Итоговый отчет

Этот отчет исследует широко распространенный и координированный образец фермерства мемкойнов на Solana, где развертчики токенов финансируют снайперские кошельки, которые покупают их токены в том же блоке, в котором запущен токен. Мы выделяем высокодостоверное подмножество добыческого поведения, сосредотачиваясь на четких, доказуемых финансовых связях между развертчиками и снайперами.

Наш анализ показывает, что эта тактика не является редкой или периферийной - только за последний месяц через этот метод было извлечено более 15 000 SOL реализованной прибыли на более чем 15 000 запусков, включающих 4 600+ снайперских кошельков и 10 400+ развертывающих. Эти кошельки демонстрируют необычно высокие показатели успеха (87% снайперов были прибыльными), чистые выходы и структурированные операционные шаблоны.

Основные результаты включают:

• Финансирование развертывателя прицельно, систематично, прибыльно и часто автоматизировано, с активностью прицеливания, сконцентрированной во время рабочего времени в США.
• Многоуровневые фермерские структуры распространены, часто используя временные кошельки и координированные выходы для имитации реального спроса.
• Тактики затруднения, такие как многоходовые цепочки финансирования и множественные транзакции с подписью, все чаще используются для избегания обнаружения.
• Несмотря на его ограничения, наш фильтр финансирования с одним прыжком выдает наиболее ясные и повторяемые примеры деятельности в стиле инсайдера в масштабе.

Этот отчет также предлагает набор действенных эвристик, которые могут помочь командам протоколов и фронтендам идентифицировать, выявлять и реагировать на этот класс деятельности в реальном времени, включая отслеживание концентрации ранних держателей, пометку кошельков, связанных с развертыванием, и выдачу предупреждений фронтенду о запусках высокого риска.

Хотя наш анализ охватывает лишь часть всех случаев одновременного снипинга в одном блоке, масштаб, структура и прибыльность этих схем свидетельствуют о том, что запуски токенов на Solana активно манипулируются сетями координированных участников, а существующие защитные меры недостаточны.

Методология

Этот анализ начался с конкретной цели: выявить кошельки и поведение, указывающие на координированное фарминг меме-монет на Solana, особенно в случаях, когда развертыватели токенов финансируют кошельки для снайпинга в том же блоке, в котором запускается токен.

Мы разбили проблему на несколько этапов:

1. Фильтрация для сниперов в том же блоке

Сначала мы выделили токены, которые были подхвачены в том же блоке, в котором они были развернуты. Это поведение крайне маловероятно быть органическим из-за:

• Отсутствие глобального пула транзакций на Solana
• Необходимое понимание токена перед его появлением в общедоступном интерфейсе
• Ограничения по времени между размещением токена и первым взаимодействием с DEX

Одинаковые блок-снайперы использовались в качестве высокосигнального фильтра для выявления потенциального сговора или привилегированной деятельности.

2. Идентификация кошельков, связанных с развертыванием

Чтобы различать опытных снайперов и координированных внутренних лиц, мы отслеживали переводы SOL между развертывающими и снайперами перед каждым запуском токена. Мы пометили кошельки, которые:

• Получено SOL непосредственно от развертывателя
• Отправлено SOL на деплоер

Только кошельки с прямыми предварительными переводами между снайпером и развертывающимся были включены в конечный набор данных.

3. Привязка Снайперов к прибыли токенов

Мы отобразили торговую активность каждого снайперского кошелька для токенов, которые они захватили. Конкретно, мы рассчитали:

• Общая сумма SOL, потраченная на приобретение токена
• Общая сумма SOL, полученная от продажи на DEXs
• Чистая реализованная прибыль, а не только номинальные доходы

Это позволило нам присвоить точную прибыль, извлеченную из каждого связанного снайпера.

4. Измерение масштаба и поведение кошелька

Мы проанализировали объем этой деятельности по нескольким осям:

• Количество уникальных развертывателей и снайперских кошельков
• Общее количество подтвержденных коллузионных одновременных снипов на одном блоке
• Распределение прибыли от снайперов
• Количество токенов, запущенных на каждого разместителя
• Повторное использование снайперских кошельков по разным токенам

5. Отпечаток активности бота

Для понимания того, как выполнялись эти операции, мы сгруппировали деятельность по снайпингу по часам дня (UTC). Это выявило яркие временные шаблоны дня:

• Активность сосредоточена в определенные временные интервалы
• Снижение во время поздних ночных часов по Всемирному координированному времени
• Подразумевающий расписание заданий, выровненных на США, или ручные окна выполнения, а не глобальная или непрерывная автоматизация.

