Análisis del comportamiento de arbitraje interno en la emisión de token de Solana

Resumen

Este informe investiga un modelo de cultivo de memes de token altamente colaborativo y común en Solana: los emisores de token transfieren SOL a "carteras de francotirador", permitiendo a estas carteras comprar el token en el mismo bloque en que se lanza. Al centrarnos en la cadena de fondos clara y verificable entre los emisores y los francotiradores, hemos identificado un conjunto de comportamientos de extracción de alta confiabilidad.

El análisis muestra que esta estrategia no es un fenómeno accidental ni un comportamiento marginal. Solo en el último mes, se han extraído más de 15,000 SOL en beneficios realizados a través de más de 15,000 emisiones de token, involucrando a más de 4,600 billeteras de sniping y más de 10,400 implementadores. Estas billeteras muestran una tasa de éxito anormalmente alta de (87% en el arbitraje de sniping ), una forma de salida limpia y ordenada, así como un patrón de operación estructurado.

Descubrimiento clave:

• Los ataques de sniping financiados por el desplegador son sistemáticos, rentables y generalmente automatizados, y las actividades de sniping están más concentradas durante el horario laboral en Estados Unidos.
• La estructura de múltiples carteras para la agricultura es muy común, a menudo se utilizan carteras temporales y colaborativas para simular la demanda real.
• Los métodos de confusión están en constante evolución, como las cadenas de fondos de múltiples saltos y las transacciones de firma múltiple, para evadir la detección.
• A pesar de sus limitaciones, un filtro de capital aún puede capturar los casos de comportamiento de "insider" más claros y repetibles a gran escala.
• Este informe presenta un conjunto de métodos heurísticos operativos que ayudan a los equipos de protocolo y front-end a identificar, marcar y responder en tiempo real a este tipo de actividades.

A pesar de que el análisis solo cubrió un subconjunto de comportamientos de ataque de bloques, su escala, estructura y rentabilidad indican que la emisión de Token de Solana está siendo manipulada activamente por redes colaborativas, y las medidas de defensa existentes son claramente insuficientes.

Metodología

Este análisis tiene como objetivo identificar el comportamiento de la agricultura de tokens meme colaborativos en Solana, especialmente en el caso de que los desplegadores proporcionen fondos a carteras de golpe en el mismo bloque que la emisión del token. Dividimos el problema en las siguientes etapas:

1. Filtrar el mismo bloque para la trampa
2. Identificar y desplegar la billetera asociada al desplegador
3. Asociar el francotirador con las ganancias del token
4. Medir la escala y el comportamiento de la billetera
5. Huellas de actividad de la máquina
6. Análisis del comportamiento de salida

Enfocarse en la amenaza más clara

Primero medimos la escala de la emisión de pump.fun en el mismo bloque, y los resultados muestran que más del 50% de los tokens fueron atacados al crear el bloque, el ataque en el mismo bloque ha pasado de ser un caso marginal a convertirse en el modo de emisión dominante.

Para reducir las falsas alarmas y resaltar el verdadero comportamiento colaborativo, hemos incorporado un estricto filtrado en el indicador final: solo contabilizamos los ataques en los que existe una transferencia directa de SOL entre el desplegador y la billetera de ataque antes de que se active. Esto nos permite identificar con confianza: las billeteras controladas directamente por el desplegador, las billeteras que actúan bajo la dirección del desplegador y las billeteras que tienen canales internos.

Estudio de caso 1: financiamiento directo

La billetera del desplegador envía un total de 1.2 SOL a 3 billeteras diferentes, y luego despliega un token llamado SOL > BNB. Las 3 billeteras financiadas completan la compra en el mismo bloque en el que se crea el token, antes de que sea visible en el mercado más amplio. Luego, venden rápidamente para obtener ganancias, ejecutando una salida relámpago coordinada. Este es un ejemplo de libro de texto de cómo las billeteras de ataque prefinanciadas arrasan con los tokens agrícolas, capturado directamente por nuestro enfoque de cadena de financiamiento. A pesar de que la técnica es simple, se representa a gran escala en miles de emisiones.

Estudio de caso 2: financiamiento de múltiples saltos

Una billetera está relacionada con múltiples ataques de tokens. Esta entidad no financió directamente la billetera de ataque, sino que envió SOL a través de 5-7 billeteras intermedias hasta llegar a la billetera de ataque final, completando así el ataque en el mismo bloque.

Nuestro enfoque actual solo detecta algunas transferencias iniciales del desplegador, pero no logra capturar toda la cadena hacia la billetera objetivo final. Estas billeteras de retransmisión suelen ser "de un solo uso", utilizadas únicamente para transmitir SOL, lo que dificulta la asociación a través de una consulta simple. Esta brecha no es un defecto de diseño, sino una compensación por recursos de cálculo.

