Investigación sobre el modo de ataque colaborativo en la emisión de token en Solana

Resumen

Este informe investiga un modo de agricultura de memes que es común y altamente colaborativo en Solana: los emisores de token transfieren SOL a "carteras francotiradoras", permitiendo que estas carteras compren el token en el mismo bloque en que se lanza. Al centrarnos en una cadena de fondos clara y verificable entre el emisor y el francotirador, hemos identificado un conjunto de comportamientos de extracción de alta confianza.

El análisis muestra que esta estrategia no es un fenómeno aislado ni un comportamiento marginal. Solo en el último mes, se han extraído más de 15,000 SOL de ganancias realizadas de más de 15,000 emisiones de token de esta manera, involucrando a más de 4,600 billeteras de francotiradores y más de 10,400 desplegadores. Estas billeteras muestran una tasa de éxito anormalmente alta de (87% en ganancias de francotiradores), una forma de salida limpia y rápida, así como un patrón de operación estructurado.

Descubrimiento clave:

• El financiamiento del desplegador de los francotiradores tiene sistematicidad, rentabilidad y generalmente es automatizado; las actividades de francotiradores se concentran más durante el horario laboral en Estados Unidos.
• La estructura de múltiples billeteras es muy común, a menudo se utilizan billeteras temporales y colaborativas para simular la demanda real.
• Las tácticas de ofuscación están en constante evolución, como las cadenas de fondos de múltiples saltos y los ataques a transacciones con múltiples firmas, para evadir la detección.
• A pesar de sus limitaciones, un filtro de capital de salto aún puede capturar los casos de comportamiento "interno" a gran escala más claros y repetibles.
• Este informe presenta un conjunto de métodos heurísticos operativos que ayudan a los equipos de protocolo y frontend a identificar, marcar y responder en tiempo real a este tipo de actividades - incluyendo el seguimiento de la concentración de tenencias tempranas, etiquetar las billeteras asociadas a los desplegadores, y emitir advertencias frontend a los usuarios en emisiones de alto riesgo.

A pesar de que el análisis solo cubrió un subconjunto del comportamiento de caza de bloques en la misma red, su escala, estructura y rentabilidad indican que la emisión de token de Solana está siendo manipulada activamente por redes colaborativas, y las medidas de defensa existentes son muy insuficientes.

Metodología

Este análisis comienza con un objetivo claro: identificar el comportamiento de la agricultura colaborativa de meme tokens en Solana, especialmente en el caso de los implementadores que financian carteras para el ataque en el mismo bloque en que se lanza el token. Dividimos el problema en las siguientes etapas:

1. Filtrar el mismo bloque de caza
2. Identificar la wallet asociada al desplegador
3. Asociar la caza con los beneficios del token
4. Medir la escala y el comportamiento de la billetera
5. Huellas de actividad de la máquina
6. Análisis del comportamiento de salida

Enfocándose en la amenaza más clara

Primero medimos la escala de la emisión de token en la plataforma de emisión, y los resultados fueron sorprendentes: más del 50% de los tokens fueron cazados en el momento de crear bloques - la caza de bloques ha pasado de ser un caso marginal a convertirse en el modo de emisión dominante.

En Solana, la participación en el mismo bloque generalmente requiere: transacciones prefirmadas, coordinación fuera de la cadena, o que el emisor y el comprador compartan infraestructura.

No todos los ataques en la misma red de bloques son igualmente maliciosos, existen al menos dos tipos de roles: "robots de pesca" - que prueban heurísticas o realizan pequeñas especulaciones; y "insiders colaborativos" - que incluyen a los desplegadores que proporcionan fondos a sus propios compradores.

Para reducir las falsas alarmas y resaltar los verdaderos comportamientos de colaboración, hemos incorporado un filtrado estricto en el indicador final: solo se contabilizan los ataques directos de SOL entre el desplegador antes de salir y la billetera de ataque. Esto nos permite identificar con confianza: las billeteras controladas directamente por el desplegador, las billeteras que actúan bajo la dirección del desplegador y las billeteras que poseen canales internos.

Estudio de caso 1: financiamiento directo

La billetera del desplegador envía un total de 1.2 SOL a 3 billeteras diferentes, luego despliega un token llamado SOL > BNB. Las 3 billeteras financiadas completan la compra en el mismo bloque en el que se crea el token, antes de que sea visible en un mercado más amplio. Luego, venden rápidamente para obtener ganancias, ejecutando una salida relámpago coordinada. Este es un ejemplo de libro de texto de la técnica de caza de tokens agrícolas utilizando billeteras de pre-financiación, capturado directamente por nuestro método de cadena de fondos. A pesar de que la técnica es simple, se representa a gran escala en miles de emisiones.

Estudio de caso 2: financiamiento multi-salto

Una cierta wallet está relacionada con múltiples ataques de token. Esta entidad no ha financiado directamente la wallet de ataque, sino que ha enviado SOL a través de 5-7 wallets intermedias hasta la wallet de ataque final, completando así el ataque en el mismo bloque.

Nuestro enfoque actual solo detecta algunas transferencias iniciales del desplegador, pero no logra capturar toda la cadena hacia la billetera de ataque final. Estas billeteras de retransmisión suelen ser "de un solo uso", utilizadas únicamente para transferir SOL, lo que dificulta la asociación a través de consultas simples. Esta brecha no es un defecto de diseño, sino una consideración de recursos computacionales: aunque es factible rastrear rutas de fondos de múltiples saltos en grandes volúmenes de datos, el costo es enorme. Por lo tanto, la implementación actual prioriza enlaces directos de alta confianza para mantener claridad y reproducibilidad.

