Analyse des attaques sur l'émission de jetons sur Solana
Résumé
Ce rapport examine un modèle de farming de meme jeton largement répandu et hautement collaboratif sur Solana : les émetteurs de jetons transfèrent des SOL vers des "portefeuilles de sniper", permettant à ces portefeuilles d'acheter le jeton dans le même bloc que le lancement du jeton. En se concentrant sur une chaîne de financement claire et prouvable entre l'émetteur et le sniper, nous avons identifié un ensemble de comportements d'extraction à haute confiance.
L'analyse montre que cette stratégie n'est ni un phénomène aléatoire, ni un comportement marginal. Rien qu'au cours du mois dernier, plus de 15 000 SOL de profits réalisés ont été extraits de plus de 15 000 émissions de jetons de cette manière, impliquant plus de 4 600 portefeuilles de sniper et plus de 10 400 déployeurs. Ces portefeuilles affichent un taux de réussite anormalement élevé de (87 % pour les profits de sniper), une méthode de sortie propre et nette, ainsi qu'un mode d'opération structuré.
Découverte clé :
Les snipers financés par les déployeurs sont systématiques, rentables et généralement automatisés, les activités de sniping étant le plus concentrées pendant les heures de travail aux États-Unis.
La structure de plusieurs portefeuilles pour le farming est très courante, utilisant souvent des portefeuilles temporaires et des retraits coordonnés pour simuler la demande réelle.
Les moyens de dissimulation se renforcent constamment, tels que les chaînes de financement multi-sauts et les transactions ciblées à signatures multiples, pour échapper à la détection.
Bien qu'il ait des limitations, un filtre de fonds par saut peut toujours capturer les cas de comportement "d'initiés" les plus clairs et répétables à grande échelle.
Ce rapport propose une méthode heuristique opérationnelle pour aider les équipes de protocole et les interfaces frontales à identifier, marquer et répondre en temps réel à de telles activités - y compris le suivi de la concentration des positions initiales, l'attribution de labels aux portefeuilles associés aux déployeurs et l'émission d'avertissements en interface frontale aux utilisateurs lors d'émissions à haut risque.
Bien que l'analyse ne couvre qu'un sous-ensemble des comportements de ciblage de blocs dans la même zone, son ampleur, sa structure et sa rentabilité indiquent que l'émission de jetons Solana est activement manipulée par un réseau collaboratif, tandis que les mesures de défense existantes sont largement insuffisantes.
Méthodologie
Cette analyse commence par un objectif clair : identifier les comportements de collaboration liés aux jetons meme sur Solana, en particulier les cas où le déployeur fournit des fonds aux portefeuilles ciblés lors de l'émission de jetons dans le même bloc. Nous avons divisé le problème en plusieurs étapes :
Filtrer les snipers de la même zone de blocs
Tout d'abord, filtrez les portefeuilles qui ont été ciblés dans le même bloc après le déploiement. Étant donné que Solana n'a pas de mempool global ; il faut connaître son adresse avant que le jeton n'apparaisse sur le front public ; et le temps entre le déploiement et la première interaction DEX est très court. Ce comportement est presque impossible à produire naturellement, donc "sniping dans le même bloc" devient un filtre de haute confiance pour identifier des activités potentielles de collusion ou de privilèges.
Identifier le portefeuille associé au déployeur
Pour distinguer les tireurs d'élite techniquement avancés des "initiés" collaborant, nous avons suivi les transferts de SOL entre les déployeurs et les tireurs d'élite avant le lancement des jetons, ne marquant que les portefeuilles qui remplissent les conditions suivantes : recevoir directement des SOL du déployeur ; envoyer directement des SOL au déployeur. Seuls les portefeuilles ayant des transferts directs avant le lancement ont été inclus dans le jeu de données final.
Lier le sniping aux profits des jetons
Pour chaque portefeuille de sniper, nous cartographions son activité de trading sur les jetons ciblés, en calculant spécifiquement : le montant total de SOL dépensé pour acheter ce jeton ; le montant total de SOL obtenu lors de la vente sur le DEX ; le bénéfice net réalisé ( et non le bénéfice nominal ). Cela permet d'attribuer avec précision le profit extrait de chaque tir de la part du déployeur.
