Este informe investiga un modelo de agricultura de memes de token altamente colaborativo y común en Solana: los emisores de token transfieren SOL a "carteras de francotiradores", permitiendo que estas carteras compren el token en el mismo bloque en que se lanza. Al centrarnos en la cadena de fondos clara y comprobable entre los emisores y los francotiradores, hemos identificado un conjunto de comportamientos de extracción de alta confianza.
El análisis muestra que esta estrategia no es un fenómeno aleatorio ni un comportamiento marginal. Solo en el último mes, se han extraído más de 15,000 SOL de ganancias realizadas a través de más de 15,000 emisiones de token, involucrando a más de 4,600 wallets de sniping y más de 10,400 desplegadores. Estas wallets muestran una tasa de éxito anormalmente alta del (87% en las ganancias de sniping), un enfoque de salida limpio y ordenado, así como un patrón operativo estructurado.
Descubrimientos clave:
Los dispositivos de francotirador financiados por el implementador son sistemáticos, rentables y generalmente automatizados; las actividades de francotirador se concentran más durante el horario laboral en Estados Unidos.
La estructura de múltiples billeteras para la agricultura es muy común, a menudo se utilizan billeteras temporales y salidas colaborativas para simular la demanda real.
Las tácticas de confusión están en constante evolución, como las cadenas de fondos de múltiples saltos y las transacciones de firma múltiple, para evadir la detección.
Aunque tiene limitaciones, un filtro de capital de salto aún puede capturar los casos de comportamiento de "insiders" más claros y repetibles a gran escala.
Este informe presenta un conjunto de métodos heurísticos operativos que ayudan a los equipos de protocolo y a la interfaz de usuario a identificar, etiquetar y responder en tiempo real a este tipo de actividades, incluyendo el seguimiento de la concentración de posiciones tempranas, etiquetar las billeteras asociadas a los emisores y emitir advertencias en la interfaz de usuario a los usuarios durante emisiones de alto riesgo.
A pesar de que el análisis solo cubre un subconjunto de los comportamientos de ataque de bloque en la misma zona, su escala, estructura y rentabilidad indican que: la emisión de token de Solana está siendo activamente manipulada por redes colaborativas, mientras que las medidas de defensa existentes son claramente insuficientes.
metodología
Este análisis comienza con un objetivo claro: identificar el comportamiento de los tokens meme de colaboración en Solana, especialmente en el caso de que los implementadores proporcionen fondos a las billeteras objetivo en la misma bloque en que se lanza el token. Dividimos el problema en las siguientes etapas:
Filtrar el sniping en el mismo bloque
Primero, filtrar las carteras que fueron atacadas en el mismo bloque después de la implementación. Dado que Solana no tiene un mempool global; es necesario conocer su dirección antes de que el token aparezca en la interfaz pública; y el tiempo entre la implementación y la primera interacción con el DEX es extremadamente corto. Este comportamiento es casi imposible que ocurra de forma natural, por lo que "ataque en el mismo bloque" se convierte en un filtro de alta confianza para identificar actividades potencialmente coludidas o privilegiadas.
Identificar la billetera asociada al desplegador
Para distinguir a los francotiradores técnicamente hábiles de los "insiders" colaborativos, rastreamos las transferencias de SOL entre el emisor del token y los francotiradores antes del lanzamiento del token, marcando solo las billeteras que cumplen con las siguientes condiciones: recibir SOL directamente del emisor; enviar SOL directamente al emisor. Solo las billeteras con transferencias directas antes del lanzamiento se incluyeron en el conjunto de datos final.
Asociar el sniper con la emisión de token
Para cada billetera de sniper, mapeamos su actividad de comercio en el token que fue atacado, calculando específicamente: el total de SOL gastado en la compra de ese token; el total de SOL obtenido al vender en DEX; la ganancia neta realizada ( en lugar de la ganancia nominal ). Esto permite atribuir con precisión las ganancias extraídas de cada ataque desde el desplegador.
