simultaneamente em várias carteiras e assina o ataque na mesma transação;
b. Estas carteiras de queima não assinarão mais nenhuma transação;
c. O implantador divide a compra inicial em 2-4 carteiras, disfarçando a demanda real.
Comportamento de Saída
Para entender melhor como essas carteiras saem, dividimos os dados em duas grandes dimensões de comportamento:
Velocidade de Saída(Tempo de Saída) - Do primeiro compra até a venda final;
Contagem de Vendas(Contagem de Swap) - Número de transações de venda independentes usadas para sair.
conclusão de dados
Velocidade de saída
a. 55% dos snipers foram vendidos em 1 minuto;
b. 85% em 5 minutos liquidado;
c. 11% concluído em 15 segundos.
Número de vendas
a. Mais de 90% das carteiras de snipers saem com apenas 1-2 ordens de venda;
b. Raramente utiliza vendas progressivas.
Tendência de lucros
a. O mais lucrativo é o <1 minuto de saída da carteira, seguido de <5 minutos;
b. Embora a manutenção por mais tempo ou a venda múltipla possa resultar em um lucro médio por transação ligeiramente maior, a quantidade é muito pequena, contribuindo limitadamente para o lucro total.
explicação
Esses padrões indicam: o financiamento de snipers pelo deployer não é uma atividade de negociação, mas sim uma estratégia de extração automatizada e de baixo risco:
Comprar antecipadamente → Vender rapidamente → Sair completamente.
Uma venda única representa uma total indiferença às flutuações de preços, apenas aproveitando a oportunidade para despejar.
Algumas estratégias de saída mais complexas são apenas exceções, modos não convencionais.
Insights acionáveis
As seguintes sugestões visam ajudar as equipas de protocolo, desenvolvedores de front-end e investigadores a identificar e lidar com os modos de emissão de Token de extração ou colaborativos, transformando o comportamento observado em
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Revelação da emissão de tokens Solana: Análise do modo de extração colaborativa entre implantadores e caçadores.
Análise do modo de cultivo de meme Token na Solana
Resumo
Este relatório investiga um padrão de cultivo de meme Token comum e altamente colaborativo na Solana: os implantadores de Token transferem SOL para "wallets de sniper", permitindo que essas wallets comprem o Token na mesma block em que ele é lançado. Ao focar na cadeia de fundos clara e verificável entre os implantadores e os snipers, identificamos um conjunto de comportamentos de extração de alta confiança.
A análise mostra que essa estratégia não é um fenômeno acidental nem um comportamento marginal. Apenas no último mês, mais de 15.000 SOL em lucros realizados foram extraídos de mais de 15.000 emissões de Tokens dessa maneira, envolvendo mais de 4.600 carteiras de snipers e mais de 10.400 implantadores. Essas carteiras apresentam uma taxa de sucesso anormalmente alta de (87% nos lucros de sniping ), uma forma de saída limpa e um padrão de operação estruturado.
Descobertas chave:
Apesar de a análise abranger apenas um subconjunto do comportamento de sniper de bloco na mesma rede, sua escala, estrutura e rentabilidade indicam que a emissão de Token Solana está sendo ativamente manipulada por uma rede colaborativa, e as medidas de defesa existentes são insuficientes.
Metodologia
Esta análise parte de um objetivo claro: identificar comportamentos que indicam a manipulação de Token meme na Solana, especialmente em situações em que os implementadores fornecem fundos a carteiras alvo na mesma altura de bloco em que o Token é lançado. Vamos dividir a questão nas seguintes fases:
Primeiro, filtre as carteiras que foram atacadas no mesmo bloco após a implantação. Como a Solana não possui um mempool global; é necessário conhecer seu endereço antes que o token apareça na interface pública; e o tempo entre a implantação e a primeira interação com a DEX é extremamente curto. Esse comportamento é quase impossível de ocorrer naturalmente, portanto, "ataques no mesmo bloco" tornam-se um filtro de alta confiabilidade para identificar potencial conluio ou atividades privilegiadas.