Mesurer la taille et le comportement du portefeuille
Nous analysons l'échelle de ce type d'activité sous plusieurs dimensions : le nombre de déployeurs indépendants et de portefeuilles de sniping ; le nombre de fois où des blocs de sniping ont été confirmés en collaboration ; la distribution des profits de sniping ; le nombre de jetons émis par chaque déployeur ; la réutilisation entre jetons des portefeuilles de sniping.
Trace d'activité des machines
Pour comprendre comment ces opérations sont effectuées, nous avons regroupé les activités de sniper par heure UTC. Les résultats montrent : les activités se concentrent dans des fenêtres horaires spécifiques ; elles diminuent de manière significative pendant la nuit UTC ; cela indique qu'il s'agit moins d'une automatisation mondiale et continue que de tâches cron alignées avec les États-Unis ou de fenêtres d'exécution manuelle.
Analyse des comportements de sortie
Enfin, nous étudions le comportement des portefeuilles associés aux déployeurs lors de la vente de jetons ciblés : mesurer le temps entre le premier achat et la vente finale ( durée de détention ) ; comptabiliser le nombre de transactions de vente uniques utilisées par chaque portefeuille pour sortir. Cela permet de distinguer si le portefeuille choisit un déstockage rapide ou une vente progressive, et d'examiner la relation entre la vitesse de sortie et la rentabilité.
Se concentrer sur la menace la plus claire
Nous avons d'abord mesuré l'ampleur des frappes de jetons dans l'émission de pump.fun, et les résultats sont étonnants : plus de 50 % des jetons ont été frappés dès la création du bloc - les frappes de jetons dans le même bloc sont passées d'un cas marginal à un mode d'émission dominant.
Sur Solana, la participation au même bloc nécessite généralement : des transactions pré-signées ; une coordination hors chaîne ; ou le partage d'infrastructures entre le déployeur et l'acheteur.
Tous les bots de ciblage de blocs ne sont pas nécessairement malveillants, il existe au moins deux types de rôles : "robots de pêche au filet" - testent des heuristiques ou des spéculations mineures ; collaborateurs internes - y compris ceux qui financent les acheteurs pour leurs propres déploiements.
Pour réduire les faux positifs et mettre en évidence les véritables comportements collaboratifs, nous avons intégré un filtrage strict dans les indicateurs finaux : nous ne comptabilisons que les attaques où il y a un transfert direct de SOL entre le déployeur avant le lancement et le portefeuille de sniper. Cela nous permet de verrouiller en toute confiance : les portefeuilles directement contrôlés par le déployeur ; les portefeuilles agissant sous la direction du déployeur ; les portefeuilles ayant des canaux internes.
Étude de cas 1 : financement direct
Le portefeuille du déployeur envoie un total de 1,2 SOL à 3 portefeuilles différents, puis déploie un jeton nommé SOL > BNB. Les 3 portefeuilles de financement complètent leur achat dans le même bloc que la création du jeton, avant qu'il ne soit visible sur un marché plus large. Ensuite, ils le revendent rapidement pour réaliser un bénéfice, exécutant une sortie éclair coordonnée. C'est un exemple classique de l'utilisation de portefeuilles de pré-financement pour cibler les jetons agricoles, directement capturé par notre méthode de chaîne de financement. Bien que la technique soit simple, elle se déroule à grande échelle au cours de milliers d'émissions.
Étude de cas 2 : financement multi-saut
Un portefeuille est lié à plusieurs attaques de jetons. Cette entité n'a pas directement financé le portefeuille d'attaque, mais a transféré des SOL via 5 à 7 portefeuilles intermédiaires jusqu'au portefeuille d'attaque final, permettant ainsi d'effectuer l'attaque dans le même bloc.
Nos méthodes actuelles ne détectent que certains transferts préliminaires du déployeur, sans réussir à capturer l'ensemble de la chaîne jusqu'au portefeuille cible final. Ces portefeuilles relais sont souvent "à usage unique", utilisés uniquement pour transmettre des SOL, ce qui rend difficile leur association par de simples requêtes. Cette lacune n'est pas un défaut de conception, mais résulte d'un compromis sur les ressources de calcul - bien qu'il soit possible de suivre des chemins de fonds à plusieurs sauts dans de grandes quantités de données, cela engendre des coûts énormes. Par conséquent, la mise en œuvre actuelle privilégie les liens directs à haute confiance pour maintenir la clarté et la reproductibilité.