6. Анализ поведения при выходе

Наконец, мы исследовали, как кошельки, связанные с развертчиком, покидали свои позиции по токенам — как по длительности удержания, так и по числу сделок, использованных для ликвидации их позиции.

• Мы измерили время, прошедшее между первой покупкой и окончательной продажей (продолжительность удержания).
• Мы посчитали количество различных продажных транзакций (обменов) на каждый кошелек на токен.

Это помогло нам определить, следовали ли кошельки стратегиям быстрой ликвидации или более постепенной стратегии продаж, и в какой степени скорость выхода коррелировала с прибыльностью.

Направление наиболее явных угроз

В качестве первого шага мы измерили масштаб одновременного снайпинга в том же блокеpump.funЗапуски. То, что мы обнаружили, было поразительным: более 50% токенов теперь выхватываются в точном блоке, в котором они созданы, до того как их можно было бы обнаружить через общедоступные RPC или интерфейсы. Выхватывание в том же блоке больше не редкий случай; это доминирующий шаблон запуска.

Это поведение по своей сути подозрительно. На Solana участие в одном блоке обычно требует:

• Транзакции с предварительной подписью
• Внебиржевая координация
• Или общая инфраструктура между развертывающим и покупателем

Однако важно отметить, что мы заметили, что не вся атака на один блок одинаково злонамеренна. Существует по крайней мере две категории участников:

• Боты типа "спрей и молитесь", вероятно, тестируют эвристику или делают обслуживание
• Согласованные внутренники, включая развертывающих финансирующих своих собственных покупателей

Для уменьшения ложноположительных результатов и выявления истинной координации мы ввели строгий фильтр в наши окончательные метрики активности: Мы включили только сниперы, где был прямой перевод SOL между развертывающим и кошельком снипинга перед запуском токена.

Этот подход позволяет нам уверенно выявлять кошельки, которые либо:

• Непосредственно контролируется развертывающим
• Действуя по указанию развертывающего
• Привилегированный доступ к внутренней информации

Case Study 1: Прямое финансирование (попавшее в нашу методологию)

В этом случае кошелек развертывания 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE отправил 1.2 SOL по трем отдельным кошелькам. Вы можетепросмотреть существо на Аркхем здесь. Затем был развернут токен под названием SOL>BNB. Все три финансируемых кошелька поймали токен в том же блоке, в котором он был создан, обеспечив ранний доступ до того, как он стал видимым для широкого рынка.

Эти кошельки быстро продали свои выделения с прибылью, осуществляя быстрые, координированные выходы. Этот случай является типичным примером фермерства токенов с помощью заранее финансированных снайперских кошельков и был непосредственно захвачен нашим методом обнаружения на основе финансирования. Несмотря на его простоту, такой тип операции выполняется в масштабе через тысячи запусков.

Case Study 2: Multi-Hop Funding (Пропущено нашей методологией)

В этом случае кошелек GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA был связан с несколькими токен-снайперами. Вместо прямого финансирования кошельков снайперов, эта сущность маршрутизирует SOL через ряд промежуточных кошельков — часто на глубину 5 до 7 переходов — перед тем, как конечный кошелек выполнит снайпинг в том же блоке.

Наша текущая методология, которая фокусируется на прямых финансовых связях, смогла обнаружить некоторые из первоначальных переводов от развертывателя, но не захватила всю цепочку, приводящую к конечным снайперам. Эти промежуточные кошельки обычно используются только один раз, служа исключительно для прохождения через SOL, что делает их сложными для связывания через простые запросы.

Этот шаблон не был пропущен из-за ограничений дизайна, а был компромиссом в вычислениях. Отслеживание путей финансирования через несколько шагов с временными ограничениями технически возможно, но требует больших ресурсов при масштабировании. В результате наша текущая реализация приоритизирует высокодостоверные прямые связи для ясности и воспроизводимости.

