Insider da emissão de tokens na Solana: Revelando a armadilha de arbitragem
Este relatório investiga em profundidade um padrão de cultivo de tokens amplamente utilizado e altamente colaborativo na Solana: os emissores de tokens transferem SOL para "carteiras de sniper", permitindo que essas carteiras comprem o token no mesmo bloco em que o token é lançado. Ao focar na cadeia de financiamento clara entre o emissor e o sniper, identificamos um conjunto de comportamentos de extração de alta credibilidade.
A análise mostra que essa estratégia não é um fenômeno acidental, nem um comportamento marginal. Apenas no último mês, mais de 15.000 SOL de lucro realizado foram extraídos de mais de 15.000 emissões de tokens dessa forma, envolvendo mais de 4.600 carteiras de sniping e mais de 10.400 implementadores. Essas carteiras exibiram uma taxa de sucesso anormalmente alta de (87% em lucros de sniping), uma forma de saída limpa e uma operação estruturada.
Principais descobertas:
Os ataques de sniper financiados pelos implementadores são sistemáticos, lucrativos e geralmente automatizados, com atividades de sniper mais concentradas durante o horário de trabalho nos Estados Unidos.
A estrutura de agricultura com múltiplas carteiras é bastante comum, frequentemente utilizando carteiras temporárias e saídas colaborativas para simular a demanda real.
Os métodos de confusão estão em constante evolução, como cadeias de fundos de múltiplos saltos e transações de assinatura múltipla, para evitar detecções.
Embora tenha limitações, o nosso filtro de capital de salto ainda consegue capturar os casos de comportamento "insider" em grande escala mais claros e repetíveis.
Este relatório propõe um conjunto de métodos heurísticos operacionais, ajudando as equipas de protocolo e front-end a identificar, marcar e responder em tempo real a tais atividades - incluindo o rastreamento da concentração de posições iniciais, rotular carteiras associadas aos implementadores e emitir alertas front-end aos utilizadores em emissões de alto risco.
Apesar de a nossa análise cobrir apenas um subconjunto do comportamento de sniping de bloco, a sua escala, estrutura e rentabilidade indicam que a emissão de tokens Solana está a ser ativamente manipulada por redes colaborativas, enquanto as atuais medidas de defesa são claramente insuficientes.
Metodologia
Esta análise tem como ponto de partida um objetivo claro: identificar comportamentos de manipulação de tokens colaborativos na Solana, especialmente em casos em que o implementador fornece fundos para carteiras de ataque na mesma block em que o token é lançado. Dividimos a questão nas seguintes fases:
Filtrar snipers na mesma zona
Primeiro, filtramos as carteiras que foram atacadas no mesmo bloco após a implementação. Isso se deve ao fato de que a Solana não possui um mempool global; é necessário saber o endereço antes que o token apareça na interface pública; e o tempo entre a implementação e a primeira interação com a DEX é extremamente curto. Esse comportamento é quase impossível de ocorrer naturalmente, portanto, "ataque no mesmo bloco" torna-se um filtro de alta confiança para identificar possíveis conluios ou atividades privilegiadas.
Identificar a carteira associada ao emissor
Para distinguir entre atiradores de elite tecnicamente habilidosos e "insiders" colaborativos, rastreamos as transferências de SOL entre os implementadores e os atiradores antes do lançamento dos tokens, marcando apenas as carteiras que atendem às seguintes condições: recebendo SOL diretamente dos implementadores; enviando SOL diretamente para os implementadores. Apenas as carteiras com transferências diretas antes do lançamento foram incluídas no conjunto de dados final.
Associar a sniping com lucros de tokens
Para cada carteira de sniper, mapeamos sua atividade de negociação nos tokens alvo, calculando especificamente: o total de SOL gasto na compra desse token; o total de SOL obtido na venda na DEX; o lucro líquido realizado ( e não o lucro nominal ). Isso permite atribuir com precisão o lucro retirado de cada sniper ao seu implante.