Para distinguir entre os atiradores de elite tecnicamente habilidosos e os "insiders" colaborativos, rastreamos as transferências de SOL entre o implantador e os atiradores de elite antes do lançamento do token, marcando apenas as carteiras que atendem aos seguintes critérios: receber SOL diretamente do implantador; enviar SOL diretamente ao implantador. Apenas as carteiras que tiveram transferências diretas antes do lançamento foram incluídas no conjunto de dados final.
Para cada carteira de sniper, mapeamos suas atividades de negociação nos tokens alvo, calculando especificamente: o total em SOL gasto na compra do token; o total em SOL obtido na venda na DEX; o lucro líquido realizado ( e não o rendimento nominal ). Desta forma, podemos atribuir com precisão o lucro retirado de cada sniper ao seu deployer.
Analisamos a escala dessas atividades a partir de várias dimensões: número de implantadores independentes e carteiras de sniper; número de vezes que os snipers colaboraram na mesma blockchain; distribuição de lucros de sniper; quantidade de tokens emitidos por cada implantador; reutilização de carteiras de sniper entre tokens.
Para entender como essas operações ocorrem, agrupamos as atividades de sniper por hora UTC. Os resultados mostram: as atividades se concentram em janelas de tempo específicas; diminuem significativamente durante as horas profundas da noite UTC; isso sugere que, em vez de ser uma automação global e contínua, é mais como tarefas cron alinhadas com os EUA ou janelas de execução manual.
Por fim, estudamos o comportamento das carteiras associadas aos investidores ao vender tokens que foram alvo de ataques: medindo o tempo entre a primeira compra e a venda final ( duração da posse ); contabilizando o número de transações de venda independentes utilizadas por cada carteira para sair. Assim, diferenciamos se a carteira opta por liquidar rapidamente ou por uma venda gradual, e examinamos a relação entre a velocidade de saída e a rentabilidade.
Focar nas ameaças mais claras
Primeiro, avaliamos a escala da caça aos blocos no lançamento da pump.fun, e os resultados foram chocantes: mais de 50% dos Tokens foram caçados no momento da criação do bloco - a caça aos blocos passou de um caso marginal para um modo de emissão dominante.
Na Solana, a participação no mesmo bloco geralmente requer: transações pré-assinadas; coordenação off-chain; ou infraestrutura compartilhada entre o implementador e o comprador.
Nem todos os atiradores de bloco são igualmente maliciosos, existem pelo menos duas categorias de papéis: "robôs que lançam redes e tentam a sorte" - testando heurísticas ou especulação de baixo valor; e insiders colaborativos - incluindo implantadores que fornecem fundos para os seus próprios compradores.
Para reduzir falsos positivos e destacar o verdadeiro comportamento colaborativo, adicionámos uma filtragem rigorosa nos indicadores finais: contabilizamos apenas os ataques que envolvem transferências diretas de SOL entre o implantador e a carteira de ataque antes do lançamento. Isso nos permite identificar com confiança: carteiras controladas diretamente pelo implantador; carteiras que atuam sob a direção do implantador; carteiras que possuem canais internos.
Estudo de Caso 1: Financiamento Direto
A carteira do implantador enviou um total de 1,2 SOL para 3 carteiras diferentes e depois implantou um token chamado SOL > BNB. As 3 carteiras que receberam o financiamento completaram a compra no mesmo bloco em que o token foi criado, antes de se tornarem visíveis para o mercado mais amplo. Em seguida, venderam rapidamente para lucrar, executando uma saída relâmpago coordenada. Este é um exemplo clássico de um ataque de sniper pré-financiado que captura tokens agrícolas, diretamente capturado pelo nosso método de cadeia de financiamento. Apesar de a técnica ser simples, ela se repete em grande escala em milhares de emissões.
