Análise do comportamento de arbitragem interna na emissão de tokens Solana

Resumo

Este relatório investiga um modelo de agricultura de meme altamente colaborativo e comum em Solana: os emissores de tokens transferem SOL para "carteiras de sniper", permitindo que essas carteiras comprem o token na mesma bloco em que ele é lançado. Ao focar na cadeia de fundos clara e verificável entre o emissor e os snipers, identificamos um conjunto de comportamentos de extração de alta confiança.

A análise mostra que essa estratégia não é um fenômeno acidental nem um comportamento marginal. Apenas no último mês, foram extraídos mais de 15,000 SOL de lucros realizados através dessa abordagem, envolvendo mais de 4,600 carteiras de sniper e mais de 10,400 implantadores. Essas carteiras demonstraram uma taxa de sucesso anormalmente alta de (87% em lucros de sniper), uma forma de saída limpa e ágil, além de um padrão de operação estruturado.

Descobertas chave:

• O financiamento por parte dos implementadores de snipers é sistemático, rentável e geralmente automatizado, com atividades de sniper mais concentradas durante o horário de trabalho nos Estados Unidos.
• A estrutura de múltiplas carteiras é muito comum, frequentemente utilizando carteiras temporárias e saindo em conjunto para simular a demanda real.
• Os métodos de ofuscação estão em constante evolução, como cadeias de fundos de múltiplos saltos e transações de ataque com múltiplas assinaturas, para evitar detecção.
• Embora tenha limitações, um filtro de capital de salto ainda pode capturar os casos de comportamento "interno" em grande escala mais claros e repetíveis.
• Este relatório apresenta um conjunto de métodos heurísticos operacionais, ajudando as equipas de protocolo e front-end a identificar, marcar e responder em tempo real a este tipo de atividades.

Apesar de a análise cobrir apenas um subconjunto do comportamento de sniping de bloco, a sua escala, estrutura e rentabilidade indicam que a emissão de tokens Solana está a ser ativamente manipulada por redes colaborativas, enquanto as medidas de defesa existentes são claramente insuficientes.

Metodologia

Esta análise tem como objetivo identificar comportamentos de colaboração de memecoins na Solana, especialmente os casos em que os desenvolvedores fornecem fundos para carteiras de sniper no momento em que o token é lançado no mesmo bloco. Dividimos a questão nas seguintes fases:

1. Filtrar snipers na mesma blockchain
2. Identificar as carteiras associadas ao implementador
3. Associar a sniping com os lucros dos Tokens
4. Medir o tamanho e o comportamento da carteira
5. Rastro de atividade da máquina
6. Análise do Comportamento de Saída

Focar nas ameaças mais claras

Primeiro, medimos a escala de sniping no mesmo bloco da emissão de pump.fun, e os resultados mostram que mais de 50% dos tokens foram sniped na criação do bloco, e o sniping no mesmo bloco passou de um caso marginal para um modo de emissão dominante.

Para reduzir falsos positivos e destacar comportamentos de colaboração reais, adicionamos um filtro rigoroso ao indicador final: apenas contabilizamos transações diretas de SOL entre o implementador antes do lançamento e as carteiras de ataque. Isso nos permite identificar com confiança: carteiras controladas diretamente pelo implementador, carteiras que agem sob a direção do implementador e carteiras que possuem canais internos.

Estudo de Caso 1: Financiamento Direto

A carteira do deployer enviou um total de 1,2 SOL para 3 carteiras diferentes e depois implantou o token chamado SOL > BNB. As 3 carteiras de financiamento completaram a compra no mesmo bloco em que o token foi criado, antes de se tornarem visíveis para o mercado mais amplo. Em seguida, elas venderam rapidamente para obter lucro, executando uma saída relâmpago coordenada. Este é um exemplo clássico de um ataque de sniper de pré-financiamento usando carteiras para cultivar tokens, capturado diretamente pelo nosso método de cadeia de fundos. Embora a técnica seja simples, ela se desenrola em grande escala em milhares de emissões.

Estudo de caso 2: financiamento de múltiplos saltos

Uma carteira está relacionada com múltiplos ataques a tokens. Esta entidade não financiou diretamente a carteira de ataque, mas transferiu SOL através de 5 a 7 carteiras intermediárias até à carteira de ataque final, completando assim o ataque no mesmo bloco.

O nosso método atual apenas detecta algumas transferências iniciais do implantador, mas não consegue capturar toda a cadeia em direção à carteira final de ataque. Essas carteiras de retransmissão são geralmente "usadas uma única vez", apenas para transmitir SOL, tornando difícil associá-las por meio de consultas simples. Essa lacuna não é um defeito de design, mas sim uma questão de compromisso de recursos computacionais.