Medir la escala y el comportamiento de la billetera
Analizamos la escala de este tipo de actividades desde múltiples dimensiones: número de desplegadores independientes y carteras de ataque; número de ataques colaborativos confirmados en el mismo bloque; distribución de ganancias de los ataques; cantidad de tokens emitidos por cada desplegador; situación de reutilización de carteras de ataque entre tokens.
Huellas de actividad de la máquina
Para entender cómo se llevan a cabo estas operaciones, agrupamos las actividades de sniper por hora UTC. Los resultados muestran: las actividades se concentran en ventanas de tiempo específicas; disminuyen significativamente durante la madrugada UTC; esto sugiere que, más que ser una automatización global y continua, podría ser una tarea cron alineada con Estados Unidos o una ventana de ejecución manual.
Análisis del comportamiento de salida
Finalmente, estudiamos el comportamiento de las billeteras asociadas a los desplegadores al vender tokens que fueron atacados: medimos el tiempo desde la primera compra hasta la venta final ( duración de la posición ); contamos la cantidad de transacciones de venta independientes utilizadas por cada billetera para salir. De este modo, diferenciamos si la billetera elige una liquidación rápida o una venta progresiva, y examinamos la relación entre la velocidad de salida y la rentabilidad.
Enfocándose en la amenaza más clara
Primero medimos la escala de los ataques en bloque del mismo en la emisión de pump.fun, y los resultados son sorprendentes: más del 50% de los tokens fueron atacados en la creación del bloque - los ataques en bloque del mismo han pasado de ser un caso marginal a convertirse en el modo de emisión dominante.
En Solana, la participación en el mismo bloque generalmente requiere: transacciones pre-firmadas; coordinación fuera de la cadena; o el uso compartido de infraestructura entre el emisor y el comprador.
No todos los ataques de bloque son igualmente maliciosos, al menos existen dos tipos de roles: "robots de prueba de red" - que prueban heurísticas o pequeñas especulaciones; y cómplices internos - que incluyen a los implementadores que proporcionan financiamiento a sus propios compradores.
Para reducir las falsas alarmas y resaltar el verdadero comportamiento colaborativo, hemos incluído un filtrado estricto en el indicador final: solo se contabilizan los ataques de sniper que tienen transferencias directas de SOL entre el desplegador antes del lanzamiento y la billetera de sniper. Esto nos permite identificar con confianza: las billeteras controladas directamente por el desplegador; las billeteras que actúan bajo la dirección del desplegador; las billeteras que tienen canales internos.
Estudio de caso 1: financiación directa
La cartera del desplegador envía un total de 1.2 SOL a 3 carteras diferentes, luego despliega un token llamado SOL > BNB. Las 3 carteras financiadas completan la compra en el mismo bloque de creación del token, antes de que sea visible en un mercado más amplio. Posteriormente, venden rápidamente para obtener ganancias, ejecutando una salida relámpago coordinada. Este es un ejemplo clásico de un ataque de prefinanciación donde una cartera de caza dispara los tokens agrícolas, capturado directamente por nuestro enfoque de cadena de fondos. A pesar de la simplicidad del método, se ha llevado a cabo a gran escala en miles de emisiones.
Estudio de caso 2: financiamiento de múltiples saltos
Una billetera está relacionada con múltiples ataques de token. Esta entidad no financió directamente la billetera de ataque, sino que envió SOL a través de 5-7 billeteras intermedias hasta la billetera de ataque final, logrando así el ataque en el mismo bloque.
Nuestro enfoque actual solo detecta algunas transferencias iniciales del desplegador, pero no logra capturar toda la cadena hacia la billetera objetivo final. Estas billeteras intermediarias suelen ser "de un solo uso", utilizadas únicamente para transferir SOL, lo que dificulta la asociación a través de consultas simples. Esta brecha no es un defecto de diseño, sino un compromiso de recursos computacionales: aunque es factible rastrear caminos de fondos de múltiples saltos en grandes volúmenes de datos, el costo es enorme. Por lo tanto, la implementación actual prioriza rutas de alta confianza y conexión directa para mantener claridad y reproducibilidad.