Medir a escala e o comportamento da carteira
Analisamos a escala dessas atividades a partir de várias dimensões: número de implantadores independentes e carteiras de arbitragem; número de vezes que houve sinergia na arbitragem no mesmo bloco; distribuição dos lucros de arbitragem; quantidade de tokens emitidos por cada implantador; situação de reutilização de carteiras de arbitragem entre diferentes tokens.
Vestígios de atividade da máquina
Para entender como essas operações são realizadas, agrupamos as atividades de sniper por hora UTC. Os resultados mostram: as atividades se concentram em janelas de tempo específicas; diminuem significativamente durante a madrugada UTC; isso indica que, em vez de uma automação global e contínua, é mais uma tarefa cron alinhada com os Estados Unidos ou uma janela de execução manual.
Análise do comportamento de saída
Por fim, estudamos o comportamento das carteiras associadas aos deployers ao vender tokens que foram alvo de ataques: medindo o tempo entre a primeira compra e a venda final (, a duração da posição ); contabilizando o número de transações de venda independentes utilizadas por cada carteira para sair. Assim, diferenciamos se a carteira opta por uma liquidação rápida ou uma venda gradual, e examinamos a relação entre a velocidade de saída e a rentabilidade.
Focar nas ameaças mais claras
Nós primeiro medimos a escala de ataques de blocos no mesmo bloco emitidos por uma determinada plataforma de negociação, e os resultados foram chocantes: mais de 50% dos tokens foram atacados no momento da criação do bloco - ataques de blocos no mesmo bloco passaram de casos marginais para um modo de emissão dominante.
Na Solana, a participação no mesmo bloco geralmente requer: transações pré-assinadas; coordenação off-chain; ou compartilhamento de infraestrutura entre o implementador e o comprador.
Nem todos os snipers de bloco são igualmente maliciosos, existem pelo menos duas categorias de papéis: "robô de rede de sorte" - testando heurísticas ou especulação de pequeno valor; insiders colaborativos - incluindo implantadores que fornecem fundos para seus próprios compradores.
Para reduzir os falsos positivos e destacar os verdadeiros comportamentos colaborativos, incluímos uma filtragem rigorosa nos indicadores finais: apenas contabilizamos as transfers diretas de SOL entre o implantador antes do lançamento e as carteiras de ataque. Isso nos permite identificar com confiança: carteiras controladas diretamente pelo implantador; carteiras que atuam sob a direção do implantador; carteiras que possuem canais internos.
Estudo de Caso 1: Financiamento Direto
A carteira do desenvolvedor enviou um total de 1,2 SOL para 3 carteiras diferentes, e depois emitiu um token chamado SOL > BNB. As 3 carteiras que receberam os fundos completaram a compra do token no mesmo bloco em que foi criado, antes de ser visível para o mercado mais amplo. Em seguida, elas venderam rapidamente para lucrar, executando uma saída relâmpago coordenada. Este é um exemplo clássico de um ataque de pré-financiamento, onde uma carteira de sniping aproveita a emissão de tokens, capturado diretamente por nosso método de cadeia de fundos. Apesar da técnica ser simples, ela se repete em larga escala em milhares de emissões.
Estudo de Caso 2: Financiamento Multijump
Uma determinada carteira está relacionada a múltiplos ataques de tokens. Esta entidade não financiou diretamente a carteira de ataque, mas transferiu SOL através de 5 a 7 carteiras intermediárias até a carteira de ataque final, completando assim o ataque no mesmo bloco.
O nosso método existente apenas detecta algumas transferências preliminares do implementador, mas não consegue capturar toda a cadeia de transações até a carteira final de ataque. Estas carteiras de retransmissão são geralmente "de uso único", utilizadas apenas para transferir SOL, tornando difícil a associação através de consultas simples. Esta lacuna não é uma falha de design, mas sim uma consideração de recursos computacionais - embora seja viável rastrear caminhos de fundos de múltiplos saltos em grandes volumes de dados, os custos são enormes. Portanto, a implementação atual prioriza conexões de alta confiança e diretas para manter clareza e reprodutibilidade.