Estudo de Caso 2: Financiamento de Múltiplos Saltos
Uma carteira está relacionada a múltiplos ataques a tokens. A entidade não financiou diretamente a carteira de ataque, mas transferiu SOL através de 5 a 7 carteiras intermediárias até chegar à carteira de ataque final, completando assim o ataque no mesmo bloco.
Os nossos métodos atuais apenas detectam algumas transferências iniciais do deployer, mas não conseguem capturar toda a cadeia de transações até a carteira final alvo. Estas carteiras de retransmissão são geralmente "usadas uma única vez", apenas para transmitir SOL, tornando difícil estabelecer associações através de consultas simples. Esta lacuna não é um defeito de design, mas sim uma questão de compromisso de recursos computacionais - embora seja viável rastrear caminhos de fundos de múltiplos saltos em grandes volumes de dados, o custo é enorme. Portanto, a implementação atual prioriza ligações diretas de alta confiança para manter clareza e reprodutibilidade.
Usamos ferramentas de visualização para mostrar esta cadeia de financiamento mais longa, apresentando graficamente como os fundos fluem do wallet inicial através do wallet shell até o wallet do implementador final. Isso destaca a complexidade da confusão da origem dos fundos e também aponta direções para melhorar os métodos de detecção no futuro.
Descobrir
Focando no subconjunto "sniping na mesma blockchain + cadeia de financiamento direta", revelamos um comportamento colaborativo on-chain amplamente estruturado e altamente lucrativo. Todos os dados a seguir abrangem desde 15 de março até o presente:
a. No último mês, foram confirmados mais de 15.000 Token que foram diretamente atacados por carteiras de financiamento assim que foram lançados na blockchain; b. Envolve mais de 4,600 carteiras de snipers e mais de 10,400 implementadores; c. A quantidade emitida pela pump.fun é de aproximadamente 1,75%.
a. Obtenção direta de capital do wallet de ataque já realizou um lucro líquido >15,000 SOL; b. Taxa de sucesso do sniper 87%, transações malsucedidas muito raras; c. Rendimento típico de uma única carteira 1-100 SOL, poucos acima de 500 SOL.
a. Muitos implantadores usam novas carteiras para criar em massa dezenas a centenas de Tokens; b. Algumas carteiras de sniper executam centenas de snipes em um dia; c. Observou-se a estrutura "centro-radial": uma carteira financia várias carteiras de sniper, todas visam o mesmo Token.
a. Picos de atividade entre UTC 14:00-23:00; quase parado entre UTC 00:00-08:00; b. Coincide com o horário de trabalho dos EUA, indicando que é acionado manualmente/cron e não é totalmente automático 24 horas por dia.
a. O implantador injeta simultaneamente em várias carteiras e assina o ataque na mesma transação; b. Estas carteiras de queima não assinarão mais nenhuma transação; c. O implantador divide a compra inicial em 2-4 carteiras, disfarçando a demanda real.
Comportamento de Saída
Para entender melhor como essas carteiras saem, dividimos os dados em duas grandes dimensões de comportamento:
conclusão de dados
a. 55% dos snipers foram vendidos em 1 minuto; b. 85% em 5 minutos liquidado; c. 11% concluído em 15 segundos.
a. Mais de 90% das carteiras de snipers saem com apenas 1-2 ordens de venda; b. Raramente utiliza vendas progressivas.
a. O mais lucrativo é o <1 minuto de saída da carteira, seguido de <5 minutos; b. Embora a manutenção por mais tempo ou a venda múltipla possa resultar em um lucro médio por transação ligeiramente maior, a quantidade é muito pequena, contribuindo limitadamente para o lucro total.
explicação
Esses padrões indicam: o financiamento de snipers pelo deployer não é uma atividade de negociação, mas sim uma estratégia de extração automatizada e de baixo risco:
Insights acionáveis
As seguintes sugestões visam ajudar as equipas de protocolo, desenvolvedores de front-end e investigadores a identificar e lidar com os modos de emissão de Token de extração ou colaborativos, transformando o comportamento observado em