Hemos utilizado herramientas de visualización para mostrar esta cadena de financiamiento más larga, representando gráficamente cómo los fondos fluyen desde la billetera inicial a través de la billetera shell hasta la billetera del desplegador final. Esto resalta la complejidad del enredo de las fuentes de financiamiento y también señala la dirección para mejorar los métodos de detección en el futuro.
Descubrir
Enfocándonos en el subconjunto "sniping en la misma cadena + cadena de fondos directa", revelamos un comportamiento colaborativo en cadena que es amplio, estructurado y altamente rentable. Todos los datos a continuación cubren desde el 15 de marzo hasta la fecha:
La caza de puntos de financiamiento por parte del mismo bloque y del desplegador es muy común y sistemática.
a. En el último mes se confirmaron más de 15,000 tokens que fueron directamente atacados por billeteras financiadas en el bloque de lanzamiento;
b. Involucra más de 4,600 wallets de sniping, más de 10,400 desplegadores;
c. ocupa aproximadamente el 1.75% de la emisión de pump.fun.
Este comportamiento genera grandes ganancias
a. La cartera de obtención directa de fondos ha logrado un beneficio neto > 15,000 SOL;
b. Tasa de éxito de francotirador del 87%, muy pocas transacciones fallidas;
c. Rendimiento típico de una sola billetera 1-100 SOL, algunos superan los 500 SOL.
Reimplementación y apuntar a la red de cultivo de bots
a. Muchos desplegadores utilizan nuevas carteras para crear en masa decenas a cientos de Token;
b. Algunas carteras de sniper realizan cientos de ataques en un día;
c. Observado la estructura de "centro-radiación": una billetera financia múltiples billeteras de sniper, todas apuntando al mismo token.
La presentación del francotirador muestra un patrón temporal centrado en el ser humano
a. El pico de actividad está entre UTC 14:00-23:00; UTC 00:00-08:00 está casi detenido;
b. Coincidiendo con el horario laboral de EE. UU., indica que se activa manualmente o mediante cron, y no es completamente automático 24 horas.
Confusión de la propiedad entre billeteras de un solo uso y transacciones multi-firma
a. El desplegador inyecta capital en varios monederos al mismo tiempo y firma el ataque en la misma transacción;
b. Estas billeteras no firmarán más transacciones a partir de ahora;
c. El desplegador divide la compra inicial en 2-4 billeteras para disfrazar la demanda real.
Comportamiento de salida
Para comprender mejor cómo estos monederos se retiran, desglosamos los datos en dos grandes dimensiones de comportamiento:
Velocidad de salida ( Tiempo de salida ) - Desde la primera compra hasta la venta final;
Cantidad de ventas ( Swap Count ) - Número de transacciones de venta independientes utilizadas para salir.
conclusión de datos
Velocidad de salida
a. El 55% de las órdenes de venta se completaron en 1 minuto;
b. 85% en 5 minutos liquidado;
c. 11% se completa en 15 segundos.
Número de ventas
a. Más del 90% de las billeteras de sniper solo utilizan 1-2 órdenes de venta para salir;
b. Muy pocas veces se utiliza la venta progresiva.
Tendencia de ganancias
a. El más rentable es el monedero de salida en menos de 1 minuto, seguido por el de menos de 5 minutos;
b. Aunque mantener por más tiempo o vender varias veces puede resultar en un promedio de ganancias por transacción ligeramente más alto, la cantidad es extremadamente baja y su contribución al total de ganancias es limitada.
explicación
Estos patrones indican que el financiamiento de los francotiradores por parte del implementador no es una actividad de comercio, sino una estrategia de extracción automatizada y de bajo riesgo:
Una venta única representa una indiferencia total por las fluctuaciones de precios, solo aprovechando la oportunidad para hacer dump.
