Nghiên cứu mô hình phối hợp tấn công trong phát hành token trên Solana

Tóm tắt

Báo cáo này điều tra một mô hình meme token farming phổ biến và có tính hợp tác cao trên Solana: những người phát hành token chuyển SOL vào "ví bắn tỉa", cho phép những ví này mua token trong cùng một khối khi token được ra mắt. Bằng cách tập trung vào chuỗi tài chính rõ ràng và có thể chứng minh giữa người phát hành và những kẻ bắn tỉa, chúng tôi đã xác định một nhóm hành vi rút tiền có độ tin cậy cao.

Phân tích cho thấy, chiến lược này không phải là hiện tượng ngẫu nhiên, cũng không phải là hành vi biên giới. Chỉ trong tháng qua, đã rút ra hơn 15,000 SOL lợi nhuận thực hiện từ hơn 15,000 lần phát hành token theo cách này, liên quan đến hơn 4,600 ví săn và hơn 10,400 nhà phát triển. Những ví này thể hiện tỷ lệ thành công bất thường cao (87% lợi nhuận từ việc săn ), cách thoát sạch sẽ và mô hình hoạt động có cấu trúc.

Phát hiện chính:

• Thiết bị ngắm bắn được tài trợ bởi người triển khai có tính hệ thống, sinh lợi và thường được tự động hóa, hoạt động ngắm bắn tập trung chủ yếu trong giờ làm việc ở Mỹ.
• Cấu trúc nông nghiệp đa ví rất phổ biến, thường sử dụng ví tạm thời và phối hợp rút để mô phỏng nhu cầu thực tế.
• Các phương pháp mờ ám đang không ngừng nâng cao, chẳng hạn như chuỗi vốn nhiều bước và giao dịch ký tên đa chữ ký, để tránh bị phát hiện.
• Mặc dù có giới hạn, bộ lọc tài chính một lần vẫn có thể nắm bắt những ví dụ về hành vi "nội bộ" quy mô lớn rõ ràng và có thể lặp lại.
• Báo cáo này đề xuất một phương pháp khai thác có thể hành động, giúp các nhóm giao thức và giao diện người dùng nhận diện, đánh dấu và ứng phó với các hoạt động như vậy - bao gồm theo dõi độ tập trung nắm giữ ban đầu, gán nhãn cho ví liên quan đến nhà phát hành, và đưa ra cảnh báo trước cho người dùng trong các đợt phát hành có rủi ro cao.

Mặc dù phân tích chỉ bao gồm một tập con của hành vi chộp lấy khối trong cùng một khu vực, nhưng quy mô, cấu trúc và khả năng sinh lời của nó cho thấy: việc phát hành token Solana đang bị thao túng tích cực bởi một mạng lưới phối hợp, trong khi đó các biện pháp phòng ngừa hiện tại là hoàn toàn không đủ.

Phương pháp luận

Phân tích này bắt đầu với một mục tiêu rõ ràng: nhận diện hành vi hợp tác của các đồng meme token trên Solana, đặc biệt là trường hợp nhà phát hành cung cấp vốn cho ví săn lùng trong cùng một khối khi token được phát hành. Chúng tôi chia vấn đề thành các giai đoạn sau:

1. Lọc cùng khu vực nhắm mục tiêu
2. Nhận diện ví liên kết với người phát hành
3. Liên kết việc sniping với lợi nhuận từ token
4. Đo lường quy mô và hành vi ví
5. Dấu vết hoạt động của máy
6. Phân tích hành vi rút lui

Tập trung vào mối đe dọa rõ ràng nhất

Chúng tôi đã đo lường quy mô của việc phát hành token trên nền tảng, và kết quả thật đáng kinh ngạc: Hơn 50% token đã bị nhắm mục tiêu ngay khi khối được tạo ra - việc nhắm mục tiêu khối đã trở thành mô hình phát hành chủ đạo.

Trên Solana, việc tham gia cùng khối thường yêu cầu: giao dịch được ký trước, điều phối ngoài chuỗi, hoặc người triển khai chia sẻ cơ sở hạ tầng với người mua.

Không phải tất cả các kẻ đánh cược trong cùng một khu vực đều có ác ý như nhau, ít nhất có hai loại vai trò: "robot thử vận may" - thử nghiệm các phương pháp heuristics hoặc đầu tư nhỏ; người bên trong hợp tác - bao gồm cả người triển khai cung cấp vốn cho người mua của chính họ.

