Dalam penerbitan token di Solana: Mengungkap kolaborasi serangan arbitrase

Ringkasan

Laporan ini menyelidiki mode pertanian meme token yang umum dan sangat kolaboratif di Solana: penyebar token mentransfer SOL ke "dompet sniper", sehingga dompet tersebut dapat membeli token tersebut dalam blok yang sama saat token diluncurkan. Dengan memfokuskan pada rantai dana yang jelas dan dapat dibuktikan antara penyebar dan penembak jitu, kami mengidentifikasi sekelompok perilaku ekstraksi dengan kepercayaan tinggi.

Analisis menunjukkan bahwa strategi ini bukanlah fenomena kebetulan, maupun perilaku marginal. Hanya dalam satu bulan terakhir, lebih dari 15,000 SOL telah diekstrak dari lebih dari 15,000 penerbitan token dengan cara ini, melibatkan lebih dari 4,600 dompet sniper dan lebih dari 10,400 pengembang. Dompet-dompet ini menunjukkan tingkat keberhasilan yang sangat tinggi sebesar (87% dalam keuntungan sniper ), cara keluar yang bersih dan rapi, serta pola operasi yang terstruktur.

Temuan Kunci:

• Sniping yang didanai oleh penyebar memiliki sistematis, menguntungkan, dan biasanya otomatis, aktivitas sniping paling terkonsentrasi selama jam kerja di Amerika Serikat.
• Struktur pertanian multi-dompet sangat umum, sering menggunakan dompet sementara dan kolaboratif untuk mensimulasikan permintaan nyata.
• Metode pengelabuan terus meningkat, seperti rantai dana multi-lompatan dan transaksi sniping multi-tanda tangan, untuk menghindari deteksi.
• Meskipun ada batasan, filter dana loncat masih dapat menangkap contoh perilaku "orang dalam" skala besar yang paling jelas dan dapat diulang.
• Laporan ini mengusulkan satu set metode heuristik yang dapat diterapkan, membantu tim protokol dan front-end untuk secara real-time mengidentifikasi, menandai, dan merespons aktivitas semacam itu—termasuk melacak konsentrasi kepemilikan awal, memberi tag pada dompet yang terkait dengan penyebar, dan memberikan peringatan front-end kepada pengguna dalam penerbitan berisiko tinggi.

Meskipun analisis hanya mencakup subset dari perilaku serangan blok yang sama, skala, struktur, dan profitabilitasnya menunjukkan: penerbitan token Solana sedang dipengaruhi secara aktif oleh jaringan kolaboratif, sementara langkah-langkah pertahanan yang ada jauh dari memadai.

Metodologi

Analisis ini dimulai dengan tujuan yang jelas: mengidentifikasi perilaku kolaborasi meme token di Solana yang menunjukkan penyebaran, terutama dalam hal penyediaan dana untuk dompet sniper pada saat token diluncurkan di blok yang sama. Kami membagi masalah ini menjadi beberapa tahap:

1. Penyaringan penembak jitu dalam satu blok

Pertama, saring dompet yang diserang dalam blok yang sama setelah penyebaran. Karena: Solana tidak memiliki mempool global; perlu mengetahui alamatnya sebelum token muncul di frontend publik; dan waktu antara penyebaran dan interaksi pertama dengan DEX sangat singkat. Perilaku ini hampir tidak mungkin terjadi secara alami, sehingga "serangan blok yang sama" menjadi filter dengan kepercayaan tinggi untuk mengidentifikasi potensi kolusi atau aktivitas privilese.

2. Mengidentifikasi dompet yang terkait dengan penyebar

Untuk membedakan penembak jitu yang terampil dengan "orang dalam" yang berkolaborasi, kami melacak transfer SOL antara penerbit token dan penembak jitu sebelum peluncuran token. Kami hanya menandai dompet yang memenuhi syarat berikut: menerima SOL langsung dari penerbit; mengirim SOL langsung ke penerbit. Hanya dompet yang memiliki transfer langsung sebelum peluncuran yang dimasukkan ke dalam dataset akhir.

3. Mengaitkan sniper dengan keuntungan token

Untuk setiap dompet sniping, kami memetakan aktivitas perdagangan mereka pada token yang diserang, dengan perhitungan spesifik: total SOL yang dikeluarkan untuk membeli token tersebut; total SOL yang diperoleh dari penjualan di DEX; laba bersih yang direalisasikan ( dan bukan laba nominal ). Dengan cara ini, kami dapat secara akurat mengidentifikasi keuntungan yang diambil dari setiap serangan dari pihak penerbit.

4. Mengukur Skala dan Perilaku Dompet

Kami menganalisis skala aktivitas semacam ini dari berbagai dimensi: jumlah penyebar independen dan dompet jebakan; jumlah konfirmasi serangan kolaboratif pada blok yang sama; distribusi keuntungan serangan; jumlah Token yang diterbitkan per penyebar; keadaan penggunaan kembali dompet jebakan antar Token.