Las estrategias de salida más complejas son solo excepciones, modos no convencionales.
Conclusión
Este informe revela una estrategia de extracción de alta rentabilidad, continua y estructurada para la emisión de tokens de Solana: un ataque de bloque financiado por el desplegador. Al rastrear las transferencias directas de SOL del desplegador a la billetera de ataque, hemos identificado un comportamiento estilo insider, aprovechando la arquitectura de alto rendimiento de Solana para realizar extracciones coordinadas.
Aunque este método solo captura una parte de la caza de bloques en la misma zona, su escala y patrón indican: no es una especulación dispersa, sino que son operadores con posiciones privilegiadas, sistemas repetibles y objetivos claros. La importancia de esta estrategia se refleja en:
Distorsionar las señales del mercado temprano, haciendo que el token parezca más
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
3
Republicar
Compartir
Comentar
0/400
GasOptimizer
· 08-17 03:15
¿La tasa de éxito de la agricultura es del 87%? ¿Qué tal si hacemos un excel para calcular la tasa de ROI general?
Ver originalesResponder0
MysteriousZhang
· 08-17 03:14
Ser engañados ya es tan alta tecnología.
Ver originalesResponder0
CryptoTarotReader
· 08-17 03:03
El Maestro Celestial está aquí, ¡hemos ganado mucho!
Revelación de la emisión de Token Solana: red de colaboración de 15000 SOL de arbitraje y 4600 billeteras de trampa
Análisis de la emisión de token en Solana
Resumen
Este informe investiga un modelo de agricultura de memes de token altamente colaborativo y común en Solana: los emisores de token transfieren SOL a "carteras de francotiradores", permitiendo que estas carteras compren el token en el mismo bloque en que se lanza. Al centrarnos en la cadena de fondos clara y comprobable entre los emisores y los francotiradores, hemos identificado un conjunto de comportamientos de extracción de alta confianza.
El análisis muestra que esta estrategia no es un fenómeno aleatorio ni un comportamiento marginal. Solo en el último mes, se han extraído más de 15,000 SOL de ganancias realizadas a través de más de 15,000 emisiones de token, involucrando a más de 4,600 wallets de sniping y más de 10,400 desplegadores. Estas wallets muestran una tasa de éxito anormalmente alta del (87% en las ganancias de sniping), un enfoque de salida limpio y ordenado, así como un patrón operativo estructurado.
Descubrimientos clave:
A pesar de que el análisis solo cubre un subconjunto de los comportamientos de ataque de bloque en la misma zona, su escala, estructura y rentabilidad indican que: la emisión de token de Solana está siendo activamente manipulada por redes colaborativas, mientras que las medidas de defensa existentes son claramente insuficientes.
metodología
Este análisis comienza con un objetivo claro: identificar el comportamiento de los tokens meme de colaboración en Solana, especialmente en el caso de que los implementadores proporcionen fondos a las billeteras objetivo en la misma bloque en que se lanza el token. Dividimos el problema en las siguientes etapas:
Primero, filtrar las carteras que fueron atacadas en el mismo bloque después de la implementación. Dado que Solana no tiene un mempool global; es necesario conocer su dirección antes de que el token aparezca en la interfaz pública; y el tiempo entre la implementación y la primera interacción con el DEX es extremadamente corto. Este comportamiento es casi imposible que ocurra de forma natural, por lo que "ataque en el mismo bloque" se convierte en un filtro de alta confianza para identificar actividades potencialmente coludidas o privilegiadas.
Para distinguir a los francotiradores técnicamente hábiles de los "insiders" colaborativos, rastreamos las transferencias de SOL entre el emisor del token y los francotiradores antes del lanzamiento del token, marcando solo las billeteras que cumplen con las siguientes condiciones: recibir SOL directamente del emisor; enviar SOL directamente al emisor. Solo las billeteras con transferencias directas antes del lanzamiento se incluyeron en el conjunto de datos final.