Để giảm thiểu báo cáo sai và làm nổi bật hành vi hợp tác thực sự, chúng tôi đã bổ sung bộ lọc nghiêm ngặt vào chỉ số cuối cùng: chỉ thống kê các sự kiện bắn vào có chuyển SOL trực tiếp giữa người triển khai trước khi lên sàn và ví bắn. Điều này cho phép chúng tôi tự tin xác định: ví được kiểm soát trực tiếp bởi người triển khai, ví hoạt động dưới sự chỉ huy của người triển khai, và ví có kênh nội bộ.

Nghiên cứu trường hợp 1: tài trợ trực tiếp

Ví của nhà phát triển đã gửi tổng cộng 1.2 SOL tới 3 ví khác nhau, sau đó phát hành một token có tên là SOL > BNB. Ba ví nhận vốn đã hoàn thành việc mua bán trong cùng một khối mà token được tạo ra, trước khi nó có thể nhìn thấy trên thị trường rộng hơn. Sau đó, chúng nhanh chóng bán ra để thu lợi, thực hiện một cuộc rút lui chớp nhoáng đồng bộ. Đây là một ví dụ sách giáo khoa về việc sử dụng ví săn lùng vốn trước để bơm token nông trại, được phương pháp chuỗi vốn của chúng tôi ghi lại một cách trực tiếp. Mặc dù kỹ thuật đơn giản, nhưng nó đã diễn ra quy mô lớn trong hàng nghìn lần phát hành.

Nghiên cứu trường hợp 2: Tài trợ đa bước

Một ví liên quan đến việc nhiều lần tấn công token. Thực thể này không trực tiếp đầu tư vào ví tấn công, mà chuyển SOL qua 5-7 ví trung gian trước khi đến ví tấn công cuối cùng, từ đó thực hiện tấn công trong cùng một khối.

Phương pháp hiện tại của chúng tôi chỉ phát hiện được một số giao dịch ban đầu của người triển khai, nhưng không thể theo dõi toàn bộ chuỗi đến ví mục tiêu cuối cùng. Những ví trung gian này thường "được sử dụng một lần", chỉ để truyền SOL, làm cho việc liên kết qua các truy vấn đơn giản trở nên khó khăn. Lỗ hổng này không phải là khuyết điểm thiết kế, mà là do sự đánh đổi về tài nguyên tính toán - việc theo dõi các con đường tài chính đa bước trong dữ liệu quy mô lớn mặc dù khả thi, nhưng tốn kém rất nhiều. Do đó, việc thực hiện hiện tại ưu tiên chọn các liên kết trực tiếp có độ tin cậy cao để giữ cho rõ ràng và có thể tái hiện.

Khám phá

Tập trung vào "sát thương trong cùng khu vực + chuỗi tài chính trực tiếp" trong tập hợp này, chúng tôi tiết lộ một hành vi hợp tác trên chuỗi rộng rãi, có cấu trúc và có lợi nhuận cao. Dữ liệu dưới đây bao gồm từ ngày 15 tháng 3 đến nay:

1. Sniping trong cùng khối và được tài trợ bởi người triển khai là rất phổ biến và có hệ thống.

   • Trong tháng qua, đã xác nhận hơn 15,000 token bị săn lùng trực tiếp ngay khi lên sàn.
   • Liên quan đến 4,600+ ví sniping, 10,400+ nhà triển khai
   • Chiếm khoảng 1.75% tổng phát hành của một nền tảng phát hành token nào đó.

2. Hành vi này mang lại lợi nhuận lớn.

   • Đã đạt được lợi nhuận ròng >15,000 SOL từ ví săn vốn trực tiếp
   • Tỷ lệ thành công của việc bắn tỉa 87%, giao dịch thất bại rất ít
   • Lợi nhuận điển hình của một ví là 1-100 SOL, một số ít vượt quá 500 SOL

3. Triển khai lặp lại và nhắm mục tiêu vào mạng lưới nông dân

   • Nhiều người triển khai sử dụng ví mới để tạo hàng loạt từ vài chục đến hàng trăm Token.
   • Một số ví săn chắc thực hiện hàng trăm lần săn trong một ngày.
   • Quan sát cấu trúc "trung tâm-tỏa ra": một ví cấp vốn cho nhiều ví săn, tất cả đều săn cùng một token

4. Sniper trình bày mô hình thời gian lấy con người làm trung tâm

   • Đỉnh cao hoạt động vào UTC 14:00-23:00;UTC 00:00-08:00 gần như ngừng hoạt động
   • Phù hợp với giờ làm việc của Mỹ, cho thấy là kích hoạt bằng tay/cron, chứ không phải tự động 24 giờ toàn cầu.