Nous avons utilisé des outils de visualisation pour montrer cette chaîne de financement plus longue, illustrant comment les fonds passent du portefeuille initial à travers le portefeuille shell jusqu'au portefeuille du déployeur final. Cela met en évidence la complexité du flou des sources de financement et indique également la direction pour améliorer les méthodes de détection à l'avenir.
Découverte
En se concentrant sur le sous-ensemble "sniping en chaîne + chaîne de financement directe", nous révélons un comportement de collaboration en chaîne largement structuré et hautement rentable. Toutes les données suivantes couvrent la période du 15 mars à aujourd'hui :
Les snipes financés par le déployeur et dans le même bloc sont très courants et systématiques.
a. Au cours du mois dernier, plus de 15 000 jetons ont été directement ciblés par des portefeuilles d'investissement dès leur mise en ligne dans la blockchain;
b. Implique plus de 4 600 portefeuilles de sniper et plus de 10 400 déployeurs;
c. Représente environ 1,75 % de l'émission de pump.fun.
Cette action génère des profits massifs
a. Les portefeuilles de ciblage direct ont réalisé un bénéfice net > 15 000 SOL;
b. Taux de réussite de tir 87%, très peu de transactions échouées;
c. Rendement typique d'un seul portefeuille 1-100 SOL, quelques-uns dépassant 500 SOL.
Déploiement répété et ciblage des réseaux agricoles de frappe
a. De nombreux déployeurs utilisent de nouveaux portefeuilles pour créer en masse des dizaines à des centaines de jetons;
b. Certains portefeuilles de sniper effectuent des centaines de snipes en une journée;
c. Observation de la structure "centre-rayonnement" : un portefeuille finance plusieurs portefeuilles de sniper, tous visant le même jeton.
Le tir présente un modèle temporel centré sur l'humain
a. Les pics d'activité se situent entre UTC 14:00-23:00; presque à l'arrêt entre UTC 00:00-08:00;
b. En accord avec les heures de travail aux États-Unis, cela signifie que le déclenchement est manuel/cron, et non automatique 24 heures sur 24 dans le monde.
La confusion de la propriété entre portefeuille unique et transaction multi-signatures
a. Le déployeur injecte des fonds dans plusieurs portefeuilles en même temps et signe la frappe dans la même transaction;
b. Ces portefeuilles brûlés ne signeront plus aucune transaction;
c. Le déployeur divise l'achat initial en 2 à 4 portefeuilles pour masquer la demande réelle.
Comportement de sortie
Pour mieux comprendre comment ces portefeuilles sortent, nous décomposons les données selon deux grandes dimensions comportementales :
Vitesse de sortie ( Temps de sortie ) - Du premier achat à la vente finale;
Nombre de ventes ( Nombre d'échanges ) - Nombre de transactions de vente indépendantes utilisées pour quitter.
conclusion des données
Vitesse de sortie
a. 55% des cibles ont été vendues en 1 minute.
b. 85% déchargé en 5 minutes;
c. 11% terminé en 15 secondes.
Nombre de ventes
a. Plus de 90 % des portefeuilles de sniper ne sortent qu'avec 1 à 2 ventes.
b. Très peu de ventes progressives.
Tendance des bénéfices
a. Le portefeuille qui rapporte le plus est celui qui sort en moins d'1 minute, puis celui qui sort en moins de 5 minutes;
b. Bien que la détention plus longue ou les ventes multiples aient un bénéfice moyen par transaction légèrement plus élevé, le nombre est très limité, et la contribution au bénéfice total est faible.
explication
Ces modèles indiquent que le tir de sniper financé par le déployeur n'est pas une activité de trading, mais plutôt une stratégie d'extraction automatisée et à faible risque :
Acheter en priorité → Vendre rapidement → Quitter complètement.
Une vente unique représente un désintérêt total pour les fluctuations de prix, utilisant simplement l'opportunité pour dump.
Quelques stratégies de sortie plus complexes ne sont que des exceptions, des modes non conventionnels.