Descubrir

Enfocándonos en el subgrupo de "sniping en la misma cadena + cadena de financiamiento directa", hemos revelado un comportamiento colaborativo en la cadena que es amplio, estructurado y altamente rentable. Todos los datos a continuación cubren desde el 15 de marzo hasta la fecha:

1. Es muy común y sistemático que los snipers sean financiados por el mismo bloque y los desplegadores.

   • En el último mes, se confirmaron más de 15,000 tokens que fueron directamente atacados por carteras de financiamiento en el bloque de lanzamiento.
   • Involucra más de 4,600 carteras de francotiradores, más de 10,400 desplegadores
   • Ocupa aproximadamente el 1.75% de la emisión de token en una plataforma de emisión.

2. Esta acción genera ganancias a gran escala

   • La billetera de obtención directa de capital ha logrado un beneficio neto de más de 15,000 SOL
   • Tasa de éxito de los ataques 87%, muy pocas transacciones fallidas
   • Rendimiento típico de una sola billetera 1-100 SOL, pocos superan 500 SOL

3. Reimplementación y apuntar a la red de cultivo de bots

   • Muchos desplegadores utilizan nuevas carteras para crear en masa decenas a cientos de Token
   • Algunas carteras de sniper realizan cientos de disparos en un día
   • Observado la estructura "central-radial": una billetera financia múltiples billeteras de ataque, todas atacando el mismo token

4. El francotirador presenta un patrón temporal centrado en el ser humano

   • El pico de actividad está entre UTC 14:00-23:00; UTC 00:00-08:00 casi en pausa
   • Se ajusta al horario laboral de EE. UU., lo que indica que se activa manualmente/o mediante cron, y no de forma automática las 24 horas del día a nivel mundial.

5. Confusión de la propiedad entre billeteras de un solo uso y transacciones mult firma

   • El desplegador inyecta capital en varias billeteras al mismo tiempo y firma la emboscada en la misma transacción.
   • Estas billeteras ya no firmarán ninguna transacción
   • El desplegador divide la compra inicial en 2-4 billeteras, disfrazando la demanda real.

Comportamiento de salida

Para profundizar en cómo estos wallets salen, hemos desglosado los datos en dos grandes dimensiones de comportamiento:

1. Velocidad de salida - Desde la primera compra hasta la venta final.
2. Número de ventas - Cantidad de transacciones de venta independientes utilizadas para salir

conclusión de datos

1. Velocidad de salida

   • El 55% de los disparos se vendieron en 1 minuto.
   • 85% en 5 minutos liquidado
   • 11% completado en 15 segundos

2. Número de ventas

   • Más del 90% de las billeteras de francotiradores solo utilizan 1-2 órdenes de venta para salir
   • Muy poco se utiliza la venta progresiva

3. Tendencia de ganancias

   • Lo más rentable es el<wallet de salida en menos de 1 minuto, seguido por el<wallet de salida en menos de 5 minutos.
   • Mantener durante más tiempo o vender en múltiples ocasiones puede resultar en un beneficio promedio por transacción ligeramente más alto, pero la cantidad es extremadamente baja, lo que limita su contribución al beneficio total.

explicación

Estos patrones indican: el ataque financiado por el desplegador no es una acción de transacción, sino una estrategia de extracción automatizada y de bajo riesgo:

• Comprar antes → Vender rápidamente → Salir completamente
• Una venta única representa la falta de preocupación por la fluctuación de precios, solo se aprovecha la oportunidad para vender.
• Algunas estrategias de salida más complejas son solo excepciones, no son el modo predominante.

Conclusión

Este informe revela una estrategia de extracción de emisión de token de Solana continua, estructurada y de alta rentabilidad: la caza en el mismo bloque financiada por el desplegador. Al rastrear las transferencias directas de SOL del desplegador a la billetera de caza, hemos identificado un grupo de comportamientos al estilo de insiders, aprovechando la arquitectura de alta capacidad de Solana para realizar extracciones coordinadas.

Aunque este método solo captura una parte de la caza de bloques en la misma zona, su escala y patrón indican que: no se trata de una especulación aislada, sino de operadores con posiciones privilegiadas, sistemas repetibles y una intención clara. La importancia de esta estrategia se refleja en:

1. Distorsionar las señales del mercado temprano, haciendo que el Token parezca más atractivo o competitivo.
2. Pone en peligro a los minoristas - Se convierten en liquidez de salida sin saberlo
3. Debilitar la confianza en la emisión de token abierta, especialmente en plataformas de emisión de token que buscan velocidad y facilidad de uso.

Para aliviar este problema, no solo se necesita defensa pasiva, sino también mejores heurísticas, alertas en el frontend, barreras a nivel de protocolo, así como esfuerzos continuos de mapeo y monitoreo de comportamientos colaborativos. Las herramientas de detección ya existen - el problema radica en si el ecosistema está dispuesto a aplicarlas realmente.

Este informe ha dado el primer paso: proporciona un filtro confiable y reproducible para identificar los comportamientos colaborativos más obvios. Pero eso es solo el comienzo. El verdadero desafío radica en detectar estrategias altamente confusas y en constante evolución, y en construir una cultura en la cadena que recompense la transparencia en lugar de la extracción.