Для визуализации этой более крупной финансовой цепочки мы использовалиИнструмент визуализации Arkham, который графически отображает поток средств от исходного кошелька финансирования через цепочку оболочечных кошельков к конечному кошельку развертывания. Это визуальное пособие подчеркивает изощренные методы, используемые для затемнения происхождения средств, и выделяет области для будущего улучшения наших методологий обнаружения.

Почему мы фокусируемся на прямофинансируемых снайперах из того же блока

Для остатка этой статьи мы сосредотачиваемся исключительно на сниперах того же блока, где кошелек получил прямое финансирование от развертывающего до запуска. Эти кошельки несут ответственность за существенные прибыли, используют минимальное затемнение и представляют собой наиболее действенный поднабор злонамеренной деятельности. Изучение их предлагает ясное представление о эвристиках, необходимых для обнаружения и смягчения более продвинутых стратегий извлечения.

Находки

Сосредотачиваясь конкретно на снайперах в одном блоке, где у снайпера была прямая ссылка на трансфер SOL к развертывающему, наше расследование выявило широко распространенный, структурированный и высокодоходный шаблон он-чейн координации. Хотя этот фильтр захватывает только подмножество всех действий по снайпингу, он раскрывает несколько ключевых шаблонов из этого подмножества высокодоверительных событий. Вся информация в этом разделе отражает активность, наблюдаемую с 15 марта по настоящее время.

1. То же самое развертывание, финансируемое разработчиком, является обычным и систематическим

Мы выявили более 15 000 токенов, где запуск сразу же был перехвачен кошельком, который непосредственно обменивал SOL с развертывающим до запуска в течение прошлого месяца. Этот шаблон:

• Вовлечено 4 600+ снайперских кошельков
• Было выполнено более 10 400 уникальных развертывателей

Это неизолированные случаи — такое поведение составляет примерно 1,75% активности запуска наpump.fun.

2. Это поведение прибыльно в масштабе

Кошельки, участвующие в финансировании развертывания, совершают выручку более 15 000 SOL в чистой прибыли за последний месяц на основе отслеживаемой активности обмена on-chain. Эти кошельки систематически демонстрировали высокие показатели успешности (87% обменов токенов были прибыльными), чистое выполнение с минимальным количеством неудачных транзакций и диапазон прибыли обычно составляет от 1 до 100 SOL на кошелек, с несколькими выбросами, превышающими 500 SOL.

3. Повторные развертыватели и снайперы указывают на фермерские сети

• Многие развертыватели создали десятки до сотен токенов, используя новые кошельки
• Некоторые снайперские кошельки выполняли сотни снайперских выстрелов, часто в течение одного дня
• Мы наблюдали структуры типа "муха-мед и ракушка", где один кошелек финансировал несколько кошельков снайпера, которые все действовали с одним и тем же токеном

Это указывает на наличие многоуровневых операций фермерства кошельков, построенных для имитации распределенного начального спроса при сохранении централизованного контроля и прибыли.

4. Снайпинг следует за временными шаблонами, ориентированными на человека

Разбивка по времени суток показала, что активность снайпинга сосредоточена между 14:00 и 23:00 по UTC, с минимальной активностью с 00:00 до 08:00 по UTC.

Этот узор:

• Выравнивается с рабочим временем в США
• Предполагается, что боты запускаются вручную или по расписанию cron
• Подчеркивает, что это централизованная и преднамеренная операция.

5. Одноразовые кошельки и многоадресные транзакции затрудняют определение владельца (Пример Развертывающего)

Мы нашли множество случаев, где:

• Разработчики финансировали несколько кошельков, которые все подписали и использовали в одной транзакции
• Эти кошельки больше никогда не подписывали других транзакций (кошельки-зажигалки)
• Разработчики делят первоначальные покупки токенов между 2–4 кошельками, чтобы имитировать реальный спрос

Эти шаблоны показывают умышленное затемнение собственности, а не торговлю.

Поведение при выходе

Основываясь на основных выводах о финансировании развертывания в том же блоке, мы стремились лучше понять, как эти кошельки фактически выходят из своих позиций, как только токены приобретены. В то время как определение того, кто снайпер и когда это критично, понимание того, как долго удерживаются токены и насколько агрессивно они продаются, добавляет более глубокий слой контекста к механике этой экстрактивной стратегии.