Conclusion
Ce rapport révèle une stratégie d'extraction continue, structurée et hautement rentable pour l'émission de jetons Solana : le ciblage dans le même bloc financé par des déployeurs. En suivant les transferts directs de SOL des déployeurs vers les portefeuilles de ciblage, nous avons identifié un comportement semblable à celui des initiés, exploitant l'architecture à haut débit de Solana pour une extraction collaborative.
Bien que cette méthode n'ait capturé qu'une partie de la chasse aux blocs dans la même zone, son échelle et son modèle indiquent : ce n'est pas une spéculation éparse, mais des opérateurs ayant une position privilégiée, un système répétable et une intention claire. L'importance de cette stratégie réside dans :
Déformer les signaux du marché précoce, rendant le jeton apparemment plus
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
15 J'aime
Récompense
15
3
Reposter
Partager
Commentaire
0/400
GasOptimizer
· Il y a 23h
Taux de réussite de 87 % pour le farming ? Que diriez-vous de faire un excel pour calculer le ROI global ?
Voir l'originalRépondre0
MysteriousZhang
· Il y a 23h
Se faire prendre pour des cons, c'est devenu si high-tech.
Voir l'originalRépondre0
CryptoTarotReader
· 08-17 03:03
Le maître céleste est ici, tout le monde a gagné de l'argent.
Révélations sur le piégeage de l'émission de jetons Solana : arbitrage de 15000 SOL et réseau collaboratif du portefeuille de 4600.
Analyse des attaques sur l'émission de jetons sur Solana
Résumé
Ce rapport examine un modèle de farming de meme jeton largement répandu et hautement collaboratif sur Solana : les émetteurs de jetons transfèrent des SOL vers des "portefeuilles de sniper", permettant à ces portefeuilles d'acheter le jeton dans le même bloc que le lancement du jeton. En se concentrant sur une chaîne de financement claire et prouvable entre l'émetteur et le sniper, nous avons identifié un ensemble de comportements d'extraction à haute confiance.
L'analyse montre que cette stratégie n'est ni un phénomène aléatoire, ni un comportement marginal. Rien qu'au cours du mois dernier, plus de 15 000 SOL de profits réalisés ont été extraits de plus de 15 000 émissions de jetons de cette manière, impliquant plus de 4 600 portefeuilles de sniper et plus de 10 400 déployeurs. Ces portefeuilles affichent un taux de réussite anormalement élevé de (87 % pour les profits de sniper), une méthode de sortie propre et nette, ainsi qu'un mode d'opération structuré.
Découverte clé :
Bien que l'analyse ne couvre qu'un sous-ensemble des comportements de ciblage de blocs dans la même zone, son ampleur, sa structure et sa rentabilité indiquent que l'émission de jetons Solana est activement manipulée par un réseau collaboratif, tandis que les mesures de défense existantes sont largement insuffisantes.
Méthodologie
Cette analyse commence par un objectif clair : identifier les comportements de collaboration liés aux jetons meme sur Solana, en particulier les cas où le déployeur fournit des fonds aux portefeuilles ciblés lors de l'émission de jetons dans le même bloc. Nous avons divisé le problème en plusieurs étapes :
Tout d'abord, filtrez les portefeuilles qui ont été ciblés dans le même bloc après le déploiement. Étant donné que Solana n'a pas de mempool global ; il faut connaître son adresse avant que le jeton n'apparaisse sur le front public ; et le temps entre le déploiement et la première interaction DEX est très court. Ce comportement est presque impossible à produire naturellement, donc "sniping dans le même bloc" devient un filtre de haute confiance pour identifier des activités potentielles de collusion ou de privilèges.
Pour distinguer les tireurs d'élite techniquement avancés des "initiés" collaborant, nous avons suivi les transferts de SOL entre les déployeurs et les tireurs d'élite avant le lancement des jetons, ne marquant que les portefeuilles qui remplissent les conditions suivantes : recevoir directement des SOL du déployeur ; envoyer directement des SOL au déployeur. Seuls les portefeuilles ayant des transferts directs avant le lancement ont été inclus dans le jeu de données final.