Por que focar em "carteiras que financiam diretamente e atacam na mesma blockchain"
No restante deste artigo, vamos apenas estudar as carteiras de sniper que obtêm diretamente os fundos do deployer antes da listagem e que atacam dentro do mesmo bloco. As razões são as seguintes: elas contribuem com lucros consideráveis; têm o mínimo de métodos de confusão; representam o subconjunto malicioso mais operacional; estudá-las pode fornecer a estrutura heurística mais clara para detectar e mitigar estratégias de extração mais avançadas.
Descobrir
Focando no subconjunto "sniping na mesma blockchain + cadeia de fundos direta", revelamos um comportamento colaborativo on-chain amplo, estruturado e altamente lucrativo. Todos os dados a seguir abrangem de 15 de março até o presente:
É bastante comum e sistemático que os snipers sejam financiados pelo mesmo bloco e pelo implantador.
a. No último mês, confirmaram-se mais de 15.000 tokens que foram diretamente atacados por carteiras de capital no bloco de lançamento;
b. Envolve mais de 4.600 carteiras de snipers e mais de 10.400 implementadores;
c. representa cerca de 1,75% do volume de emissão de uma plataforma de negociação.
Este comportamento gera lucros em grande escala
a. A carteira de sniper de captação direta já realizou um lucro líquido > 15.000 SOL;
b. Taxa de sucesso de sniping 87%, raras transações falhadas;
c. Rendimento típico de uma única carteira 1-100 SOL, poucos acima de 500 SOL.
Repetição de implantação e ataque direcionado na rede de cultivo
a. Muitos implementadores usam novas carteiras para criar em massa dezenas a centenas de Tokens;
b. Algumas carteiras de sniper executam centenas de snipes em um dia;
c. Observou-se a estrutura "centro-radial": uma carteira financia várias carteiras de sniper, todas visando o mesmo Token.
O sniping apresenta um padrão de tempo centrado no ser humano
a. O pico de atividade ocorre entre UTC 14:00-23:00; UTC 00:00-08:00 está quase parado;
b. Compatível com o horário de trabalho dos EUA, indicando que é acionado manualmente / por cron, e não totalmente automático 24 horas por dia.
Confusão de propriedade entre carteira única e transações multi-assinatura
a. O responsável pela implementação injeta capital em várias carteiras simultaneamente e assina a arbitragem na mesma transação;
b. Essas carteiras queimadas não assinarão mais nenhuma transação;
c. O implementador divide a compra inicial em 2-4 carteiras, disfarçando a demanda real.
Comportamento de saída
Para entender melhor como essas carteiras saem, dividimos os dados em duas grandes dimensões de comportamento:
Velocidade de Saída ( Tempo de Saída ) - do primeiro compra à venda final;
Contagem de Vendas ( - número de transações de venda independentes usadas para sair.
) conclusão de dados
Velocidade de saída
a. 55% dos snipers foram vendidos em 1 minuto;
b. 85% em 5 minutos liquidar;
c. 11% concluído em 15 segundos.
Número de vendas
a. Mais de 90% das carteiras de sniper saem com apenas 1-2 ordens de venda;
b. Muito raramente utiliza a venda gradual.
![揭密 Pumpfun emissão de tokens内部狙击套利]###https://img-cdn.gateio.im/webp-social/moments-799a64ea4fc2afa7a59da900c8f828bb.webp(
Tendência de Lucros
a. O mais lucrativo é o carteira de saída em <1 minuto, seguido de <5 minutos;
b. Embora a detenção mais longa ou múltiplas vendas possam resultar em lucros médios ligeiramente mais altos, a quantidade é muito baixa, contribuindo de forma limitada para o lucro total.
) explicação
Estes padrões indicam que o sniping financiado pelo implementador não é uma atividade de negociação, mas sim uma estratégia de extração automatizada e de baixo risco:
Comprar antecipadamente → Vender rapidamente → Sair completamente.
