Análise do comportamento de arbitragem interna na emissão de tokens na Solana
Resumo
Este relatório investiga um padrão de cultivo de meme tokens amplamente utilizado e altamente colaborativo na Solana: os emissores de tokens transferem SOL para "carteiras de sniper", permitindo que essas carteiras comprem o token na mesma bloco em que ele é lançado. Ao focar na cadeia de fundos clara e comprovável entre os emissores e os snipers, identificamos um conjunto de comportamentos de extração de alta confiança.
A análise mostra que essa estratégia não é um fenômeno raro nem um comportamento marginal. Apenas no último mês, foram extraídos mais de 15.000 SOL em lucros realizados através dessa abordagem, envolvendo mais de 4.600 carteiras de sniper e mais de 10.400 implantadores. Essas carteiras demonstram uma taxa de sucesso anormalmente alta de (87% nos lucros de sniper ), uma forma de saída limpa e ágil, além de um padrão operacional estruturado.
Descoberta chave:
O sniper financiado pelo implementador é sistemático, lucrativo e geralmente automatizado, sendo as atividades de sniper mais concentradas durante o horário de trabalho nos Estados Unidos.
A estrutura de múltiplas carteiras é bastante comum, frequentemente utilizando carteiras temporárias e retiradas colaborativas para simular a demanda real.
Os métodos de obfuscação estão em constante evolução, como cadeias de financiamento de múltiplos saltos e transações de múltiplas assinaturas, para evitar a detecção.
Apesar das limitações, um filtro de capital de salto ainda consegue captar os casos de comportamento em larga escala de "insiders" mais claros e repetíveis.
Este relatório apresenta um conjunto de métodos heurísticos operacionais, ajudando as equipas de protocolo e front-end a identificar, marcar e responder em tempo real a tais atividades - incluindo o rastreamento da concentração de posições iniciais, rotulagem de carteiras associadas aos implementadores e envio de avisos front-end aos utilizadores em emissões de alto risco.
Apesar de a análise cobrir apenas um subconjunto do comportamento de sniper de blocos na mesma rede, sua escala, estrutura e rentabilidade indicam que a emissão de tokens Solana está sendo ativamente manipulada por redes colaborativas, enquanto as medidas de defesa existentes são manifestamente insuficientes.
Metodologia
Esta análise tem como ponto de partida um objetivo claro: identificar comportamentos que indiquem a colaboração na agricultura de tokens meme na Solana, especialmente em relação à situação em que o implementador fornece fundos para carteiras de sniper no mesmo bloco em que os tokens são lançados. A questão é dividida nas seguintes fases:
Filtrar snipers na mesma blockchain
Primeiro, filtre as carteiras que foram alvo de sniping no mesmo bloco após a implantação. Devido a: Solana não ter um mempool global; é necessário saber seu endereço antes que o token apareça na interface pública; e o tempo entre a implantação e a primeira interação com a DEX é extremamente curto. Esse comportamento é quase impossível de ocorrer naturalmente, portanto, o "sniping no mesmo bloco" torna-se um filtro de alta confiança para identificar atividades potenciais de conluio ou privilégios.
Identificar e implantar a carteira associada ao implementador
Para distinguir entre snipers tecnicamente habilidosos e "insiders" colaborativos, foram rastreadas as transferências de SOL entre os implementadores e snipers antes do lançamento do token, marcando apenas as carteiras que atendem às seguintes condições: receber SOL diretamente do implementador; enviar SOL diretamente ao implementador. Apenas as carteiras que tinham transferências diretas antes do lançamento foram incluídas no conjunto de dados final.
Associar o sniping com os lucros de tokens
Para cada carteira de sniper, mapeie suas atividades de negociação no token atacado, calculando especificamente: o total de SOL gasto na compra desse token; o total de SOL obtido na venda no DEX; lucro líquido realizado ( e não o lucro nominal ). Isso permite atribuir com precisão o lucro extraído de cada ataque ao emissor.
Medir a escala e o comportamento da carteira
Analisar a escala deste tipo de atividades a partir de múltiplas dimensões: número de implementadores independentes e carteiras de sniper; número de ataques de sniper confirmados no mesmo bloco; distribuição de lucros de sniper; quantidade de tokens emitidos por cada implementador; reutilização de carteiras de sniper entre tokens.
Vestígios de atividade da máquina
Para entender como essas operações são realizadas, agrupe as atividades de sniper por hora UTC. Os resultados mostram: as atividades se concentram em janelas de tempo específicas; há uma queda significativa durante as horas da meia-noite UTC; isso indica que, em vez de uma automação global e contínua, é mais como tarefas cron ou janelas de execução manual alinhadas com os EUA.