Pour chaque portefeuille de sniper, nous cartographions son activité de trading sur les jetons ciblés, en calculant spécifiquement : le montant total de SOL dépensé pour acheter ce jeton ; le montant total de SOL obtenu lors de la vente sur le DEX ; le bénéfice net réalisé ( et non le bénéfice nominal ). Cela permet d'attribuer avec précision le profit extrait de chaque tir de la part du déployeur.
Nous analysons l'échelle de ce type d'activité sous plusieurs dimensions : le nombre de déployeurs indépendants et de portefeuilles de sniping ; le nombre de fois où des blocs de sniping ont été confirmés en collaboration ; la distribution des profits de sniping ; le nombre de jetons émis par chaque déployeur ; la réutilisation entre jetons des portefeuilles de sniping.
Pour comprendre comment ces opérations sont effectuées, nous avons regroupé les activités de sniper par heure UTC. Les résultats montrent : les activités se concentrent dans des fenêtres horaires spécifiques ; elles diminuent de manière significative pendant la nuit UTC ; cela indique qu'il s'agit moins d'une automatisation mondiale et continue que de tâches cron alignées avec les États-Unis ou de fenêtres d'exécution manuelle.
Enfin, nous étudions le comportement des portefeuilles associés aux déployeurs lors de la vente de jetons ciblés : mesurer le temps entre le premier achat et la vente finale ( durée de détention ) ; comptabiliser le nombre de transactions de vente uniques utilisées par chaque portefeuille pour sortir. Cela permet de distinguer si le portefeuille choisit un déstockage rapide ou une vente progressive, et d'examiner la relation entre la vitesse de sortie et la rentabilité.
Se concentrer sur la menace la plus claire
Nous avons d'abord mesuré l'ampleur des frappes de jetons dans l'émission de pump.fun, et les résultats sont étonnants : plus de 50 % des jetons ont été frappés dès la création du bloc - les frappes de jetons dans le même bloc sont passées d'un cas marginal à un mode d'émission dominant.
Sur Solana, la participation au même bloc nécessite généralement : des transactions pré-signées ; une coordination hors chaîne ; ou le partage d'infrastructures entre le déployeur et l'acheteur.
Tous les bots de ciblage de blocs ne sont pas nécessairement malveillants, il existe au moins deux types de rôles : "robots de pêche au filet" - testent des heuristiques ou des spéculations mineures ; collaborateurs internes - y compris ceux qui financent les acheteurs pour leurs propres déploiements.
Pour réduire les faux positifs et mettre en évidence les véritables comportements collaboratifs, nous avons intégré un filtrage strict dans les indicateurs finaux : nous ne comptabilisons que les attaques où il y a un transfert direct de SOL entre le déployeur avant le lancement et le portefeuille de sniper. Cela nous permet de verrouiller en toute confiance : les portefeuilles directement contrôlés par le déployeur ; les portefeuilles agissant sous la direction du déployeur ; les portefeuilles ayant des canaux internes.
Étude de cas 1 : financement direct
Le portefeuille du déployeur envoie un total de 1,2 SOL à 3 portefeuilles différents, puis déploie un jeton nommé SOL > BNB. Les 3 portefeuilles de financement complètent leur achat dans le même bloc que la création du jeton, avant qu'il ne soit visible sur un marché plus large. Ensuite, ils le revendent rapidement pour réaliser un bénéfice, exécutant une sortie éclair coordonnée. C'est un exemple classique de l'utilisation de portefeuilles de pré-financement pour cibler les jetons agricoles, directement capturé par notre méthode de chaîne de financement. Bien que la technique soit simple, elle se déroule à grande échelle au cours de milliers d'émissions.
Étude de cas 2 : financement multi-saut
Un portefeuille est lié à plusieurs attaques de jetons. Cette entité n'a pas directement financé le portefeuille d'attaque, mais a transféré des SOL via 5 à 7 portefeuilles intermédiaires jusqu'au portefeuille d'attaque final, permettant ainsi d'effectuer l'attaque dans le même bloc.