5. Jejak aktivitas mesin

Untuk memahami bagaimana operasi ini dilakukan, kami mengelompokkan aktivitas sniper berdasarkan jam UTC. Hasilnya menunjukkan: aktivitas terfokus pada jendela waktu tertentu; secara signifikan menurun pada periode tengah malam UTC; ini menunjukkan bahwa lebih tepatnya bukan otomatisasi yang global dan berkelanjutan, melainkan tugas cron atau jendela eksekusi manual yang selaras dengan Amerika Serikat.

6. Analisis perilaku keluar

Akhirnya, kami meneliti perilaku dompet terkait penyebar saat menjual token yang diserang: mengukur waktu antara pembelian pertama hingga penjualan terakhir ( durasi kepemilikan ); menghitung jumlah transaksi penjualan independen yang digunakan setiap dompet untuk keluar. Dengan demikian, membedakan apakah dompet memilih untuk membersihkan dengan cepat atau menjual secara bertahap, dan memeriksa hubungan antara kecepatan keluar dan profitabilitas.

Fokus pada Ancaman yang Paling Jelas

Kami pertama-tama mengukur skala penargetan blok di platform tertentu, dan hasilnya mengejutkan: lebih dari 50% token diserang pada saat blok dibuat—penargetan blok telah berubah dari kasus pinggiran menjadi mode penerbitan yang dominan.

Di Solana, partisipasi dalam blok yang sama biasanya memerlukan: transaksi pratangkap; koordinasi di luar rantai; atau infrastruktur bersama antara penerbit dan pembeli.

Tidak semua blok yang diserang sama jahatnya, setidaknya ada dua jenis peran: "robot yang melempar jaring untuk mencoba keberuntungan" - menguji heuristik atau spekulasi kecil; serta kolaborator dalam yang - termasuk pengembang yang menyediakan dana untuk pembeli mereka sendiri.

Untuk mengurangi laporan palsu dan menonjolkan perilaku kolaboratif yang sebenarnya, kami menambahkan penyaringan ketat dalam indikator akhir: hanya menghitung serangan yang memiliki transfer SOL langsung antara penyebar yang dideploy sebelum peluncuran dan dompet sniper. Ini memungkinkan kami untuk dengan percaya diri mengidentifikasi: dompet yang langsung dikendalikan oleh penyebar; dompet yang bertindak atas perintah penyebar; dompet yang memiliki saluran internal.

Studi Kasus 1: Pendanaan Langsung

Dompet penyebar mengirim total 1,2 SOL ke 3 dompet yang berbeda, lalu menerbitkan token yang bernama SOL > BNB. Tiga dompet penerima dana menyelesaikan pembelian dalam blok yang sama dengan pembuatan token, sebelum terlihat di pasar yang lebih luas. Setelah itu, mereka cepat-cepat menjual untuk mendapatkan keuntungan, melakukan keluaran kilat yang terkoordinasi. Ini adalah contoh klasik dari pemanfaatan dompet sniper pra-dana untuk menyapu token pertanian, yang ditangkap langsung oleh metode rantai dana kami. Meskipun tekniknya sederhana, namun dilakukan secara besar-besaran dalam ribuan penerbitan.

Studi Kasus 2: Pendanaan Multi-Lompatan

Sebuah dompet terkait dengan beberapa serangan token. Entitas tersebut tidak secara langsung menyuntikkan dana ke dompet serangan, melainkan mengirim SOL melalui 5-7 dompet perantara sebelum sampai ke dompet serangan akhir, sehingga serangan dapat dilakukan dalam blok yang sama.

Metode kami yang ada hanya mendeteksi beberapa transfer awal dari penyebar, tetapi tidak dapat menangkap seluruh rantai yang mengarah ke dompet sniper akhir. Dompet relai ini biasanya "digunakan sekali", hanya untuk mentransfer SOL, yang membuatnya sulit untuk mengaitkan melalui pencarian sederhana. Kekurangan ini bukan merupakan cacat desain, tetapi karena pertimbangan sumber daya komputasi — meskipun mungkin untuk melacak jalur dana multi-lompatan dalam data besar, tetapi biayanya sangat besar. Oleh karena itu, implementasi saat ini lebih memilih jalur langsung dengan kepercayaan tinggi untuk menjaga kejelasan dan reproduktifitas.

Kami menggunakan alat analisis data untuk menunjukkan rantai dana yang lebih panjang ini, memvisualisasikan bagaimana dana mengalir dari dompet awal melalui dompet cangkang hingga akhirnya menuju dompet penyebar. Ini menyoroti kompleksitas tingkat kebingungan sumber dana, serta memberikan petunjuk untuk memperbaiki metode deteksi di masa depan.

Mengapa fokus pada "dompet yang langsung mendanai dan menyerang blok yang sama"

Dalam sisa artikel ini, kami hanya akan mempelajari dompet sniper yang secara langsung mendapatkan dana dari pengembang sebelum diluncurkan dan melakukan serangan dalam blok yang sama. Alasannya adalah sebagai berikut: mereka memberikan keuntungan yang cukup besar; metode pengelabuan minimal; mewakili subset jahat yang paling operasional; mempelajari mereka dapat memberikan kerangka heuristik yang paling jelas untuk mendeteksi dan mengurangi strategi penarikan yang lebih canggih.