Для этого мы разбили данные по двум поведенческим измерениям:

• Время выхода: Продолжительность между первой покупкой токена кошелька (снип) и его окончательной продажей этого токена.
• Количество свопов: количество различных продажных транзакций (свопов), использованных кошельком для выхода из позиции.

Вместе эти метрики дают нам понимание как к рисковой составляющей снайперских кошельков, так и к сложности их стратегий исполнения. Выбрасывают ли эти кошельки все сразу в одной транзакции? Происходит ли выход поэтапно с течением времени? И как каждый подход влияет на прибыльность?

Что показывают данные

Скорость выхода:

Более 55% снайперов полностью выводятся менее чем за одну минуту, и почти 85% выводятся в течение пяти минут.

• Значительная доля — более 11% — завершается за 15 секунд или менее.

Продать Простота События:

В более чем 90% случаев снайперские кошельки продают свои токены всего лишь в одном или двух событиях обмена.

Очень немногие кошельки используют постепенные выходы или поэтапные стратегии продаж.

• Кошельки с большим количеством свопов обычно имеют незначительно более высокую прибыль.

Тенденции прибыльности:

Самая прибыльная группа по сравнению с другими - кошельки, которые выходят менее чем за одну минуту, за которыми следуют те, которые выходят менее чем за пять.

• Более длительные и более активные снайпы, которые включают продолжительные сроки удержания или несколько событий продажи, как правило, показывают более высокую среднюю прибыльность за каждое событие, но используются гораздо реже. В результате они приносят лишь небольшую долю общей извлеченной прибыли.

Как мы это понимаем

Эти шаблоны указывают на высокоавтоматизированную, экстрактивную стратегию. Большинство кошельков, связанных с развертчиками, не ведут себя как трейдеры или даже спекулятивные участники. Вместо этого они ведут себя как исполнительные боты:

• Войдите первым.
• Продавай быстро.
• Полностью выйдите.

Тот факт, что большинство выходов происходят в одной транзакции, указывает на минимальное желание взаимодействовать с динамикой цен или рынком. Эти кошельки не тестируют максимумы, не усредняются и не адаптируются к волатильности — они опережают спрос и как можно быстрее выгружают свои активы.

Хотя некоторые кошельки проявляют более сложное поведение при выходе - используя несколько продаж или более длительные периоды удержания, их доходы лишь незначительно лучше, и они составляют очень малую долю активности. Это исключения, а не модель.

В конечном итоге данные ясно показывают: финансирование деплоера снайпинга не связано с торговлей - это автоматизированное, низкорисковое извлечение. Чем быстрее выход, тем выше успешность. Такое поведение при выходе подтверждает идею того, что снайпинг в том же блоке не просто случайное явление; он спланирован для скорости, точности и прибыли.

Действенные идеи

Следующие рекомендации разработаны для помощи командам протоколов, строителям фронтенда и исследователям в выявлении и реагировании на паттерны экстрактивных или координированных запусков токенов. Переводя наблюдаемые поведенческие модели в эвристики, фильтры и предупреждения, эти идеи могут снизить риски и улучшить прозрачность для конечных пользователей.

Отображение поведения ранней кривой привязки

Большинство панелей инструментов токенов сосредотачиваются на текущей концентрации держателей, но некоторые из самых четких сигналов риска возникают ​​на первых 20-50 блоках торговли. Когда небольшое количество кошельков покупает большую часть предложения в начале, быстро выходит и все еще удерживает доминирующую долю, это указывает на структурно эксплуатационный запуск. Вместо непосредственного выделения токенов, интерфейсы должны выявлять метрики начальной стадии, которые помогают трейдерам развивать интуицию: общее количество купленных SOL в первые 10 блоков, Jito и оплаченные приоритетные сборы за ставку, процент объема от топовых x кошельков и текущий баланс этих ранних снайперов. Подчеркивая кластеризацию базовых затрат, поведение сжатого стакана ордеров и шаблоны выхода — без необходимости в атрибуции — в подключенных приложениях эти эвристики позволяют пользователям замечать, когда что-то не так до того, как это станет ликвидностью выхода.

Оценка риска на основе поведения кошелька и структуры запуска

Фронтенды должны принять систему маркировки риска с тире, отражающую как предыдущее поведение кошелька, так и подозрительную динамику запуска, помогая пользователям избежать превращения в ликвидность выхода.