5. Nhầm lẫn quyền sở hữu giữa ví một lần và giao dịch đa chữ ký

   • Người triển khai đầu tư vào nhiều ví cùng một lúc và ký tên vào việc tấn công trong cùng một giao dịch.
   • Những ví này sẽ không ký bất kỳ giao dịch nào nữa.
   • Người phát hành chia nhỏ giao dịch mua ban đầu thành 2-4 ví, ngụy trang nhu cầu thực sự

Hành vi thoát

Để hiểu sâu về cách các ví này rút lui, chúng tôi phân tích dữ liệu theo hai chiều hành vi lớn:

1. Tốc độ thoát - Thời gian từ lần mua đầu tiên đến lần bán cuối cùng
2. Số lượng bán ra - Số lượng giao dịch bán độc lập sử dụng để thoát

kết luận dữ liệu

1. Tốc độ rút tiền

   • 55% lượng hàng đã được bán hết trong 1 phút
   • 85% trong 5 phút sẽ được thanh lý
   • 11% hoàn thành trong 15 giây

2. Số lượng giao dịch bán

   • Hơn 90% ví sniper chỉ sử dụng 1-2 lệnh bán để thoát ra
   • Hiếm khi áp dụng bán ra dần dần

3. Xu hướng lợi nhuận

   • Kiếm tiền nhất là ví rút tiền trong vòng <1 phút, kế tiếp là <5 phút
   • Việc giữ lâu hơn hoặc bán nhiều lần mặc dù lợi nhuận trung bình cho mỗi lần bán cao hơn một chút, nhưng số lượng rất ít, đóng góp hạn chế cho tổng lợi nhuận.

giải thích

Những mô hình này cho thấy: việc tài trợ cho sự tấn công của người triển khai không phải là hành vi giao dịch, mà là chiến lược rút vốn tự động, rủi ro thấp:

• Mua sớm → Bán nhanh → Hoàn toàn thoát ra
• Bán ra một lần thể hiện sự không quan tâm đến biến động giá, chỉ đơn giản là tận dụng cơ hội để bán.
• Một số chiến lược thoát phức tạp hơn chỉ là ngoại lệ, không phải mô hình chủ đạo.

Kết luận

Báo cáo này tiết lộ một chiến lược rút tiền phát hành token Solana liên tục, có cấu trúc và lợi nhuận cao: đánh chặn cùng khối được tài trợ bởi người phát hành. Bằng cách theo dõi các chuyển khoản SOL trực tiếp từ người phát hành đến ví đánh chặn, chúng tôi đã xác định được một nhóm hành vi kiểu nội bộ, tận dụng kiến trúc thông lượng cao của Solana để thực hiện rút tiền phối hợp.

Mặc dù phương pháp này chỉ bắt được một phần của việc săn lùng trong cùng một khối, nhưng quy mô và mô hình của nó cho thấy: đây không phải là sự đầu cơ rải rác, mà là những nhà điều hành có vị trí đặc quyền, hệ thống có thể lặp lại và ý định rõ ràng. Tầm quan trọng của chiến lược này thể hiện ở:

1. Bẻ cong tín hiệu thị trường sớm, khiến token có vẻ hấp dẫn hơn hoặc cạnh tranh hơn
2. Nguy cơ cho nhà đầu tư nhỏ lẻ - Họ trở thành người rút lui khỏi thanh khoản mà không hay biết.
3. Làm suy yếu niềm tin vào việc phát hành token mở, đặc biệt là trên các nền tảng phát hành token chú trọng vào tốc độ và tính dễ sử dụng.

Để giảm bớt vấn đề này, không chỉ cần phòng thủ thụ động mà còn bao gồm các phương pháp heuristic tốt hơn, cảnh báo trước ở đầu, rào cản ở cấp giao thức, cũng như nỗ lực liên tục để lập bản đồ và giám sát hành vi hợp tác. Các công cụ phát hiện đã tồn tại - vấn đề là hệ sinh thái có thực sự sẵn sàng áp dụng chúng hay không.

Báo cáo này đã thực hiện bước đầu tiên: cung cấp một bộ lọc đáng tin cậy và có thể tái tạo, nhằm xác định những hành vi đồng hành rõ ràng nhất. Nhưng đây chỉ là khởi đầu. Thách thức thực sự nằm ở việc phát hiện các chiến lược cực kỳ mơ hồ và đang liên tục phát triển, đồng thời xây dựng một văn hóa trên chuỗi, thưởng cho sự minh bạch chứ không phải cho việc trích xuất.