Estudo do modo de ataque colaborativo na emissão de tokens na Solana

Resumo

Este relatório investiga um modelo de cultivo de memes altamente colaborativo e comum no Solana: os emissores de tokens transferem SOL para "carteiras de sniper", permitindo que essas carteiras comprem o token na mesma block em que o token é lançado. Ao focar na cadeia de fundos clara e verificável entre os emissores e os snipers, identificamos um conjunto de comportamentos extrativos de alta confiança.

A análise mostra que essa estratégia não é um fenômeno ocasional, nem um comportamento marginal. Apenas no último mês, foram extraídos mais de 15.000 SOL de lucros realizados por meio de mais de 15.000 emissões de tokens, envolvendo mais de 4.600 carteiras de sniper e mais de 10.400 implementadores. Essas carteiras demonstraram uma taxa de sucesso anormalmente alta de (87% nos lucros de sniper ), uma forma de saída limpa e uma operação estruturada.

Descobertas-chave:

• O financiamento de sniper de um deployer é sistemático, lucrativo e geralmente automatizado, com atividades de sniper mais concentradas durante o horário de trabalho nos EUA.
• A estrutura de múltiplas carteiras é bastante comum, frequentemente utilizando carteiras temporárias e retiradas colaborativas para simular a demanda real.
• Os métodos de ofuscação estão em constante evolução, como cadeias de fundos de múltiplos saltos e transações de múltiplas assinaturas, para evitar detecção.
• Embora tenha limitações, um filtro de capital ainda consegue capturar os casos de comportamento "interno" em grande escala mais claros e repetíveis.
• Este relatório apresenta um conjunto de métodos heurísticos acionáveis, que ajudam as equipas de protocolo e front-end a identificar, marcar e responder em tempo real a tais atividades - incluindo o rastreamento da concentração de posições iniciais, a atribuição de etiquetas a carteiras relacionadas com os emissores e a emissão de alertas no front-end para os utilizadores em emissões de alto risco.

Apesar de a análise ter coberto apenas um subconjunto do comportamento de sniper dentro do mesmo bloco, a sua escala, estrutura e rentabilidade indicam que: a emissão de tokens Solana está a ser ativamente manipulada por uma rede colaborativa, enquanto as atuais medidas de defesa são claramente insuficientes.

Metodologia

Esta análise começa com um objetivo claro: identificar comportamentos que indicam a cooperação na emissão de tokens meme na Solana, especialmente no que diz respeito a situações em que os implementadores fornecem fundos a carteiras de sniper no mesmo bloco em que o token é lançado. Dividimos a questão nas seguintes fases:

1. Filtrar snipers na mesma blockchain
2. Identificar e implantar a carteira associada ao implantador
3. Associar a especulação com o lucro de tokens
4. Medir a escala e o comportamento da carteira
5. Vestígios de atividade da máquina
6. Análise do Comportamento de Saída

Focar nas ameaças mais claras

Nós primeiro medimos a escala de emissão de tokens em plataformas de emissão, e o resultado foi chocante: mais de 50% dos tokens foram atacados na criação de blocos - o ataque de bloco se tornou o modo de emissão dominante, em vez de ser um caso marginal.

Na Solana, a participação na mesma blockchain geralmente requer: pré-assinatura de transações, coordenação off-chain, ou compartilhamento de infraestrutura entre o desenvolvedor e o comprador.

Nem todos os ataques de bloco na mesma área são igualmente maliciosos, existem pelo menos duas categorias de papéis: "robôs de pesca à sorte" - que testam heurísticas ou fazem pequenas especulações; insiders colaborativos - incluindo implementadores que fornecem financiamento para seus próprios compradores.

Para reduzir os falsos positivos e destacar os verdadeiros comportamentos colaborativos, incluímos um filtro rigoroso nos indicadores finais: apenas contabilizamos os ataques realizados com transferências diretas de SOL entre o implementador e as carteiras de ataque antes do lançamento. Isso nos permite identificar com confiança: as carteiras diretamente controladas pelo implementador, as carteiras que agem sob a direção do implementador e as carteiras que possuem canais internos.

Estudo de Caso 1: Financiamento Direto

A carteira do desenvolvedor enviou um total de 1,2 SOL para 3 carteiras diferentes, e depois emitiu um Token chamado SOL > BNB. As 3 carteiras que receberam o financiamento completaram a compra do Token no mesmo bloco em que foi criado, antes de se tornarem visíveis para o mercado mais amplo. Em seguida, elas venderam rapidamente para lucrar, executando uma saída relâmpago coordenada. Este é um exemplo clássico de como carteiras de sniper pré-financiadas atacam Tokens agrícolas, capturado diretamente pelo nosso método de cadeia de financiamento. Embora a técnica seja simples, ela se repete em grande escala em milhares de emissões.

Estudo de caso 2: financiamento multi-hop

Uma carteira está relacionada com múltiplos ataques a tokens. Esta entidade não investiu diretamente na carteira de ataque, mas enviou SOL através de 5 a 7 carteiras intermediárias até à carteira de ataque final, completando assim o ataque no mesmo bloco.

