Insider sobre a emissão de tokens na Solana: Revelando a armadilha de arbitragem

Resumo

Este relatório investiga um modo de farming de meme Token amplamente disseminado e altamente colaborativo na Solana: os implementadores de Token transferem SOL para "carteiras de sniper", permitindo que essas carteiras comprem o Token na mesma block em que este é lançado. Ao focar na cadeia de fundos clara e verificável entre os implementadores e os snipers, identificamos um conjunto de comportamentos extrativos de alta confiança.

A análise mostra que essa estratégia não é um fenômeno aleatório nem um comportamento marginal. Somente no último mês, foram extraídos mais de 15.000 SOL de lucro realizado através de mais de 15.000 emissões de tokens, envolvendo mais de 4.600 carteiras de snipers e mais de 10.400 implementadores. Essas carteiras demonstraram uma taxa de sucesso anormalmente alta de (87% em lucros de sniping ), saídas limpas e rápidas, e um padrão de operação estruturado.

Descobertas chave:

• O financiamento do deployer para snipers é sistemático, lucrativo e geralmente automatizado, com atividades de sniping mais concentradas durante o horário de trabalho nos Estados Unidos.
• Estruturas de agricultura de múltiplas carteiras são bastante comuns, frequentemente usando carteiras temporárias e saídas colaborativas para simular a demanda real.
• Os métodos de ofuscação estão em constante evolução, como cadeias de financiamento de múltiplas etapas e transações de ataque com múltiplas assinaturas, para evitar a detecção.
• Apesar das limitações, um filtro de capital de salto ainda consegue capturar os casos de comportamento "de insider" em grande escala que são mais claros e repetíveis.
• Este relatório apresenta um conjunto de métodos heurísticos acionáveis que ajudam as equipas de protocolo e front-end a identificar, marcar e responder em tempo real a tais atividades — incluindo o rastreamento da concentração de posições iniciais, rotulagem de carteiras associadas aos implementadores e emissão de alertas front-end aos usuários em emissões de alto risco.

Embora a análise cubra apenas um subconjunto do comportamento de sniper de bloco, sua escala, estrutura e rentabilidade indicam que a emissão de tokens Solana está sendo ativamente manipulada por redes colaborativas, enquanto as medidas de defesa existentes são claramente insuficientes.

Metodologia

Esta análise tem como ponto de partida um objetivo claro: identificar comportamentos que indicam a agricultura colaborativa de tokens meme na Solana, especialmente em casos onde o implementador fornece financiamento para carteiras de sniper no mesmo bloco em que o token é lançado. Dividimos a questão nas seguintes fases:

1. Filtrar ataques de blocos na mesma região

Primeiro, filtre as carteiras que foram alvo de ataques no mesmo bloco após a implementação. Como: Solana não possui um mempool global; é necessário saber seu endereço antes que o token apareça na frente pública; e o tempo entre a implementação e a primeira interação com o DEX é extremamente curto. Esse comportamento é quase impossível de ocorrer naturalmente, portanto, "ataque no mesmo bloco" torna-se um filtro de alta confiança para identificar possíveis conluios ou atividades privilegiadas.

2. Identificar a carteira associada ao implementador

Para distinguir os snipers altamente qualificados dos "insiders" colaborativos, rastreamos as transferências de SOL entre os implementadores e os snipers antes do lançamento do token, marcando apenas as carteiras que atendem aos seguintes critérios: receber SOL diretamente do implementador; enviar SOL diretamente para o implementador. Apenas as carteiras que tiveram transferências diretas antes do lançamento foram incluídas no conjunto de dados final.

3. Associar o sniping aos lucros dos tokens

Para cada carteira de sniper, mapeamos sua atividade de negociação nos tokens atacados, calculando especificamente: o valor total em SOL gasto na compra desse token; o valor total em SOL obtido na venda na DEX; o lucro líquido realizado ( em vez do lucro nominal ). Isso permite atribuir com precisão o lucro extraído de cada ataque ao seu implementador.

4. Medir a escala e o comportamento da carteira

Analisamos a escala deste tipo de atividade a partir de várias dimensões: número de implementadores independentes e carteiras de arbitragem; número de vezes que a arbitragem colaborativa ocorreu no mesmo bloco; distribuição dos lucros da arbitragem; número de tokens emitidos por cada implementador; reutilização de carteiras de arbitragem entre diferentes tokens.