Descobrir

Focando no subgrupo "sniping na mesma blockchain + cadeia de fundos direta", revelamos um comportamento colaborativo em cadeia amplo, estruturado e altamente lucrativo. Todos os dados a seguir abrangem de 15 de março até agora:

1. O sniping financiado pelo implantador e na mesma blockchain é bastante comum e sistemático.

   • No último mês, foram confirmados mais de 15.000 tokens que foram diretamente atacados por carteiras de captação assim que foram lançados no bloco.
   • Envolve mais de 4.600 carteiras de sniper e mais de 10.400 implementadores
   • A emissão de pump.fun é de aproximadamente 1,75%

2. Esta ação gera lucros em grande escala

   • O Wallet de Sniping Direto já alcançou um lucro líquido >15,000 SOL
   • Taxa de sucesso de sniper de 87%, raras transações falhadas
   • Lucro típico de uma única carteira 1-100 SOL, poucos acima de 500 SOL

3. Repetir a implantação e apontar para a rede de agricultura de sniping
   • Muitos implementadores usam novas carteiras para criar em massa dezenas a centenas de Tokens
   • Algumas carteiras de sniper executam centenas de snipes em um dia
   • Observado a estrutura "centro-radial": uma carteira financia várias carteiras de sniper, todas atacando o mesmo Token.

4. O sniping apresenta um padrão temporal centrado no ser humano
   • O pico de atividade está entre as 14:00 e as 23:00 UTC; entre as 00:00 e as 08:00 UTC quase está parado
   • Coincide com o horário de trabalho dos EUA, indicando que é acionado manualmente/cron, e não totalmente automático 24 horas por dia.

5. Confusão de propriedade entre carteiras únicas e transações multi-assinatura
   • O implantador injeta capital em várias carteiras ao mesmo tempo e assina a arbitragem na mesma transação.
   • Estas carteiras queimarão não assinarão mais nenhuma transação
   • O emissor divide a compra inicial em 2-4 carteiras, disfarçando a demanda real

Comportamento de saída

Para entender melhor como essas carteiras saem, nós dividimos os dados em duas grandes dimensões de comportamento:

1. Velocidade de Saída ( Tempo de Saída ) - Do primeiro compra até a venda final.
2. Contagem de Vendas ( Contagem de Trocas ) - Número de transações de venda independentes usadas para saída

Conclusão dos dados:

1. Velocidade de saída
   • 55% dos snipes foram vendidos em 1 minuto
   • 85% liquidação em 5 minutos
   • 11% concluído em 15 segundos

2. Número de vendas
   • Mais de 90% das carteiras de sniper usam apenas 1-2 ordens de venda para sair
   • muito raramente utiliza a venda gradual

3. Tendência de Lucro
   • O mais lucrativo é<1 minuto de saída da carteira, em segundo lugar<5 minutos
   • Embora a manutenção por mais tempo ou múltiplas vendas possa resultar em lucros médios ligeiramente mais altos, a quantidade é extremamente baixa, contribuindo de forma limitada para o lucro total.

Estes padrões indicam: o sniping financiado pelo implantador não é uma atividade de negociação, mas sim uma estratégia automatizada e de baixo risco: compra antecipada → venda rápida → saída total. Uma única venda representa uma completa indiferença às oscilações de preços, utilizando apenas a oportunidade para dump. Poucas estratégias de saída mais complexas são apenas exceções, não um padrão mainstream.

Conclusão

Este relatório revela uma estratégia de extração de emissão de tokens Solana contínua, estruturada e de alta rentabilidade: sniping financiado pelo deployer na mesma block. Ao rastrear as transferências diretas de SOL do deployer para a carteira de sniping, identificamos um conjunto de comportamentos estilo insider, aproveitando a arquitetura de alta taxa de transferência da Solana para extração colaborativa.

Embora este método capture apenas uma parte dos ataques de sniper em um mesmo bloco, sua escala e padrão indicam que: não se trata de especulação esporádica, mas sim de operadores com posições privilegiadas, sistemas repetíveis e intenções claras. A importância dessa estratégia é refletida em:

1. Torcer os sinais de mercado iniciais, fazendo com que o Token pareça mais atraente ou competitivo
2. Prejudica os pequenos investidores - Eles tornam-se retirados da liquidez sem saber.
3. Enfraquecer a confiança na emissão de tokens aberta, especialmente em plataformas que buscam velocidade e facilidade de uso.

Para aliviar esse problema, não é necessária apenas uma defesa passiva, mas também melhores heurísticas, alertas antecipados, barreiras a nível de protocolo, e esforços contínuos de mapeamento e monitorização de comportamentos colaborativos. Ferramentas de detecção já existem - a questão é se o ecossistema está realmente disposto a aplicá-las.

Este relatório deu o primeiro passo: forneceu um filtro confiável e reproduzível para identificar os comportamentos colaborativos mais evidentes. Mas isso é apenas o começo. O verdadeiro desafio é detectar estratégias altamente confundidas e em constante evolução, e criar uma cultura em cadeia que recompense a transparência em vez da extração.