Dentro de la emisión de token en Solana: revelando el arbitraje colaborativo

Resumen

Este informe investiga un modelo de cultivo de tokens meme que es común y altamente colaborativo en Solana: los emisores de tokens transfieren SOL a "billeteras de francotirador", permitiendo que estas billeteras compren el token en el mismo bloque en el que se lanza. Al centrarnos en una cadena de fondos clara y verificable entre el emisor y los francotiradores, hemos identificado un conjunto de comportamientos de extracción de alta confianza.

El análisis muestra que esta estrategia no es un fenómeno accidental ni un comportamiento marginal. Solo en el último mes, se han extraído más de 15,000 SOL en beneficios realizados a través de más de 15,000 emisiones de token, involucrando a más de 4,600 billeteras de ataque y más de 10,400 desplegadores. Estas billeteras muestran una tasa de éxito anormalmente alta del (87% en las ganancias de arbitraje ), una forma de salida limpia y ordenada, así como un patrón de operación estructurado.

Hallazgos clave:

• Los francotiradores financiados por los desplegadores poseen características sistemáticas, rentables y generalmente automatizadas, y las actividades de francotiradores son más comunes durante el horario laboral en Estados Unidos.
• La estructura de múltiples billeteras para la agricultura es muy común, a menudo se utilizan billeteras temporales y colaborativas para simular la demanda real.
• Las técnicas de ocultación están en constante evolución, como las cadenas de fondos de múltiples saltos y las operaciones de firma múltiple para evadir la detección.
• A pesar de sus limitaciones, un filtro de fondos de salto aún puede capturar los casos de comportamiento "interno" a gran escala más claros y repetibles.
• Este informe presenta un conjunto de métodos heurísticos operativos que ayudan a los equipos de protocolo y front-end a identificar, etiquetar y responder en tiempo real a este tipo de actividades, incluyendo el seguimiento de la concentración de tenencias tempranas, etiquetado de las billeteras asociadas a los implementadores y la emisión de advertencias frontales a los usuarios en emisiones de alto riesgo.

A pesar de que el análisis solo cubrió un subconjunto de las actividades de ataque en el mismo bloque, su escala, estructura y rentabilidad indican que la emisión de token de Solana está siendo manipulada activamente por redes colaborativas, y las medidas de defensa existentes son muy insuficientes.

Metodología

Este análisis parte de un objetivo claro: identificar el comportamiento de colaboración de los tokens meme en Solana, especialmente en el caso de que los desplegadores proporcionen fondos a las billeteras atacantes en la misma bloque del lanzamiento del token. Dividimos el problema en las siguientes etapas:

1. Filtrar el ataque en el mismo bloque

Primero, filtra las billeteras que fueron atacadas en el mismo bloque inmediatamente después de su despliegue. Esto se debe a que: Solana no tiene un mempool global; necesitas conocer su dirección antes de que el token aparezca en la interfaz pública; y el tiempo entre el despliegue y la primera interacción con el DEX es extremadamente corto. Este tipo de comportamiento es casi imposible que ocurra de manera natural, por lo que "ataque en el mismo bloque" se convierte en un filtro de alta confianza para identificar posibles colusiones o actividades privilegiadas.

2. Identificar y desplegar la billetera asociada al desplegador

Para distinguir entre francotiradores técnicamente hábiles y "insiders" colaborativos, rastreamos las transferencias de SOL entre los implementadores y los francotiradores antes del lanzamiento del token, y solo marcamos las billeteras que cumplen con las siguientes condiciones: recibir SOL directamente del implementador; enviar SOL directamente al implementador. Solo se incluyeron en el conjunto de datos final las billeteras que tenían transferencias directas antes del lanzamiento.

3. Asociar el francotirador con las ganancias de Token

Para cada billetera de sniper, mapeamos su actividad de transacciones en el token atacado, calculando específicamente: el total de SOL gastado en la compra de ese token; el total de SOL obtenido al vender en DEX; las ganancias netas realizadas ( en lugar de las ganancias nominales ). De esta manera, se puede atribuir con precisión las ganancias extraídas de cada ataque al desplegador.

4. Medir la escala y el comportamiento de la billetera

Analizamos la escala de este tipo de actividades desde múltiples dimensiones: la cantidad de desplegadores independientes y de billeteras de sniper; el número de veces que se confirma la sinergia en el mismo bloque de sniper; la distribución de las ganancias de sniper; la cantidad de tokens emitidos por cada desplegador; la reutilización de billeteras de sniper entre tokens.