5. Rasto de atividade da máquina

Para entender como essas operações ocorrem, agrupamos as atividades de sniper por horas UTC. Os resultados mostram: as atividades se concentram em janelas de tempo específicas; há uma queda significativa durante a madrugada UTC; isso indica que, mais do que uma automação global e contínua, trata-se de tarefas cron ou janelas de execução manual alinhadas com os EUA.

6. Análise de Comportamento de Saída

Por fim, estudamos o comportamento das carteiras associadas a implementadores ao vender tokens alvo de ataques: medindo o tempo desde a primeira compra até a venda final ( duração da posição ); contabilizando o número de transações de venda independentes utilizadas por cada carteira para sair. Assim, diferenciamos se a carteira opta por liquidar rapidamente ou por uma venda gradual, e examinamos a relação entre a velocidade de saída e a lucratividade.

Focar nas ameaças mais claras

Nós primeiro medimos a escala da emissão de tokens em um determinado plataforma com sniper de bloco, e os resultados foram chocantes: mais de 50% dos tokens foram alvos de sniper no momento da criação do bloco — o sniper de bloco se tornou o modo de emissão dominante.

Na Solana, a participação no mesmo bloco geralmente requer: transações pré-assinadas; coordenação off-chain; ou o compartilhamento de infraestrutura entre o implementador e o comprador.

Nem todos os ataques de arbitragem em bloco são igualmente maliciosos, existem pelo menos duas categorias de papéis: "robôs de lançar redes e esperar pela sorte" - testando heurísticas ou especulação de baixo valor; colaboradores internos - incluindo implementadores que fornecem fundos para seus próprios compradores.

Para reduzir falsos positivos e destacar o verdadeiro comportamento colaborativo, adicionamos um filtro rigoroso ao indicador final: contabilizamos apenas os snipes com transferências diretas de SOL entre o desenvolvedor e a carteira de sniping antes do lançamento. Isso nos permite identificar com confiança: carteiras diretamente controladas pelo desenvolvedor; carteiras que atuam sob a direção do desenvolvedor; carteiras com canais internos.

Estudo de caso 1: financiamento direto

A carteira do desenvolvedor enviou um total de 1,2 SOL para 3 carteiras diferentes, e depois emitiu o token chamado SOL > BNB. As 3 carteiras de financiamento completaram a compra do token no mesmo bloco em que foi criado, antes de se tornar visível para o mercado mais amplo. Em seguida, elas venderam rapidamente para lucrar, realizando uma saída relâmpago coordenada. Este é um exemplo clássico de como a carteira de sniping pré-financiada captura tokens de agricultura, diretamente capturado pelo nosso método de cadeia de fundos. Embora a técnica seja simples, ela se repete em grande escala em milhares de emissões.

Estudo de Caso 2: Financiamento Multihop

Uma carteira está relacionada a várias tentativas de armadilha de tokens. Esta entidade não investiu diretamente na carteira de armadilha, mas transferiu SOL através de 5 a 7 carteiras intermediárias até a carteira de armadilha final, completando assim a armadilha no mesmo bloco.

Os nossos métodos existentes apenas detetam algumas transferências iniciais do implementador, mas não conseguem capturar toda a cadeia que leva à carteira final de ataque. Estas carteiras de retransmissão são geralmente "uso único", utilizadas apenas para transmitir SOL, tornando difícil a sua associação através de uma simples consulta. Esta lacuna não é um defeito de design, mas sim uma compensação de recursos computacionais - embora seja viável rastrear caminhos de fundos de múltiplos saltos em grandes volumes de dados, o custo é enorme. Assim, a implementação atual prioriza ligações diretas de alta confiança para manter a clareza e a reprodutibilidade.

Utilizámos ferramentas de análise de dados para mostrar esta cadeia de financiamento mais longa, apresentando graficamente como os fundos fluem desde a carteira inicial através da carteira shell até à carteira do implementador final. Isto destaca a complexidade da confusão das fontes de financiamento e também indica direções para a melhoria dos métodos de detecção no futuro.

Por que focar em "financiamento direto e carteiras de ataque de bloco na mesma região"

Na parte restante deste artigo, estudamos apenas as carteiras de sniper que obtêm diretamente os fundos do desenvolvedor antes do lançamento e atacam na mesma bloco. As razões são as seguintes: elas contribuem com lucros consideráveis; os métodos de confusão são mínimos; representam o subconjunto malicioso mais operacional; estudá-las pode fornecer a estrutura heurística mais clara para detectar e mitigar estratégias de extração mais avançadas.