Temukan

Fokus pada sub-kelompok "penyergapan di blok yang sama + rantai dana langsung", kami mengungkapkan perilaku kolaboratif on-chain yang luas, terstruktur, dan sangat menguntungkan. Berikut adalah semua data yang mencakup dari 15 Maret hingga sekarang:

1. Sniping yang didanai oleh penyebar dan berada di blok yang sama sangat umum dan sistematis.

a. Selama sebulan terakhir, lebih dari 15.000 Token telah langsung diserang oleh dompet yang mendapatkan dana pada blok peluncuran;

b. Melibatkan lebih dari 4.600 dompet sniper, lebih dari 10.400 pelaksana;

c. Menguasai sekitar 1,75% dari total penerbitan di suatu platform.

2. Tindakan ini menghasilkan keuntungan besar

a. Langsung memperoleh modal, serangan dompet telah mencapai laba bersih >15,000 SOL;

b. Tingkat keberhasilan sniper 87%, transaksi gagal sangat sedikit;

c. Pendapatan tipikal dompet tunggal 1-100 SOL, beberapa melebihi 500 SOL.

3. Pengulangan penyebaran dan penembakan mengarah pada jaringan pertanian

a. Banyak penyebar menggunakan dompet baru untuk membuat puluhan hingga ratusan Token secara massal;

b. Beberapa dompet sniper melakukan ratusan kali penembakan dalam sehari;

c. Mengamati struktur "pusat-radiasi": satu dompet memberikan dana kepada beberapa dompet sniping, semua menyasar token yang sama.

4. Menembak menampilkan pola waktu yang berpusat pada manusia

a. Puncak aktivitas terjadi pada UTC 14:00-23:00; UTC 00:00-08:00 hampir tidak ada aktivitas;

b. Sesuai dengan jam kerja di Amerika Serikat, menjelaskan bahwa ini dipicu secara manual/cron, bukan otomatis 24 jam global.

5. Kebingungan kepemilikan antara dompet sekali pakai dan transaksi multi-tanda tangan

a. Penyebar menyuntikkan dana ke beberapa dompet secara bersamaan dan menandatangani serangan dalam transaksi yang sama;

b. Dompet ini tidak akan menandatangani transaksi apa pun setelah ini;

c. Penyebar membagi pembelian awal ke 2-4 dompet, menyamarkan permintaan yang sebenarnya.

Perilaku Keluar

Untuk memahami lebih dalam tentang bagaimana dompet ini keluar, kami membagi data berdasarkan dua dimensi perilaku utama:

1. Kecepatan keluar ( Waktu Keluar )——dari pembelian pertama hingga penjualan akhir;

2. Jumlah Penjualan ( Jumlah Swap )——Jumlah transaksi penjualan independen yang digunakan untuk keluar.

kesimpulan data

1. Kecepatan keluar

a. 55% dari sniper terjual habis dalam 1 menit;

b. 85% dibersihkan dalam 5 menit;

c. 11% selesai dalam 15 detik.

2. Jumlah penjualan

a. Lebih dari 90% dompet sniper hanya menggunakan 1-2 order jual untuk keluar;

b. Sangat sedikit menggunakan penjualan bertahap.

3. Tren Keuntungan

a. Yang paling menguntungkan adalah dompet keluar dalam waktu <1 menit, diikuti oleh <5 menit;

b. Memegang lebih lama atau menjual beberapa kali meskipun rata-rata keuntungan per transaksi sedikit lebih tinggi, tetapi jumlahnya sangat sedikit, memberikan kontribusi terbatas terhadap total keuntungan.

penjelasan

Model-model ini menunjukkan: pendanaan sniper oleh penyebar bukanlah perilaku perdagangan, tetapi merupakan strategi ekstraksi otomatis dan risiko rendah:

• Beli lebih awal → Jual cepat → Keluar sepenuhnya.
• Penjualan tunggal menunjukkan ketidakpedulian terhadap fluktuasi harga, hanya memanfaatkan kesempatan untuk dump.
• Beberapa strategi keluar yang lebih kompleks hanyalah pengecualian, bukan mode mainstream.

wawasan yang dapat dioperasikan

Saran berikut bertujuan untuk membantu tim protokol, pengembang frontend, dan peneliti dalam mengidentifikasi dan menghadapi model penerbitan token ekstraktif atau kolaboratif, dengan mengubah perilaku yang diamati menjadi heuristik, filter, dan peringatan, untuk meningkatkan transparansi pengguna dan mengurangi risiko.

1. Melacak konsentrasi kepemilikan awal
2. Menandai dompet terkait untuk penyebar
3. Mengeluarkan peringatan depan dalam penerbitan berisiko tinggi
4. Membangun sistem pelacakan aliran dana yang kompleks
5. Pemantauan waktu nyata mode sniper multi-tanda tangan
6. Analisis distribusi kecepatan keluar
7. Amati tingkat diversifikasi keluar perdagangan
8. Mengidentifikasi dompet sniper yang digunakan berulang kali