O nosso método atual apenas detecta algumas transferências preliminares do implementador, mas falha em capturar toda a cadeia de transferências para a carteira final de ataque. Estas carteiras de retransmissão são geralmente "usadas uma única vez", apenas para transmitir SOL, tornando difícil associá-las através de consultas simples. Esta lacuna não é uma falha de design, mas sim uma questão de compromisso de recursos computacionais - embora seja viável rastrear caminhos de fundos de múltiplos saltos em grandes volumes de dados, o custo é enorme. Portanto, a implementação atual prioriza ligações diretas de alta confiança para manter clareza e reprodutibilidade.

Descobrir

Focando no subconjunto "sniping na mesma blockchain + cadeia de financiamento direta", revelamos um comportamento colaborativo em blockchain que é amplo, estruturado e altamente lucrativo. Todos os dados a seguir cobrem o período de 15 de março até o presente:

1. É muito comum e sistemático que o sniping seja financiado por um mesmo bloco e pelo implementador.

   • No último mês, foram confirmados mais de 15.000 tokens que foram diretamente atacados por carteiras de investimento assim que foram lançados.
   • Envolve mais de 4.600 carteiras sniper e mais de 10.400 implementadores
   • ocupa cerca de 1,75% da emissão de tokens de uma plataforma de emissão

2. Este comportamento gera lucros em grande escala

   • O portfólio de aquisição direta já alcançou um lucro líquido >15,000 SOL
   • Taxa de sucesso de sniping 87%, muito poucas transações falhadas
   • Lucro típico de uma única carteira 1-100 SOL, poucos acima de 500 SOL

3. Repetição de implantação e direcionamento de sniping para a rede de agricultores

   • Muitos implementadores utilizam novas carteiras para criar em massa dezenas a centenas de tokens
   • Algumas carteiras de sniper executam centenas de snipes em um dia
   • Observou-se a estrutura "centro-radial": uma carteira financia várias carteiras de sniper, todas atacando o mesmo Token.

4. O sniping apresenta um padrão temporal centrado no ser humano

   • Picos de atividade entre UTC 14:00-23:00; UTC 00:00-08:00 quase parados
   • Alinhado com o horário de trabalho dos EUA, indica que é acionado manualmente ou por cron, e não é totalmente automático 24 horas por dia.

5. Confusão de propriedade entre carteiras únicas e transações multi-assinatura

   • O deployer financia vários wallets simultaneamente e assina o ataque na mesma transação.
   • Estas carteiras não irão assinar mais nenhuma transação
   • O implementador divide a compra inicial em 2-4 carteiras, disfarçando a demanda real

Comportamento de Saída

Para entender melhor como essas carteiras saem, dividimos os dados em duas grandes dimensões de comportamento:

1. Velocidade de saída - Desde a primeira compra até a venda final.
2. Número de vendas - Quantidade de transações de venda independentes utilizadas para a saída

conclusão de dados

1. Velocidade de saída

   • 55% dos snipers foram vendidos em 1 minuto
   • 85% liquidadas em 5 minutos
   • 11% concluído em 15 segundos

2. Número de vendas

   • Mais de 90% das carteiras de sniper saem apenas com 1-2 ordens de venda.
   • Raramente utiliza a venda progressiva

3. Tendência de lucros

   • O mais lucrativo é<1 minuto de saída da carteira, seguido de<5 minutos
   • Embora manter por mais tempo ou vender várias vezes resulte em um lucro médio ligeiramente mais alto, a quantidade é extremamente baixa, contribuindo de forma limitada para o lucro total

explicação

Esses padrões indicam: o sniper financiado pelo implantador não é uma atividade de negociação, mas sim uma estratégia de extração automatizada e de baixo risco:

• Comprar antecipadamente → Vender rapidamente → Sair completamente
• A venda única representa a falta de preocupação com a volatilidade dos preços, utilizando apenas a oportunidade para vender.
• Algumas estratégias de saída mais complexas são apenas exceções, modos não convencionais.

Conclusão

Este relatório revela uma estratégia de extração contínua, estruturada e altamente lucrativa de emissão de tokens Solana: sniper no mesmo bloco financiado pelo implementador. Ao rastrear as transferências diretas de SOL do implementador para a carteira de sniper, identificamos um conjunto de comportamentos no estilo de insider, aproveitando a arquitetura de alta capacidade de processamento do Solana para extrações colaborativas.

Embora este método capture apenas uma parte da especulação em bloco, sua escala e padrão indicam que: não se trata de especulação pontual, mas sim de operadores com posição privilegiada, sistemas repetíveis e intenções claras. A importância dessa estratégia está refletida em:

1. Distorcer os sinais de mercado iniciais, fazendo com que o Token pareça mais atraente ou competitivo
2. Perigo para os investidores de retalho - Eles tornam-se liquidez de saída sem saber.
3. Enfraquecer a confiança na emissão de tokens aberta, especialmente em plataformas de emissão de tokens que buscam velocidade e facilidade de uso.

Para aliviar este problema, não é apenas necessária uma defesa passiva, mas também melhores heurísticas, alertas de front-end, barreiras a nível de protocolo, bem como esforços contínuos para mapear e monitorar comportamentos colaborativos. As ferramentas de detecção já existem - o problema é saber se o ecossistema está realmente disposto a aplicá-las.

Este relatório deu o primeiro passo: forneceu um filtro confiável e reproduzível para identificar os comportamentos colaborativos mais evidentes. Mas isso é apenas o começo. O verdadeiro desafio está em detectar estratégias altamente confusas e em constante evolução, e em criar uma cultura on-chain que recompense a transparência em vez de extrair.