Descobrir

Focando no subconjunto "sniping na mesma blockchain + cadeia de fundos direta", revelamos um comportamento colaborativo on-chain abrangente, estruturado e altamente lucrativo. Todos os dados a seguir abrangem desde 15 de março até agora:

1. A especulação de snipers que são financiados pelo mesmo bloco e pelo mesmo desenvolvedor é bastante comum e sistemática.

a. Nos últimos meses, confirmaram-se mais de 15.000 tokens que foram diretamente atacados por carteiras de capital assim que foram lançados no bloco;

b. Envolve mais de 4.600 carteiras de sniper e mais de 10.400 implementadores;

c. A emissão de uma determinada plataforma é de cerca de 1,75%.

2. Esta atividade é altamente lucrativa

a. A obtenção direta de recursos por meio de wallets já alcançou um lucro líquido >15,000 SOL;

b. Taxa de sucesso do sniping 87%, raras transações falhadas;

c. Retorno típico de uma única carteira 1-100 SOL, poucos acima de 500 SOL.

3. Repetição de implantação e ataque direcionado a redes de cultivo

a. Muitos implementadores usam novas carteiras para criar em massa dezenas a centenas de Tokens;

b. Algumas carteiras de sniping executam centenas de snipes em um dia;

c. Observou-se a estrutura "centro-radial": uma carteira financia várias carteiras de sniper, todas atacando a mesma moeda.

4. O sniper apresenta um padrão temporal centrado no ser humano

a. O pico de atividade está entre as 14:00 e as 23:00 UTC; praticamente em pausa entre as 00:00 e as 08:00 UTC;

b. Compatível com o horário de trabalho dos EUA, indicando que é acionado manualmente/cron, e não totalmente automático 24 horas por dia.

5. Confusão de propriedade entre carteiras únicas e transações multi-assinatura

a. O depositante injeta simultaneamente em várias carteiras e assina a emboscada na mesma transação;

b. Essas carteiras de queima não assinarão mais nenhuma transação;

c. O implantador divide a compra inicial em 2-4 carteiras, disfarçando a demanda real.

Comportamento de Saída

Para entender melhor como essas carteiras saem, vamos dividir os dados em duas grandes dimensões de comportamento:

1. Velocidade de Saída ( Tempo de Saída )——do primeiro compra até a venda final;

2. Número de vendas ( Contagem de Trocas )——Quantidade de transações de venda independentes usadas para sair.

conclusão dos dados

1. Velocidade de saída

a. 55% dos snipers foram vendidos em 1 minuto;

b. 85% liquidar em 5 minutos;

c. 11% concluído em 15 segundos.

2. Número de vendas

a. Mais de 90% das carteiras de sniper saem apenas com 1-2 vendas.

b. Raramente é utilizada a venda progressiva.

3. Tendência de Lucros

a. O mais lucrativo é o <1 minuto de saída da carteira, em segundo lugar <5 minutos;

b. Manter por mais tempo ou vender várias vezes, embora o lucro médio por transação seja ligeiramente superior, a quantidade é muito pequena, contribuindo de forma limitada para o lucro total.

explicação

Estes padrões indicam que o sniping financiado pelo implementador não é uma atividade de negociação, mas sim uma estratégia de extração automatizada e de baixo risco:

• Comprar antecipadamente → Vender rapidamente → Sair completamente.
• Uma venda única representa uma total indiferença às flutuações de preço, utilizando apenas a oportunidade para despejar.
• Algumas estratégias de saída mais complexas são apenas exceções, modos não convencionais.

insights operacionais

As sugestões abaixo visam ajudar as equipas de protocolo, desenvolvedores front-end e pesquisadores a identificar e enfrentar modos de emissão de tokens extrativos ou colaborativos, convertendo comportamentos observados em heurísticas, filtros e alertas, aumentando a transparência do usuário e reduzindo riscos.

1. Rastrear a concentração de posições iniciais
2. Etiquetar a carteira do implementador
3. Emitir avisos de frontend em emissões de alto risco
4. Construir um sistema complexo de rastreamento de fluxos de fundos
5. Monitorização em tempo real do modo de ataque multi-assinatura
6. Analisar a distribuição da velocidade de saída
7. Observar o grau de dispersão das transações de saída
8. Identificar carteiras de sniper reutilizadas