Solana上的代幣發行內幕:揭祕協同狙擊套利

摘要

本報告調查了Solana上一種普遍且高度協同的meme代幣刷農模式:代幣部署者向"狙擊錢包"轉入SOL,使這些錢包能夠在代幣上線的同一區塊內買入該代幣。通過聚焦部署者與狙擊者之間清晰、可證明的資金鏈,我們鎖定了一組高置信度的抽取式行爲。

分析顯示,這種策略既非偶發現象,也非邊緣行爲。僅在過去一個月內,就通過這種方式從15,000多次代幣發行中提取了超過15,000 SOL的已實現利潤,涉及4,600多個狙擊錢包和10,400多個部署者。這些錢包表現出異常高的成功率(87%的狙擊獲利)、幹淨利落的退出方式以及結構化的操作模式。

關鍵發現:

• 部署者資助的狙擊具備系統性、盈利性且通常自動化,狙擊活動在美國工作時間內最爲集中。
• 多錢包刷農結構十分常見,經常使用臨時錢包與協同退出來模擬真實需求。
• 混淆手段不斷升級,例如多跳資金鏈和多籤名狙擊交易,以逃避檢測。
• 雖有局限,一跳資金過濾器仍能抓取最清晰、可重復的大規模"內部人"行爲案例。
• 本報告提出了一套可操作的啓發式方法,幫助協議團隊和前端實時識別、標記並應對此類活動——包括追蹤早期持倉集中度、給部署者關聯錢包打標籤,並在高風險發行中向用戶發出前端警告。

盡管分析僅覆蓋了同區塊狙擊行爲的一個子集,但其規模、結構和盈利性表明:Solana代幣發行正受到協同網路的積極操控,而現有防御措施遠遠不足。

方法論

本分析以一個明確目標爲起點:識別Solana上表明協同meme代幣刷農的行爲,尤其是部署者在代幣上線同區塊爲狙擊錢包提供資金的情況。我們將問題分爲以下階段:

1. 篩選同區塊狙擊

首先篩選在部署後同一區塊即被狙擊的錢包。由於:Solana沒有全局mempool;要在代幣出現在公共前端之前知曉其地址;以及部署與首次DEX交互之間的時間極短。這種行爲幾乎不可能是自然發生,因此"同區塊狙擊"成爲識別潛在串通或特權活動的高置信度過濾器。

2. 識別與部署者關聯的錢包

爲區分技術高超的狙擊者與協同"內部人",我們追蹤了代幣上線前部署者與狙擊者之間的SOL轉帳,僅標記滿足以下條件的錢包:直接從部署者接收SOL;直接向部署者發送SOL。只有在上線前存在直接轉帳的錢包才被納入最終數據集。

3. 將狙擊與代幣利潤關聯

針對每個狙擊錢包,我們映射其在被狙擊代幣上的交易活動,具體計算:買入該代幣花費的SOL總額;在DEX賣出所得的SOL總額;已實現淨利潤(而非名義收益)。這樣可精確歸因每次狙擊從部署者處抽取的利潤。

4. 衡量規模與錢包行爲

我們從多個維度分析此類活動的規模:獨立部署者與狙擊錢包數量;確認的協同同區塊狙擊次數;狙擊利潤分布;部署者每人發行的代幣數量;狙擊錢包跨代幣復用情況。

5. 機器活動痕跡

爲了解這些操作如何進行,我們按UTC小時對狙擊活動分組。結果顯示:活動集中在特定時間窗口;在UTC深夜時段顯著下降;這表明與其說是全球化、持續的自動化,不如說是與美國對齊的cron任務或人工執行窗口。

6. 退出行爲分析

最後,我們研究部署者關聯錢包在賣出被狙擊代幣時的行爲:測量首筆買入到最終賣出之間的時間(持倉時長);統計每個錢包退出所用的獨立賣出交易數量。由此分辨錢包是選擇快速清倉還是漸進式拋售,並考察退出速度與盈利性的關聯。

聚焦最清晰的威脅

我們首先衡量了某平台發行中同區塊狙擊的規模,結果令人震驚:超過50%的代幣在創建區塊就被狙擊——同區塊狙擊已從邊緣案例變成主導發行模式。

在Solana上,同區塊參與通常需要:預籤交易;鏈下協調;或部署者與買家共用基礎設施。

並非所有同區塊狙擊都同樣惡意,至少存在兩類角色:"撒網試運氣"機器人——測試啓發式或小額投機;協同內部人——包括部署者爲自己的買家提供資金。

爲減少誤報並突出真正的協同行爲,我們在最終指標中加入了嚴格過濾:僅統計上線前部署者與狙擊錢包間存在直接SOL轉帳的狙擊。這使我們能自信地鎖定:由部署者直接控制的錢包;在部署者指揮下行事的錢包;擁有內部渠道的錢包。