Para cada billetera de sniper, mapeamos su actividad de comercio en el token que fue atacado, calculando específicamente: el total de SOL gastado en la compra de ese token; el total de SOL obtenido al vender en DEX; la ganancia neta realizada ( en lugar de la ganancia nominal ). Esto permite atribuir con precisión las ganancias extraídas de cada ataque desde el desplegador.
Analizamos la escala de este tipo de actividades desde múltiples dimensiones: número de desplegadores independientes y carteras de ataque; número de ataques colaborativos confirmados en el mismo bloque; distribución de ganancias de los ataques; cantidad de tokens emitidos por cada desplegador; situación de reutilización de carteras de ataque entre tokens.
Para entender cómo se llevan a cabo estas operaciones, agrupamos las actividades de sniper por hora UTC. Los resultados muestran: las actividades se concentran en ventanas de tiempo específicas; disminuyen significativamente durante la madrugada UTC; esto sugiere que, más que ser una automatización global y continua, podría ser una tarea cron alineada con Estados Unidos o una ventana de ejecución manual.
Finalmente, estudiamos el comportamiento de las billeteras asociadas a los desplegadores al vender tokens que fueron atacados: medimos el tiempo desde la primera compra hasta la venta final ( duración de la posición ); contamos la cantidad de transacciones de venta independientes utilizadas por cada billetera para salir. De este modo, diferenciamos si la billetera elige una liquidación rápida o una venta progresiva, y examinamos la relación entre la velocidad de salida y la rentabilidad.
Enfocándose en la amenaza más clara
Primero medimos la escala de los ataques en bloque del mismo en la emisión de pump.fun, y los resultados son sorprendentes: más del 50% de los tokens fueron atacados en la creación del bloque - los ataques en bloque del mismo han pasado de ser un caso marginal a convertirse en el modo de emisión dominante.
En Solana, la participación en el mismo bloque generalmente requiere: transacciones pre-firmadas; coordinación fuera de la cadena; o el uso compartido de infraestructura entre el emisor y el comprador.
No todos los ataques de bloque son igualmente maliciosos, al menos existen dos tipos de roles: "robots de prueba de red" - que prueban heurísticas o pequeñas especulaciones; y cómplices internos - que incluyen a los implementadores que proporcionan financiamiento a sus propios compradores.
Para reducir las falsas alarmas y resaltar el verdadero comportamiento colaborativo, hemos incluído un filtrado estricto en el indicador final: solo se contabilizan los ataques de sniper que tienen transferencias directas de SOL entre el desplegador antes del lanzamiento y la billetera de sniper. Esto nos permite identificar con confianza: las billeteras controladas directamente por el desplegador; las billeteras que actúan bajo la dirección del desplegador; las billeteras que tienen canales internos.
Estudio de caso 1: financiación directa
La cartera del desplegador envía un total de 1.2 SOL a 3 carteras diferentes, luego despliega un token llamado SOL > BNB. Las 3 carteras financiadas completan la compra en el mismo bloque de creación del token, antes de que sea visible en un mercado más amplio. Posteriormente, venden rápidamente para obtener ganancias, ejecutando una salida relámpago coordinada. Este es un ejemplo clásico de un ataque de prefinanciación donde una cartera de caza dispara los tokens agrícolas, capturado directamente por nuestro enfoque de cadena de fondos. A pesar de la simplicidad del método, se ha llevado a cabo a gran escala en miles de emisiones.
Estudio de caso 2: financiamiento de múltiples saltos
Una billetera está relacionada con múltiples ataques de token. Esta entidad no financió directamente la billetera de ataque, sino que envió SOL a través de 5-7 billeteras intermedias hasta la billetera de ataque final, logrando así el ataque en el mismo bloque.
Nuestro enfoque actual solo detecta algunas transferencias iniciales del desplegador, pero no logra capturar toda la cadena hacia la billetera objetivo final. Estas billeteras intermediarias suelen ser "de un solo uso", utilizadas únicamente para transferir SOL, lo que dificulta la asociación a través de consultas simples. Esta brecha no es un defecto de diseño, sino un compromiso de recursos computacionales: aunque es factible rastrear caminos de fondos de múltiples saltos en grandes volúmenes de datos, el costo es enorme. Por lo tanto, la implementación actual prioriza rutas de alta confianza y conexión directa para mantener claridad y reproducibilidad.