Uma venda única representa a falta de preocupação com a volatilidade dos preços, apenas aproveitando a oportunidade para vender.
Algumas estratégias de saída mais complexas são apenas exceções, modos não convencionais.
![Revelando a armadilha de Arbitragem interna da emissão de tokens Pumpfun]###https://img-cdn.gateio.im/webp-social/moments-bf526906f9719de636146baf835c9dcc.webp(
Conclusão
Este relatório revela uma estratégia de extração de emissão de tokens Solana contínua, estruturada e altamente lucrativa: sniper no mesmo bloco financiado pelo deployer. Ao rastrear as transferências diretas de SOL do deployer para a carteira sniper, identificámos um comportamento estilo insider, aproveitando a arquitetura de alta capacidade do Solana para uma extração colaborativa.
Embora este método apenas capture uma parte da armadilha de sniper de bloco, a sua escala e padrão indicam: isto não é especulação dispersa.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
20 Curtidas
Recompensa
20
4
Repostar
Compartilhar
Comentário
0/400
down_only_larry
· 08-02 13:19
Outra onda de máquinas que fazem as pessoas de parvas
Emissão de tokens Solana: revelando a arbitragem a partir de 15000
Insider da emissão de tokens na Solana: Revelando a armadilha de arbitragem
Este relatório investiga em profundidade um padrão de cultivo de tokens amplamente utilizado e altamente colaborativo na Solana: os emissores de tokens transferem SOL para "carteiras de sniper", permitindo que essas carteiras comprem o token no mesmo bloco em que o token é lançado. Ao focar na cadeia de financiamento clara entre o emissor e o sniper, identificamos um conjunto de comportamentos de extração de alta credibilidade.
A análise mostra que essa estratégia não é um fenômeno acidental, nem um comportamento marginal. Apenas no último mês, mais de 15.000 SOL de lucro realizado foram extraídos de mais de 15.000 emissões de tokens dessa forma, envolvendo mais de 4.600 carteiras de sniping e mais de 10.400 implementadores. Essas carteiras exibiram uma taxa de sucesso anormalmente alta de (87% em lucros de sniping), uma forma de saída limpa e uma operação estruturada.
Principais descobertas:
Apesar de a nossa análise cobrir apenas um subconjunto do comportamento de sniping de bloco, a sua escala, estrutura e rentabilidade indicam que a emissão de tokens Solana está a ser ativamente manipulada por redes colaborativas, enquanto as atuais medidas de defesa são claramente insuficientes.
Metodologia
Esta análise tem como ponto de partida um objetivo claro: identificar comportamentos de manipulação de tokens colaborativos na Solana, especialmente em casos em que o implementador fornece fundos para carteiras de ataque na mesma block em que o token é lançado. Dividimos a questão nas seguintes fases:
Primeiro, filtramos as carteiras que foram atacadas no mesmo bloco após a implementação. Isso se deve ao fato de que a Solana não possui um mempool global; é necessário saber o endereço antes que o token apareça na interface pública; e o tempo entre a implementação e a primeira interação com a DEX é extremamente curto. Esse comportamento é quase impossível de ocorrer naturalmente, portanto, "ataque no mesmo bloco" torna-se um filtro de alta confiança para identificar possíveis conluios ou atividades privilegiadas.
Para distinguir entre atiradores de elite tecnicamente habilidosos e "insiders" colaborativos, rastreamos as transferências de SOL entre os implementadores e os atiradores antes do lançamento dos tokens, marcando apenas as carteiras que atendem às seguintes condições: recebendo SOL diretamente dos implementadores; enviando SOL diretamente para os implementadores. Apenas as carteiras com transferências diretas antes do lançamento foram incluídas no conjunto de dados final.
Para cada carteira de sniper, mapeamos sua atividade de negociação nos tokens alvo, calculando especificamente: o total de SOL gasto na compra desse token; o total de SOL obtido na venda na DEX; o lucro líquido realizado ( e não o lucro nominal ). Isso permite atribuir com precisão o lucro retirado de cada sniper ao seu implante.