Análise do Comportamento de Saída
Por fim, investigar o comportamento das carteiras associadas aos responsáveis pelo lançamento ao vender tokens que foram alvo de ataque: medir o tempo entre a primeira compra e a venda final ( duração da posição ); contabilizar o número de transações de venda independentes utilizadas por cada carteira para sair. Assim, distinguir se a carteira opta por uma liquidação rápida ou uma venda gradual, e examinar a relação entre a velocidade de saída e a lucratividade.
Focar nas ameaças mais claras
Primeiro, foi avaliada a escala de ataques de sniping de blocos na emissão de tokens de uma determinada plataforma, e os resultados foram chocantes: mais de 50% dos tokens foram atacados no momento da criação do bloco - o sniping de blocos passou de um caso marginal para um modo de emissão dominante.
No Solana, a participação no mesmo bloco geralmente requer: pré-assinatura de transações; coordenação off-chain; ou compartilhamento de infraestrutura entre o implantador e o comprador.
Nem todos os ataques de arbitragem de blocos são igualmente maliciosos, existem pelo menos duas categorias de papéis: "robôs de teste" - testando heurísticas ou especulação de baixo valor; colaboradores internos - incluindo implementadores que fornecem fundos para seus compradores.
Para reduzir os falsos positivos e destacar o verdadeiro comportamento colaborativo, foi adicionada uma filtragem rigorosa ao indicador final: apenas são contabilizados os ataques de sniping que envolvem transferências diretas de SOL entre o implementador e a carteira de sniping antes de entrar em operação. Isso nos permite identificar com confiança: carteiras controladas diretamente pelo implementador; carteiras que operam sob a direção do implementador; carteiras com canais internos.
Estudo de Caso 1: Financiamento Direto
A carteira do implementador enviou um total de 1,2 SOL para 3 carteiras diferentes, e depois emitiu um token chamado SOL > BNB. As 3 carteiras que receberam os fundos completaram a compra no mesmo bloco em que o token foi criado, antes de se tornarem visíveis no mercado mais amplo. Em seguida, venderam rapidamente para lucrar, executando uma saída relâmpago coordenada. Este é um exemplo clássico de um ataque de pré-financiamento em que uma carteira de especulação captura tokens de agricultura, diretamente capturado pelo nosso método de cadeia de fundos. Embora a técnica seja simples, ela se repetiu em massa em milhares de emissões.
Estudo de Caso 2: Financiamento em Várias Etapas
Uma determinada carteira está relacionada com múltiplos ataques de tokens. Esta entidade não investiu diretamente na carteira de ataque, mas transferiu SOL através de 5 a 7 carteiras intermediárias até à carteira de ataque final, completando assim o ataque no mesmo bloco.
Os métodos existentes apenas detectam algumas transferências iniciais do criador, mas não conseguem capturar toda a cadeia em direção à carteira final. Essas carteiras intermediárias são geralmente "uso único", usadas apenas para transferir SOL, tornando difícil associá-las por meio de consultas simples. Esta lacuna não é um defeito de design, mas sim uma questão de compromisso de recursos computacionais - embora seja viável rastrear caminhos de fundos de múltiplos saltos em grandes volumes de dados, o custo é enorme. Portanto, a implementação atual prioriza conexões diretas de alta confiança para manter clareza e reprodutibilidade.
Através das ferramentas de visualização de uma determinada plataforma de dados, foi apresentada esta cadeia de fundos mais longa, ilustrando como os fundos fluem desde a carteira inicial, passando pela carteira shell, até à carteira do implementador final. Isso destaca a complexidade do embaralhamento da origem dos fundos e também aponta direções para melhorar os métodos de detecção no futuro.
Descobrir
Focando no subconjunto "sniping na mesma blockchain + cadeia de financiamento direta", revela um comportamento colaborativo on-chain amplo, estruturado e altamente lucrativo. Todos os dados a seguir cobrem desde 15 de março até o presente:
É muito comum e sistemático que os snipers sejam financiados pelo mesmo bloco e pelo implementador.
Nos últimos meses, mais de 15.000 tokens foram confirmados como sendo atacados diretamente por carteiras de capital assim que foram lançados no bloco.
Envolve mais de 4.600 carteiras de sniper e mais de 10.400 implantadores;
A emissão de tokens em uma plataforma de emissão de tokens é de cerca de 1,75%.
Este comportamento é altamente lucrativo
A carteira de ataque direto já obteve um lucro líquido >15,000 SOL;
Taxa de sucesso de sniper de 87%, transações falhadas muito raras;
Rendimentos típicos de uma única carteira 1-100 SOL, poucos acima de 500 SOL.
Repetição de implantação e direcionamento de sniping na rede de farm.
Muitos implementadores utilizam novas carteiras para criar em massa dezenas a centenas de tokens;
Algumas carteiras de sniper executam centenas de snipes em um dia;
Observou-se a estrutura "centro-radial": uma carteira financia várias carteiras de sniping, todas atacando o mesmo Token.
O sniping apresenta um padrão temporal centrado no ser humano
O pico de atividade é das 14:00 às 23:00 UTC; quase em pausa das 00:00 às 08:00 UTC;
Com o horário de trabalho dos EUA, indica que é acionado manualmente/cron, e não totalmente automático 24 horas por dia.
Confusão de propriedade entre carteiras de uso único e transações multi-assinatura
O deployer faz aportes em vários wallets simultaneamente e assina a arbitragem na mesma transação;
Estas carteiras não assinarão mais nenhuma transação;
O implantador divide a compra inicial entre 2 a 4 carteiras, disfarçando a demanda real.
Comportamento de Saída
Para entender melhor como essas carteiras saem, analisamos os dados em duas dimensões principais de comportamento:
Velocidade de Saída(Tempo de Saída) - Do primeiro compra até a venda final;
Contagem de Vendas ( Contagem de Trocas ) - Número de transações de venda independentes utilizadas para sair.
conclusão dos dados
Velocidade de saída
55% dos snipers foram vendidos em 1 minuto;
85% liquidado em 5 minutos;
11% concluído em 15 segundos.
Número de vendas
Mais de 90% das carteiras de sniper apenas usam 1-2 ordens de venda para sair;
Raramente utiliza a venda gradual.
Tendência de lucro
O mais lucrativo é o carteira de saída em menos de 1 minuto, seguido por menos de 5 minutos;
A manutenção por mais tempo ou a venda múltipla, apesar de ter um lucro médio ligeiramente superior por transação, resulta em um número muito limitado de transações, contribuindo assim pouco para o lucro total.
explicação
Esses padrões indicam que o ataque financiado pelo implementador não é uma atividade de negociação, mas sim uma estratégia de extração automatizada e de baixo risco:
Comprar antes → Vender rapidamente → Sair completamente.
A venda única representa uma completa indiferença às flutuações de preços, utilizando apenas a oportunidade para fazer dump.
Algumas estratégias de saída mais complexas são apenas exceções, modos não convencionais.
Conclusão
Este relatório revela uma estratégia de extração de emissão de tokens Solana contínua, estruturada e altamente lucrativa: sniping financiado por depositantes no mesmo bloco. Ao rastrear transferências diretas de SOL dos depositantes para as carteiras de sniping, um conjunto de comportamentos de estilo insider foi identificado, aproveitando a arquitetura de alta capacidade do Solana para uma extração colaborativa.
Embora este método capture apenas uma parte da arbitragem dentro do mesmo bloco, sua escala e padrão indicam que: não se trata de uma especulação pontual, mas sim de operadores com posições privilegiadas, sistemas repetíveis e intenções claras. A importância desta estratégia se reflete em:
Distorcer os sinais iniciais de mercado, fazendo com que o Token pareça mais atraente ou competitivo;
Perigo para os pequenos investidores - eles se tornam uma saída sem saber.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
7 gostos
Recompensa
7
7
Republicar
Partilhar
Comentar
0/400
NoodlesOrTokens
· 07-06 10:04
Hehe, realmente ganhei muito.
Ver originalResponder0
VirtualRichDream
· 07-05 00:14
Ser enganado por idiotas é?
Ver originalResponder0
ExpectationFarmer
· 07-04 05:17
Só isso? Há pancakes com alavancagem de quinze vezes?
Insider da emissão de tokens Solana: Análise do modo de ataque e extração colaborativa no mesmo bloco
Análise do comportamento de arbitragem interna na emissão de tokens na Solana
Resumo
Este relatório investiga um padrão de cultivo de meme tokens amplamente utilizado e altamente colaborativo na Solana: os emissores de tokens transferem SOL para "carteiras de sniper", permitindo que essas carteiras comprem o token na mesma bloco em que ele é lançado. Ao focar na cadeia de fundos clara e comprovável entre os emissores e os snipers, identificamos um conjunto de comportamentos de extração de alta confiança.
A análise mostra que essa estratégia não é um fenômeno raro nem um comportamento marginal. Apenas no último mês, foram extraídos mais de 15.000 SOL em lucros realizados através dessa abordagem, envolvendo mais de 4.600 carteiras de sniper e mais de 10.400 implantadores. Essas carteiras demonstram uma taxa de sucesso anormalmente alta de (87% nos lucros de sniper ), uma forma de saída limpa e ágil, além de um padrão operacional estruturado.
Descoberta chave:
O sniper financiado pelo implementador é sistemático, lucrativo e geralmente automatizado, sendo as atividades de sniper mais concentradas durante o horário de trabalho nos Estados Unidos.
A estrutura de múltiplas carteiras é bastante comum, frequentemente utilizando carteiras temporárias e retiradas colaborativas para simular a demanda real.
Os métodos de obfuscação estão em constante evolução, como cadeias de financiamento de múltiplos saltos e transações de múltiplas assinaturas, para evitar a detecção.
Apesar das limitações, um filtro de capital de salto ainda consegue captar os casos de comportamento em larga escala de "insiders" mais claros e repetíveis.
Este relatório apresenta um conjunto de métodos heurísticos operacionais, ajudando as equipas de protocolo e front-end a identificar, marcar e responder em tempo real a tais atividades - incluindo o rastreamento da concentração de posições iniciais, rotulagem de carteiras associadas aos implementadores e envio de avisos front-end aos utilizadores em emissões de alto risco.
Apesar de a análise cobrir apenas um subconjunto do comportamento de sniper de blocos na mesma rede, sua escala, estrutura e rentabilidade indicam que a emissão de tokens Solana está sendo ativamente manipulada por redes colaborativas, enquanto as medidas de defesa existentes são manifestamente insuficientes.
Metodologia
Esta análise tem como ponto de partida um objetivo claro: identificar comportamentos que indiquem a colaboração na agricultura de tokens meme na Solana, especialmente em relação à situação em que o implementador fornece fundos para carteiras de sniper no mesmo bloco em que os tokens são lançados. A questão é dividida nas seguintes fases:
Primeiro, filtre as carteiras que foram alvo de sniping no mesmo bloco após a implantação. Devido a: Solana não ter um mempool global; é necessário saber seu endereço antes que o token apareça na interface pública; e o tempo entre a implantação e a primeira interação com a DEX é extremamente curto. Esse comportamento é quase impossível de ocorrer naturalmente, portanto, o "sniping no mesmo bloco" torna-se um filtro de alta confiança para identificar atividades potenciais de conluio ou privilégios.
Para distinguir entre snipers tecnicamente habilidosos e "insiders" colaborativos, foram rastreadas as transferências de SOL entre os implementadores e snipers antes do lançamento do token, marcando apenas as carteiras que atendem às seguintes condições: receber SOL diretamente do implementador; enviar SOL diretamente ao implementador. Apenas as carteiras que tinham transferências diretas antes do lançamento foram incluídas no conjunto de dados final.
Para cada carteira de sniper, mapeie suas atividades de negociação no token atacado, calculando especificamente: o total de SOL gasto na compra desse token; o total de SOL obtido na venda no DEX; lucro líquido realizado ( e não o lucro nominal ). Isso permite atribuir com precisão o lucro extraído de cada ataque ao emissor.
Analisar a escala deste tipo de atividades a partir de múltiplas dimensões: número de implementadores independentes e carteiras de sniper; número de ataques de sniper confirmados no mesmo bloco; distribuição de lucros de sniper; quantidade de tokens emitidos por cada implementador; reutilização de carteiras de sniper entre tokens.
Para entender como essas operações são realizadas, agrupe as atividades de sniper por hora UTC. Os resultados mostram: as atividades se concentram em janelas de tempo específicas; há uma queda significativa durante as horas da meia-noite UTC; isso indica que, em vez de uma automação global e contínua, é mais como tarefas cron ou janelas de execução manual alinhadas com os EUA.
Por fim, investigar o comportamento das carteiras associadas aos responsáveis pelo lançamento ao vender tokens que foram alvo de ataque: medir o tempo entre a primeira compra e a venda final ( duração da posição ); contabilizar o número de transações de venda independentes utilizadas por cada carteira para sair. Assim, distinguir se a carteira opta por uma liquidação rápida ou uma venda gradual, e examinar a relação entre a velocidade de saída e a lucratividade.
Focar nas ameaças mais claras
Primeiro, foi avaliada a escala de ataques de sniping de blocos na emissão de tokens de uma determinada plataforma, e os resultados foram chocantes: mais de 50% dos tokens foram atacados no momento da criação do bloco - o sniping de blocos passou de um caso marginal para um modo de emissão dominante.