5. Huellas de actividad de la máquina

Para entender cómo se llevan a cabo estas operaciones, agrupamos las actividades de ataque por horas UTC. Los resultados muestran: las actividades se concentran en ventanas de tiempo específicas; disminuyen significativamente durante las horas de la madrugada UTC; lo que indica que más que una automatización global y continua, se trata de tareas cron alineadas con EE. UU. o ventanas de ejecución manual.

6. Análisis del comportamiento de salida

Finalmente, estudiamos el comportamiento de las billeteras asociadas a los desplegadores al vender tokens que han sido atacados: medimos el tiempo desde la primera compra hasta la venta final ( duración de la posición ); contabilizamos la cantidad de transacciones de venta independientes utilizadas por cada billetera para salir. De esta manera, diferenciamos si la billetera opta por liquidar rápidamente o por una venta gradual, y examinamos la relación entre la velocidad de salida y la rentabilidad.

Enfocarse en las amenazas más claras

Primero medimos la escala de la caza de bloques en la emisión de una plataforma, y los resultados fueron sorprendentes: más del 50% de los Tokens fueron cazados en la creación de bloques; la caza de bloques ha pasado de ser un caso marginal a convertirse en el modo de emisión dominante.

En Solana, la participación en el mismo bloque generalmente requiere: transacciones prefirmadas; coordinación fuera de la cadena; o infraestructura compartida entre el desarrollador y el comprador.

No todos los ataques de bloque son igualmente maliciosos, al menos existen dos tipos de roles: "robots de prueba" que lanzan redes con suerte, probando heurísticas o realizando pequeñas especulaciones; y colaboradores internos, incluidos los que financian a sus propios compradores.

Para reducir las falsas alarmas y destacar el verdadero comportamiento colaborativo, hemos incorporado un filtro estricto en el indicador final: solo se contabilizan los disparos que tienen transferencias directas de SOL entre el desplegador antes de la salida y el wallet de sniper. Esto nos permite identificar con confianza: wallets controlados directamente por el desplegador; wallets que actúan bajo la dirección del desplegador; wallets con canales internos.

Estudio de caso 1: financiamiento directo

La billetera del desplegador envía un total de 1.2 SOL a 3 billeteras diferentes, y luego despliega un token llamado SOL > BNB. Las 3 billeteras de financiamiento completan la compra en el mismo bloque en el que se crea el token, antes de que sea visible en un mercado más amplio. Luego, se venden rápidamente para obtener ganancias, ejecutando una salida relámpago coordinada. Este es un ejemplo clásico de cómo una billetera de ataque prefinanciada puede aprovechar los tokens agrícolas, capturado directamente por nuestro enfoque de cadena de financiación. A pesar de que la técnica es simple, se lleva a cabo a gran escala en miles de emisiones.

Estudio de caso 2: financiamiento multipunto

Una billetera está relacionada con múltiples ataques de token. Esta entidad no financió directamente la billetera de ataque, sino que transfirió SOL a través de 5-7 billeteras intermedias hasta llegar a la billetera de ataque final, completando así el ataque en el mismo bloque.

Nuestro enfoque actual solo detecta algunas transferencias preliminares del desplegador, pero no logra capturar toda la cadena hacia la billetera objetivo final. Estas billeteras intermedias suelen ser "de un solo uso", utilizadas únicamente para transferir SOL, lo que dificulta su asociación a través de consultas simples. Esta brecha no es un defecto de diseño, sino una compensación de recursos computacionales; aunque es posible rastrear rutas de fondos de múltiples saltos en grandes volúmenes de datos, el costo es enorme. Por lo tanto, la implementación actual prioriza enlaces directos de alta confianza para mantener la claridad y la reproducibilidad.

Hemos utilizado herramientas de análisis de datos para mostrar esta cadena de fondos más larga, representando gráficamente cómo los fondos fluyen desde la billetera inicial a través de la billetera shell hasta la billetera del desarrollador final. Esto destaca la complejidad del enredo de las fuentes de fondos y también señala el camino hacia la mejora de los métodos de detección en el futuro.

¿Por qué enfocarse en "carteras que financian directamente y que atacan en la misma cadena"?

En la parte restante de este artículo, solo investigaremos los wallets de sniper que obtienen directamente fondos del desplegador antes de su lanzamiento y que disparan en el mismo bloque. Las razones son las siguientes: contribuyen con beneficios considerables; tienen los métodos de confusión mínimos; representan el subconjunto malicioso más operativo; su estudio puede proporcionar el marco heurístico más claro para detectar y mitigar estrategias de extracción más avanzadas.