案例研究1:直接資助

部署者錢包向3個不同錢包共計發送1.2 SOL,然後部署名爲SOL > BNB的代幣。3個獲資錢包在代幣創建的同一區塊內即完成搶購,搶在更廣泛市場可見之前。隨後,它們快速賣出獲利,執行了協調一致的閃電退出。這是通過預資狙擊錢包刷農代幣的教科書式示例,被我們的資金鏈方法直接捕獲。盡管手法簡單,卻在數千次發行中大規模上演。

案例研究2:多跳資助

某錢包與多次代幣狙擊相關。該實體並未直接爲狙擊錢包注資,而是將SOL通過5-7層中轉錢包再到最終狙擊錢包,從而在同區塊完成狙擊。

我們的現有方法只檢測到部署者的一些初步轉帳,卻未能抓全向最終狙擊錢包的整條鏈。這些中繼錢包通常"一次性使用",僅用於傳遞SOL,使其難以通過簡單查詢關聯。此缺口並非設計缺陷,而是出於計算資源權衡——在大規模數據中追蹤多跳資金路徑雖然可行,但開銷巨大。因此當前實現優先選擇高置信度、直連鏈路以保持清晰與可復現性。

我們借助數據分析工具展示了這條更長的資金鏈,圖形化呈現了資金如何從初始錢包經殼錢包一路流向最終部署者錢包。這突出顯示了資金來源混淆的復雜程度,也爲未來完善檢測方法指明了方向。

爲什麼聚焦"直接資助且同區塊狙擊的錢包"

在本文餘下部分,我們僅研究上線前直接獲得部署者資金、並在同一區塊內狙擊的狙擊錢包。原因如下:它們貢獻了可觀利潤;混淆手段最少;代表最具操作性的惡意子集;研究它們能爲偵測並緩解更高級的抽取策略提供最清晰的啓發式框架。

發現

聚焦於"同區塊狙擊+直接資金鏈"這一子集,我們揭示了一種廣泛、結構化且高度盈利的鏈上協同行爲。以下全部數據涵蓋3月15日至今:

1. 同區塊且部署者資助的狙擊十分常見且系統化

a. 過去一個月確認15,000+個代幣在上線區塊即被直接獲資錢包狙擊;

b. 涉及4,600+個狙擊錢包、10,400+名部署者;

c. 佔某平台發行量約1.75%。

2. 該行爲大規模盈利

a. 直接獲資狙擊錢包已實現淨利潤>15,000 SOL;

b. 狙擊成功率87%,失敗交易極少;

c. 單錢包典型收益1-100 SOL,少數超500 SOL。

3. 重復部署與狙擊指向刷農網路

a. 許多部署者使用新錢包批量創建數十到數百代幣;

b. 某些狙擊錢包在一天內執行數百次狙擊;

c. 觀察到"中心-輻射"結構:一個錢包爲多個狙擊錢包注資,所有狙擊同一代幣。

4. 狙擊呈現以人爲中心的時間模式

a. 活躍高峯在UTC 14:00-23:00;UTC 00:00-08:00幾乎停擺;

b. 與美國工作時間契合,說明爲人工/cron定時觸發,而非全球24小時全自動。

5. 一次性錢包與多籤交易混淆所有權

a. 部署者爲數個錢包同時注資並在同一交易裏籤名狙擊;

b. 這些燒錢包此後不再籤任何交易;

c. 部署者把初始買入拆到2-4個錢包,僞裝真實需求。

退出行爲

爲深入了解這些錢包如何退出,我們按兩大行爲維度拆解數據:

1. 退出速度(Exit Timing)——從首買到最終賣出的時間;

2. 賣出筆數(Swap Count)——退出所用獨立賣出交易數量。

數據結論

1. 退出速度

a. 55%的狙擊在1分鍾內全部賣完;

b. 85%在5分鍾內清倉;

c. 11%在15秒內完成。

2. 賣出筆數

a. 超過90%的狙擊錢包只用1-2筆賣單退出;

b. 極少採用漸進式拋售。

3. 盈利趨勢

a. 最賺錢的是<1分鍾退出的錢包,其次<5分鍾;

b. 更長持有或多次賣出雖平均單次利潤略高,但數量極少,對總利潤貢獻有限。

解釋

這些模式表明:部署者資助的狙擊並非交易行爲,而是自動化、低風險抽取策略:

• 搶先買入→快速賣出→完全退出。
• 單筆賣出代表毫不關心價格波動,僅利用先機dump。
• 少數更復雜的退出策略只是例外,非主流模式。

可操作洞見

下列建議旨在幫助協議團隊、前端開發者及研究者識別並應對抽取式或協同代幣發行模式,通過將觀察到的行爲轉化爲啓發式、過濾器與警示,提高用戶透明度並降低風險。

1. 追蹤早期持倉集中度
2. 爲部署者關聯錢包打標籤
3. 在高風險發行中發出前端警告
4. 構建復雜資金流追蹤系統
5. 實時監控多籤名狙擊模式
6. 分析退出速度分布
7. 觀察退出交易分散程度
8. 識別重復使用的狙擊錢包