Hemos utilizado herramientas de visualización para mostrar esta cadena de financiamiento más larga, representando gráficamente cómo los fondos fluyen desde la billetera inicial a través de la billetera shell hasta la billetera del desplegador final. Esto resalta la complejidad del enredo de las fuentes de financiamiento y también señala la dirección para mejorar los métodos de detección en el futuro.
Descubrir
Enfocándonos en el subconjunto "sniping en la misma cadena + cadena de fondos directa", revelamos un comportamiento colaborativo en cadena que es amplio, estructurado y altamente rentable. Todos los datos a continuación cubren desde el 15 de marzo hasta la fecha:
a. En el último mes se confirmaron más de 15,000 tokens que fueron directamente atacados por billeteras financiadas en el bloque de lanzamiento; b. Involucra más de 4,600 wallets de sniping, más de 10,400 desplegadores; c. ocupa aproximadamente el 1.75% de la emisión de pump.fun.
a. La cartera de obtención directa de fondos ha logrado un beneficio neto > 15,000 SOL; b. Tasa de éxito de francotirador del 87%, muy pocas transacciones fallidas; c. Rendimiento típico de una sola billetera 1-100 SOL, algunos superan los 500 SOL.
a. Muchos desplegadores utilizan nuevas carteras para crear en masa decenas a cientos de Token; b. Algunas carteras de sniper realizan cientos de ataques en un día; c. Observado la estructura de "centro-radiación": una billetera financia múltiples billeteras de sniper, todas apuntando al mismo token.
a. El pico de actividad está entre UTC 14:00-23:00; UTC 00:00-08:00 está casi detenido; b. Coincidiendo con el horario laboral de EE. UU., indica que se activa manualmente o mediante cron, y no es completamente automático 24 horas.
a. El desplegador inyecta capital en varios monederos al mismo tiempo y firma el ataque en la misma transacción; b. Estas billeteras no firmarán más transacciones a partir de ahora; c. El desplegador divide la compra inicial en 2-4 billeteras para disfrazar la demanda real.
Comportamiento de salida
Para comprender mejor cómo estos monederos se retiran, desglosamos los datos en dos grandes dimensiones de comportamiento:
conclusión de datos
a. El 55% de las órdenes de venta se completaron en 1 minuto; b. 85% en 5 minutos liquidado; c. 11% se completa en 15 segundos.
a. Más del 90% de las billeteras de sniper solo utilizan 1-2 órdenes de venta para salir; b. Muy pocas veces se utiliza la venta progresiva.
a. El más rentable es el monedero de salida en menos de 1 minuto, seguido por el de menos de 5 minutos; b. Aunque mantener por más tiempo o vender varias veces puede resultar en un promedio de ganancias por transacción ligeramente más alto, la cantidad es extremadamente baja y su contribución al total de ganancias es limitada.
explicación
Estos patrones indican que el financiamiento de los francotiradores por parte del implementador no es una actividad de comercio, sino una estrategia de extracción automatizada y de bajo riesgo:
Conclusión
Este informe revela una estrategia de extracción de alta rentabilidad, continua y estructurada para la emisión de tokens de Solana: un ataque de bloque financiado por el desplegador. Al rastrear las transferencias directas de SOL del desplegador a la billetera de ataque, hemos identificado un comportamiento estilo insider, aprovechando la arquitectura de alto rendimiento de Solana para realizar extracciones coordinadas.
Aunque este método solo captura una parte de la caza de bloques en la misma zona, su escala y patrón indican: no es una especulación dispersa, sino que son operadores con posiciones privilegiadas, sistemas repetibles y objetivos claros. La importancia de esta estrategia se refleja en: