Análise de comportamentos de arbitragem de ataque interno na emissão de tokens Solana

Resumo

Este relatório investiga um padrão comum de cultivo de meme Token na Solana: os implementadores de Token transferem SOL para carteiras de ataque, permitindo que essas carteiras comprem no mesmo bloco em que o Token é lançado. Ao analisar o fluxo de capital entre os implementadores e os atacantes, identificamos um conjunto de comportamentos de extração altamente confiáveis.

Análise mostra que essa estratégia é um fenômeno sistemático - apenas no último mês, mais de 15.000 SOL em lucros realizados foram extraídos de mais de 15.000 emissões de tokens dessa forma, envolvendo mais de 4.600 carteiras de sniper e mais de 10.400 implantadores. Essas carteiras demonstraram uma taxa de sucesso anormalmente alta, modos de saída rápida e um padrão operacional estruturado.

Principais descobertas:

• O financiamento de snipers por parte dos implementadores é sistemático, lucrativo e geralmente automatizado, com atividades mais concentradas durante o horário de trabalho nos EUA.
• A estrutura de agricultura com múltiplas carteiras é muito comum, frequentemente utilizando carteiras temporárias e saindo em conjunto para simular a demanda real.
• Os métodos de confusão continuam a evoluir, como cadeias de fundos de múltiplos saltos e transações de múltiplas assinaturas, para evitar detecção.
• Este relatório apresenta um conjunto de métodos operacionais para ajudar a identificar, marcar e responder a tais atividades.

Apesar de a análise cobrir apenas um subconjunto do comportamento de sniper de bloco na mesma rede, sua escala, estrutura e rentabilidade indicam que a emissão de tokens Solana está sendo ativamente manipulada por redes colaborativas, e as medidas de defesa existentes são claramente insuficientes.

Metodologia

Esta análise tem como objetivo identificar comportamentos que indicam a manipulação de tokens meme em Solana, especialmente a situação em que o implementador fornece fundos para carteiras alvo na mesma block em que o token é lançado. Os principais passos incluem:

1. Filtrar snipers do mesmo bloco
2. Identificar a carteira associada ao implementador
3. Associar a emboscada com o lucro dos Tokens
4. Medir a escala e o comportamento da carteira
5. Análise de vestígios de atividades da máquina
6. Análise do comportamento de saída

Focar na ameaça mais evidente

Primeiro, medimos a escala de sniper de bloco na emissão de pump.fun, e os resultados mostraram que mais de 50% dos Tokens foram sniped assim que o bloco foi criado. Para reduzir alarmes falsos e destacar o verdadeiro comportamento colaborativo, apenas contabilizamos snipes em que existia uma transferência direta de SOL entre o implementador antes do lançamento e a carteira sniper nos indicadores finais.

Descobrir

Focando no subgrupo "sniping na mesma rede + cadeia de financiamento direta", revelamos um comportamento colaborativo em cadeia que é amplo, estruturado e altamente lucrativo. As principais descobertas incluem:

1. O sniping financiado por desenvolvedores na mesma blockchain é bastante comum e sistemático.

2. Este comportamento resulta em lucros em grande escala

3. A implementação repetida e o direcionamento de sniping para a rede de agricultores existem

4. O sniping apresenta um padrão temporal centrado no ser humano

5. Carteira única e transações multi-assinatura são usadas para confundir a propriedade

Comportamento de saída

Analisámos o comportamento de saída destas carteiras, a conclusão principal é:

• 55% dos snipers foram vendidos em 1 minuto.
• Mais de 90% das carteiras de sniper saem apenas com 1-2 ordens de venda.
• Quanto mais rápida for a saída, maior será o lucro médio.

Estes padrões indicam que o sniping financiado pelo implementador é uma estratégia de extração automatizada e de baixo risco.

Conclusão

Este relatório revela uma estratégia de extração contínua, estruturada e de alto lucro na emissão de tokens Solana. Embora o nosso método capture apenas uma parte da arbitragem de bloco, a sua escala e padrão indicam que se trata de um comportamento sistemático, e não de especulação esporádica.

Para mitigar este problema, são necessárias melhores ferramentas de detecção, alertas em tempo real, proteções a nível de protocolo e um esforço contínuo para monitorar comportamentos colaborativos. Este relatório fornece um filtro confiável para identificar os comportamentos colaborativos mais evidentes, mas o verdadeiro desafio reside na detecção de estratégias altamente confusas e em constante evolução, além de criar uma cultura em cadeia que premie a transparência em vez de extrair.