Analisamos a escala dessas atividades a partir de várias dimensões: número de implantadores independentes e carteiras de arbitragem; número de vezes que houve sinergia na arbitragem no mesmo bloco; distribuição dos lucros de arbitragem; quantidade de tokens emitidos por cada implantador; situação de reutilização de carteiras de arbitragem entre diferentes tokens.
Para entender como essas operações são realizadas, agrupamos as atividades de sniper por hora UTC. Os resultados mostram: as atividades se concentram em janelas de tempo específicas; diminuem significativamente durante a madrugada UTC; isso indica que, em vez de uma automação global e contínua, é mais uma tarefa cron alinhada com os Estados Unidos ou uma janela de execução manual.
Por fim, estudamos o comportamento das carteiras associadas aos deployers ao vender tokens que foram alvo de ataques: medindo o tempo entre a primeira compra e a venda final (, a duração da posição ); contabilizando o número de transações de venda independentes utilizadas por cada carteira para sair. Assim, diferenciamos se a carteira opta por uma liquidação rápida ou uma venda gradual, e examinamos a relação entre a velocidade de saída e a rentabilidade.
Focar nas ameaças mais claras
Nós primeiro medimos a escala de ataques de blocos no mesmo bloco emitidos por uma determinada plataforma de negociação, e os resultados foram chocantes: mais de 50% dos tokens foram atacados no momento da criação do bloco - ataques de blocos no mesmo bloco passaram de casos marginais para um modo de emissão dominante.
Na Solana, a participação no mesmo bloco geralmente requer: transações pré-assinadas; coordenação off-chain; ou compartilhamento de infraestrutura entre o implementador e o comprador.
Nem todos os snipers de bloco são igualmente maliciosos, existem pelo menos duas categorias de papéis: "robô de rede de sorte" - testando heurísticas ou especulação de pequeno valor; insiders colaborativos - incluindo implantadores que fornecem fundos para seus próprios compradores.
Para reduzir os falsos positivos e destacar os verdadeiros comportamentos colaborativos, incluímos uma filtragem rigorosa nos indicadores finais: apenas contabilizamos as transfers diretas de SOL entre o implantador antes do lançamento e as carteiras de ataque. Isso nos permite identificar com confiança: carteiras controladas diretamente pelo implantador; carteiras que atuam sob a direção do implantador; carteiras que possuem canais internos.
Estudo de Caso 1: Financiamento Direto
A carteira do desenvolvedor enviou um total de 1,2 SOL para 3 carteiras diferentes, e depois emitiu um token chamado SOL > BNB. As 3 carteiras que receberam os fundos completaram a compra do token no mesmo bloco em que foi criado, antes de ser visível para o mercado mais amplo. Em seguida, elas venderam rapidamente para lucrar, executando uma saída relâmpago coordenada. Este é um exemplo clássico de um ataque de pré-financiamento, onde uma carteira de sniping aproveita a emissão de tokens, capturado diretamente por nosso método de cadeia de fundos. Apesar da técnica ser simples, ela se repete em larga escala em milhares de emissões.
Estudo de Caso 2: Financiamento Multijump
Uma determinada carteira está relacionada a múltiplos ataques de tokens. Esta entidade não financiou diretamente a carteira de ataque, mas transferiu SOL através de 5 a 7 carteiras intermediárias até a carteira de ataque final, completando assim o ataque no mesmo bloco.
O nosso método existente apenas detecta algumas transferências preliminares do implementador, mas não consegue capturar toda a cadeia de transações até a carteira final de ataque. Estas carteiras de retransmissão são geralmente "de uso único", utilizadas apenas para transferir SOL, tornando difícil a associação através de consultas simples. Esta lacuna não é uma falha de design, mas sim uma consideração de recursos computacionais - embora seja viável rastrear caminhos de fundos de múltiplos saltos em grandes volumes de dados, os custos são enormes. Portanto, a implementação atual prioriza conexões de alta confiança e diretas para manter clareza e reprodutibilidade.