Nos méthodes actuelles ne détectent que certains transferts préliminaires du déployeur, sans réussir à capturer l'ensemble de la chaîne jusqu'au portefeuille cible final. Ces portefeuilles relais sont souvent "à usage unique", utilisés uniquement pour transmettre des SOL, ce qui rend difficile leur association par de simples requêtes. Cette lacune n'est pas un défaut de conception, mais résulte d'un compromis sur les ressources de calcul - bien qu'il soit possible de suivre des chemins de fonds à plusieurs sauts dans de grandes quantités de données, cela engendre des coûts énormes. Par conséquent, la mise en œuvre actuelle privilégie les liens directs à haute confiance pour maintenir la clarté et la reproductibilité.
Nous avons utilisé des outils de visualisation pour montrer cette chaîne de financement plus longue, illustrant comment les fonds passent du portefeuille initial à travers le portefeuille shell jusqu'au portefeuille du déployeur final. Cela met en évidence la complexité du flou des sources de financement et indique également la direction pour améliorer les méthodes de détection à l'avenir.
Découverte
En se concentrant sur le sous-ensemble "sniping en chaîne + chaîne de financement directe", nous révélons un comportement de collaboration en chaîne largement structuré et hautement rentable. Toutes les données suivantes couvrent la période du 15 mars à aujourd'hui :
a. Au cours du mois dernier, plus de 15 000 jetons ont été directement ciblés par des portefeuilles d'investissement dès leur mise en ligne dans la blockchain; b. Implique plus de 4 600 portefeuilles de sniper et plus de 10 400 déployeurs; c. Représente environ 1,75 % de l'émission de pump.fun.
a. Les portefeuilles de ciblage direct ont réalisé un bénéfice net > 15 000 SOL; b. Taux de réussite de tir 87%, très peu de transactions échouées; c. Rendement typique d'un seul portefeuille 1-100 SOL, quelques-uns dépassant 500 SOL.
a. De nombreux déployeurs utilisent de nouveaux portefeuilles pour créer en masse des dizaines à des centaines de jetons; b. Certains portefeuilles de sniper effectuent des centaines de snipes en une journée; c. Observation de la structure "centre-rayonnement" : un portefeuille finance plusieurs portefeuilles de sniper, tous visant le même jeton.
a. Les pics d'activité se situent entre UTC 14:00-23:00; presque à l'arrêt entre UTC 00:00-08:00; b. En accord avec les heures de travail aux États-Unis, cela signifie que le déclenchement est manuel/cron, et non automatique 24 heures sur 24 dans le monde.
a. Le déployeur injecte des fonds dans plusieurs portefeuilles en même temps et signe la frappe dans la même transaction; b. Ces portefeuilles brûlés ne signeront plus aucune transaction; c. Le déployeur divise l'achat initial en 2 à 4 portefeuilles pour masquer la demande réelle.
Comportement de sortie
Pour mieux comprendre comment ces portefeuilles sortent, nous décomposons les données selon deux grandes dimensions comportementales :
conclusion des données
a. 55% des cibles ont été vendues en 1 minute. b. 85% déchargé en 5 minutes; c. 11% terminé en 15 secondes.
a. Plus de 90 % des portefeuilles de sniper ne sortent qu'avec 1 à 2 ventes. b. Très peu de ventes progressives.
a. Le portefeuille qui rapporte le plus est celui qui sort en moins d'1 minute, puis celui qui sort en moins de 5 minutes; b. Bien que la détention plus longue ou les ventes multiples aient un bénéfice moyen par transaction légèrement plus élevé, le nombre est très limité, et la contribution au bénéfice total est faible.
explication
Ces modèles indiquent que le tir de sniper financé par le déployeur n'est pas une activité de trading, mais plutôt une stratégie d'extraction automatisée et à faible risque :
Conclusion
Ce rapport révèle une stratégie d'extraction continue, structurée et hautement rentable pour l'émission de jetons Solana : le ciblage dans le même bloc financé par des déployeurs. En suivant les transferts directs de SOL des déployeurs vers les portefeuilles de ciblage, nous avons identifié un comportement semblable à celui des initiés, exploitant l'architecture à haut débit de Solana pour une extraction collaborative.
Bien que cette méthode n'ait capturé qu'une partie de la chasse aux blocs dans la même zone, son échelle et son modèle indiquent : ce n'est pas une spéculation éparse, mais des opérateurs ayant une position privilégiée, un système répétable et une intention claire. L'importance de cette stratégie réside dans :