No Solana, a participação no mesmo bloco geralmente requer: pré-assinatura de transações; coordenação off-chain; ou compartilhamento de infraestrutura entre o implantador e o comprador.
Nem todos os ataques de arbitragem de blocos são igualmente maliciosos, existem pelo menos duas categorias de papéis: "robôs de teste" - testando heurísticas ou especulação de baixo valor; colaboradores internos - incluindo implementadores que fornecem fundos para seus compradores.
Para reduzir os falsos positivos e destacar o verdadeiro comportamento colaborativo, foi adicionada uma filtragem rigorosa ao indicador final: apenas são contabilizados os ataques de sniping que envolvem transferências diretas de SOL entre o implementador e a carteira de sniping antes de entrar em operação. Isso nos permite identificar com confiança: carteiras controladas diretamente pelo implementador; carteiras que operam sob a direção do implementador; carteiras com canais internos.
Estudo de Caso 1: Financiamento Direto
A carteira do implementador enviou um total de 1,2 SOL para 3 carteiras diferentes, e depois emitiu um token chamado SOL > BNB. As 3 carteiras que receberam os fundos completaram a compra no mesmo bloco em que o token foi criado, antes de se tornarem visíveis no mercado mais amplo. Em seguida, venderam rapidamente para lucrar, executando uma saída relâmpago coordenada. Este é um exemplo clássico de um ataque de pré-financiamento em que uma carteira de especulação captura tokens de agricultura, diretamente capturado pelo nosso método de cadeia de fundos. Embora a técnica seja simples, ela se repetiu em massa em milhares de emissões.
Estudo de Caso 2: Financiamento em Várias Etapas
Uma determinada carteira está relacionada com múltiplos ataques de tokens. Esta entidade não investiu diretamente na carteira de ataque, mas transferiu SOL através de 5 a 7 carteiras intermediárias até à carteira de ataque final, completando assim o ataque no mesmo bloco.
Os métodos existentes apenas detectam algumas transferências iniciais do criador, mas não conseguem capturar toda a cadeia em direção à carteira final. Essas carteiras intermediárias são geralmente "uso único", usadas apenas para transferir SOL, tornando difícil associá-las por meio de consultas simples. Esta lacuna não é um defeito de design, mas sim uma questão de compromisso de recursos computacionais - embora seja viável rastrear caminhos de fundos de múltiplos saltos em grandes volumes de dados, o custo é enorme. Portanto, a implementação atual prioriza conexões diretas de alta confiança para manter clareza e reprodutibilidade.
Através das ferramentas de visualização de uma determinada plataforma de dados, foi apresentada esta cadeia de fundos mais longa, ilustrando como os fundos fluem desde a carteira inicial, passando pela carteira shell, até à carteira do implementador final. Isso destaca a complexidade do embaralhamento da origem dos fundos e também aponta direções para melhorar os métodos de detecção no futuro.
Descobrir
Focando no subconjunto "sniping na mesma blockchain + cadeia de financiamento direta", revela um comportamento colaborativo on-chain amplo, estruturado e altamente lucrativo. Todos os dados a seguir cobrem desde 15 de março até o presente:
Comportamento de Saída
Para entender melhor como essas carteiras saem, analisamos os dados em duas dimensões principais de comportamento:
Velocidade de Saída(Tempo de Saída) - Do primeiro compra até a venda final;
Contagem de Vendas ( Contagem de Trocas ) - Número de transações de venda independentes utilizadas para sair.
conclusão dos dados
explicação
Esses padrões indicam que o ataque financiado pelo implementador não é uma atividade de negociação, mas sim uma estratégia de extração automatizada e de baixo risco:
Conclusão
Este relatório revela uma estratégia de extração de emissão de tokens Solana contínua, estruturada e altamente lucrativa: sniping financiado por depositantes no mesmo bloco. Ao rastrear transferências diretas de SOL dos depositantes para as carteiras de sniping, um conjunto de comportamentos de estilo insider foi identificado, aproveitando a arquitetura de alta capacidade do Solana para uma extração colaborativa.
Embora este método capture apenas uma parte da arbitragem dentro do mesmo bloco, sua escala e padrão indicam que: não se trata de uma especulação pontual, mas sim de operadores com posições privilegiadas, sistemas repetíveis e intenções claras. A importância desta estratégia se reflete em:
Distorcer os sinais iniciais de mercado, fazendo com que o Token pareça mais atraente ou competitivo;
Perigo para os pequenos investidores - eles se tornam uma saída sem saber.