Descubrir

Enfocándonos en el subconjunto de "sniping en la misma cadena + cadena de fondos directa", revelamos un comportamiento colaborativo en cadena que es amplio, estructurado y altamente rentable. Todos los datos a continuación cubren desde el 15 de marzo hasta hoy:

1. Es muy común y sistemático que los snipers sean financiados por el mismo bloque y el desplegador.

a. En el último mes se confirmaron más de 15,000 tokens que fueron directamente atacados por carteras de capital en el bloque de lanzamiento.

b. Involucra más de 4,600 billeteras de francotiradores y más de 10,400 implementadores;

c. Representa aproximadamente el 1.75% de la emisión en una plataforma.

2. Este comportamiento genera grandes ganancias

a. La billetera de obtención directa de capital ha logrado un beneficio neto >15,000 SOL;

b. Tasa de éxito de golpeo del 87%, transacciones fallidas muy pocas;

c. Rendimiento típico de una sola billetera 1-100 SOL, pocos superan 500 SOL.

3. Repetir implementación y apuntar al ataque de la red agrícola

a. Muchos implementadores utilizan nuevas carteras para crear en masa decenas a cientos de tokens;

b. Algunas billeteras de sniper ejecutan cientos de snipes en un día;

c. Se observa una estructura "centro-radiación": una billetera financia múltiples billeteras de francotiradores, todas apuntando al mismo token.

4. Sniping presenta un patrón temporal centrado en el ser humano

a. Los picos de actividad son de UTC 14:00 a 23:00; de UTC 00:00 a 08:00 casi no hay actividad;

b. Coincide con el horario laboral de EE. UU., lo que indica que es activado manualmente o por cron, y no de forma automática las 24 horas a nivel mundial.

5. Confusión de la propiedad entre billeteras desechables y transacciones multisig

a. El desplegador inyecta fondos en varias billeteras al mismo tiempo y firma en la misma transacción para apuntar.

b. Estas billeteras quemadas no firmarán más transacciones;

c. El desplegador divide la compra inicial en 2-4 carteras, simulando la demanda real.

Comportamiento de salida

Para comprender mejor cómo estos monederos se retiran, desglosamos los datos en dos grandes dimensiones de comportamiento:

1. Velocidad de salida ( Tiempo de salida )——desde la primera compra hasta la venta final;

2. Número de ventas ( Swap Count )——Número de transacciones de venta independientes utilizadas para salir.

conclusión de datos

1. Velocidad de salida

a. El 55% de los disparos se vendió completamente en 1 minuto;

b. 85% en 5 minutos liquidación;

c. 11% en 15 segundos.

2. Número de ventas

a. Más del 90% de las carteras de francotiradores solo utilizan 1-2 órdenes de venta para salir;

b. Muy pocas veces se utiliza la venta gradual.

3. Tendencia de ganancias

a. El más rentable es el <cartera de salida de 1 minuto, seguido de <cartera de salida de 5 minutos;

b. Aunque mantener por más tiempo o vender varias veces puede resultar en un beneficio promedio por transacción ligeramente más alto, la cantidad es muy baja y su contribución al beneficio total es limitada.

explicación

Estos patrones indican que el ataque financiado por el desplegador no es una actividad comercial, sino una estrategia de extracción automatizada y de bajo riesgo:

• Comprar primero → Vender rápidamente → Salir completamente.
• Una venta única representa una indiferencia total por las fluctuaciones de precios, simplemente aprovechando la oportunidad para vender.
• Algunas estrategias de salida más complejas son solo excepciones, modos no convencionales.

visión operativa

Las siguientes recomendaciones están destinadas a ayudar a los equipos de protocolos, desarrolladores front-end e investigadores a identificar y abordar los modelos de emisión de token de extracción o colaborativos, transformando el comportamiento observado en heurísticas, filtros y alertas, mejorando la transparencia del usuario y reduciendo el riesgo.

1. Rastrear la concentración de posiciones tempranas
2. Etiquetar la billetera asociada al desplegador
3. Emitir advertencias frontales en emisiones de alto riesgo
4. Construir un sistema complejo de seguimiento de flujos de capital
5. Monitoreo en tiempo real del modo de ataque de múltiples firmas
6. Analizar la distribución de la velocidad de salida
7. Observar el grado de diversificación de las transacciones de salida
8. Identificar carteras de francotirador reutilizadas