Descubrir

Enfocados en el subconjunto "sniping en el mismo bloque + cadena de financiamiento directa", hemos revelado un comportamiento colaborativo en cadena que es amplio, estructurado y altamente rentable. Todos los datos a continuación cubren desde el 15 de marzo hasta la fecha:

1. Es muy común y sistemático el sniper financiado por el mismo bloque y el implementador.

   • En el último mes se confirmaron más de 15,000 tokens que fueron directamente atacados por carteras de capital en el bloque de lanzamiento.
   • Involucra más de 4,600 carteras de francotiradores y más de 10,400 desplegadores
   • Ocupa una emisión de aproximadamente 1.75% de pump.fun

2. Esta conducta genera ganancias a gran escala

   • La billetera de ataque directo ha logrado un beneficio neto >15,000 SOL
   • Tasa de éxito de emboscadas del 87%, muy pocas transacciones fallidas
   • Rendimiento típico de una sola billetera 1-100 SOL, pocos superan 500 SOL

3. Despliegue repetido y apuntar para atacar la red de agricultores.
   • Muchos desplegadores utilizan nuevas billeteras para crear en masa decenas a cientos de Token
   • Algunas carteras de sniper ejecutan cientos de ataques en un día.
   • Observado la estructura "centro-radiación": una billetera financia múltiples billeteras de caza, todas cazando el mismo token

4. La presentación del francotirador muestra un patrón temporal centrado en el ser humano
   • El pico de actividad está entre UTC 14:00-23:00; casi sin actividad entre UTC 00:00-08:00
   • Coincide con el horario laboral de EE. UU., lo que indica que es un disparo manual/cron programado, y no un automático 24 horas a nivel mundial.

5. La confusión de la propiedad entre billeteras de un solo uso y transacciones multifirma
   • El desplegador inyecta fondos en varias billeteras al mismo tiempo y firma el golpe en la misma transacción.
   • Estas billeteras quemadas no firmarán más transacciones
   • El desplegador divide la compra inicial en 2-4 billeteras, simulando una demanda real.

Comportamiento de salida

Para entender mejor cómo estos monederos se retiran, desglosamos los datos en dos grandes dimensiones de comportamiento:

1. Velocidad de salida ( Tiempo de salida ) - Desde la primera compra hasta la venta final.
2. Cantidad de ventas ( Swap Count ) - Cantidad de transacciones de venta independientes utilizadas para salir

Conclusión de datos:

1. Velocidad de salida
   • El 55% de los snipes se vendieron todos en 1 minuto
   • 85% en 5 minutos liquidado
   • 11% completado en 15 segundos

2. Número de ventas
   • Más del 90% de las carteras de francotiradores solo utilizan 1-2 órdenes de venta para salir.
   • Rara vez se utiliza la venta gradual

3. Tendencia de ganancias
   • Lo más rentable es el monedero de salida en menos de 1 minuto, seguido de menos de 5 minutos.
   • Aunque mantener durante más tiempo o vender múltiples veces puede resultar en un ligero aumento en las ganancias promedio por transacción, la cantidad es extremadamente baja y la contribución al beneficio total es limitada.

Estos patrones indican que el ataque financiado por el desplegador no es una actividad de negociación, sino una estrategia de extracción automatizada y de bajo riesgo: compra anticipada → venta rápida → salida completa. Una sola venta representa una total indiferencia por las fluctuaciones de precios, aprovechando únicamente la oportunidad para hacer un dump. Algunas estrategias de salida más complejas son solo excepciones, no son el modo principal.

Conclusión

Este informe revela una estrategia de extracción de emisión de token de Solana continua, estructurada y altamente rentable: el ataque de caza en el mismo bloque financiado por el desplegador. Al rastrear las transferencias directas de SOL del desplegador a la billetera de caza, hemos identificado un conjunto de comportamientos al estilo de los insiders, aprovechando la arquitectura de alta capacidad de Solana para realizar extracciones en colaboración.

Aunque este método solo captura una parte de la trampa de sniper en el mismo bloque, su escala y patrón indican que: no es una especulación aislada, sino que es un operador con una posición privilegiada, un sistema repetible y una intención clara. La importancia de esta estrategia se refleja en:

1. Distorsionar las señales del mercado temprano, haciendo que el token parezca más atractivo o competitivo
2. Pone en peligro a los minoristas - se convierten en liquidez de salida sin saberlo.
3. Debilitar la confianza en la emisión de token abierta, especialmente en las plataformas que buscan velocidad y facilidad de uso.

Para aliviar este problema, no solo se necesita defensa pasiva, sino también mejores heurísticas, advertencias en el frontend, barreras a nivel de protocolo y esfuerzos continuos para mapear y monitorear comportamientos colaborativos. Las herramientas de detección ya existen; el problema radica en si el ecosistema está dispuesto a aplicarlas realmente.

Este informe ha dado el primer paso: proporciona un filtro confiable y reproducible para identificar los comportamientos colaborativos más evidentes. Pero esto es solo el comienzo. El verdadero desafío radica en detectar estrategias altamente confusas y en constante evolución, y en crear una cultura en la cadena que recompense la transparencia en lugar de la extracción.