Por que focar em "carteiras que financiam diretamente e atacam na mesma blockchain"
No restante deste artigo, vamos apenas estudar as carteiras de sniper que obtêm diretamente os fundos do deployer antes da listagem e que atacam dentro do mesmo bloco. As razões são as seguintes: elas contribuem com lucros consideráveis; têm o mínimo de métodos de confusão; representam o subconjunto malicioso mais operacional; estudá-las pode fornecer a estrutura heurística mais clara para detectar e mitigar estratégias de extração mais avançadas.
Descobrir
Focando no subconjunto "sniping na mesma blockchain + cadeia de fundos direta", revelamos um comportamento colaborativo on-chain amplo, estruturado e altamente lucrativo. Todos os dados a seguir abrangem de 15 de março até o presente:
a. No último mês, confirmaram-se mais de 15.000 tokens que foram diretamente atacados por carteiras de capital no bloco de lançamento; b. Envolve mais de 4.600 carteiras de snipers e mais de 10.400 implementadores; c. representa cerca de 1,75% do volume de emissão de uma plataforma de negociação.
a. A carteira de sniper de captação direta já realizou um lucro líquido > 15.000 SOL; b. Taxa de sucesso de sniping 87%, raras transações falhadas; c. Rendimento típico de uma única carteira 1-100 SOL, poucos acima de 500 SOL.
a. Muitos implementadores usam novas carteiras para criar em massa dezenas a centenas de Tokens; b. Algumas carteiras de sniper executam centenas de snipes em um dia; c. Observou-se a estrutura "centro-radial": uma carteira financia várias carteiras de sniper, todas visando o mesmo Token.
a. O pico de atividade ocorre entre UTC 14:00-23:00; UTC 00:00-08:00 está quase parado; b. Compatível com o horário de trabalho dos EUA, indicando que é acionado manualmente / por cron, e não totalmente automático 24 horas por dia.
a. O responsável pela implementação injeta capital em várias carteiras simultaneamente e assina a arbitragem na mesma transação; b. Essas carteiras queimadas não assinarão mais nenhuma transação; c. O implementador divide a compra inicial em 2-4 carteiras, disfarçando a demanda real.
Comportamento de saída
Para entender melhor como essas carteiras saem, dividimos os dados em duas grandes dimensões de comportamento:
) conclusão de dados
a. 55% dos snipers foram vendidos em 1 minuto; b. 85% em 5 minutos liquidar; c. 11% concluído em 15 segundos.
a. Mais de 90% das carteiras de sniper saem com apenas 1-2 ordens de venda; b. Muito raramente utiliza a venda gradual.
![揭密 Pumpfun emissão de tokens内部狙击套利]###https://img-cdn.gateio.im/webp-social/moments-799a64ea4fc2afa7a59da900c8f828bb.webp(
a. O mais lucrativo é o carteira de saída em <1 minuto, seguido de <5 minutos; b. Embora a detenção mais longa ou múltiplas vendas possam resultar em lucros médios ligeiramente mais altos, a quantidade é muito baixa, contribuindo de forma limitada para o lucro total.
) explicação
Estes padrões indicam que o sniping financiado pelo implementador não é uma atividade de negociação, mas sim uma estratégia de extração automatizada e de baixo risco:
![Revelando a armadilha de Arbitragem interna da emissão de tokens Pumpfun]###https://img-cdn.gateio.im/webp-social/moments-bf526906f9719de636146baf835c9dcc.webp(
Conclusão
Este relatório revela uma estratégia de extração de emissão de tokens Solana contínua, estruturada e altamente lucrativa: sniper no mesmo bloco financiado pelo deployer. Ao rastrear as transferências diretas de SOL do deployer para a carteira sniper, identificámos um comportamento estilo insider, aproveitando a arquitetura de alta capacidade do Solana para uma extração colaborativa.
Embora este método apenas capture uma parte da armadilha de sniper de bloco, a sua escala e padrão indicam: isto não é especulação dispersa.