Флаги жесткого риска для рецидивистов

Кошельки с историей снайпинга в том же блоке, особенно когда они связаны с развертчиками через прямые или многоходовые потоки финансирования, должны иметь постоянный, высокорискованный маркер. Если эти кошельки взаимодействуют с новым токеном, фронтенд должен отображать сильное предупреждение, через которое сложно пройти (например, модальное подтверждение, отключенное по умолчанию). Это кошельки, которые многократно извлекали ценность от пользователей на протяжении нескольких запусков и их не следует рассматривать как чистых участников.

Мягкие предупреждения о структурных сигналах тревоги

Токены, проявляющие стрельбу первым блоком, высокую концентрацию ранних держателей или сжатое поведение раннего ордер-бука (например, 50% объема в первых 10 блоках, топ-3 кошелька удерживают 80% предложения), должны получить легкую подпись предупреждения, которую можно навести, чтобы увидеть конкретные сработавшие эвристики (например, “засечено в том же блоке,” “верхний кошелек вышел менее чем за 30 секунд,” “ранние покупки от кошельков с повторным финансированием”), что даст им контекст перед принятием решения.

Эта система не пытается доказать злонамеренные намерения — она отмечает повторяющееся экстрактивное поведение

и запускать шаблоны с плохой оптикой справедливости, что облегчает обычным пользователям обнаруживать плохие настройки без необходимости читать контракт или отслеживать потоки финансирования сами по себе.

Превосходство статической кластеризации

Статическая маркировка кошелька недостаточна. Как только эвристика становится общедоступной, злоумышленники адаптируются, поворачивая кошельки, имитируя розничное поведение и подделывая признаки легитимности. Чтобы оставаться эффективными, системы обнаружения должны двигаться в сторону адаптивных маркировочных фреймворков, которые обновляются непрерывно по мере изменения шаблонов атакующих.

Вместо зашитых меток кошелькам следует присваивать оценки доверия, отражающие поведенческие шаблоны со временем: возраст кошелька, межприложенная активность, предыдущее поведение при продаже, продолжительность удержания и кластеризация с известными извлекателями. Эти оценки должны отдавать предпочтение кошелькам, которые понесли реальные затраты, чтобы казаться надежными — капитал, время или глубина использования — при этом наказывая кошельки, проявляющие поверхностное, высокочастотное извлекательное поведение.

Сделав путь к «чистому» участию более дорогостоящим и трассируемым, платформы могут снизить жизнеспособность массового спам-ферминга, даже без идеальной атрибуции.

Заключение

Выводы этого отчета подчеркивают устойчивую, структурированную и прибыльную тактику, используемую при запуске токенов Solana: снайпинг, финансируемый разработчиком в том же блоке. Отслеживая прямые переводы SOL от разработчиков к снайперам, мы выделяем явный поднабор поведений в стиле 'инсайдера', которые используют архитектуру высокой пропускной способности Solana для координированного извлечения.

Хотя наш методология улавливает только часть общей активности по снайпингу в один блок, кошельки и шаблоны, которые она выявляет, оставляют мало сомнений — это не случайные трейдеры; это операторы с привилегированным положением, повторяемыми системами и ясным намерением. Масштаб и частота этой активности показывают, что координированное фарминг мемкойнов не является нишевой тактикой — это нормализованный сценарий, выполняемый тысячи раз в неделю.

Это имеет значение по трём причинам:

• Это исказит ранние сигналы рынка, делая токены более желательными или конкурентоспособными, чем они есть.
• Это угрожает розничным участникам, которые не подозревают, что служат в качестве ликвидности для предварительно финансируемых участников.
• Это подрывает доверие к открытым запускам токенов, особенно на платформах вродеpump.funкоторые оптимизированы для скорости и доступности.

Для смягчения этого поведения потребуется не только реактивная защита. Это требует лучших эвристик, предупреждений на уровне интерфейса, протокольных средств защиты и постоянных усилий по отслеживанию и мониторингу координированных действующих лиц. Инструменты для обнаружения существуют — вопрос в том, выберет ли экосистема применять их.

Этот отчет предлагает первый шаг: надежный, воспроизводимый фильтр, который выделяет наиболее явные случаи координации. Но это только начало. Настоящее испытание заключается в выявлении затуманенных, развивающихся стратегий — и создании культуры on-chain, которая поощряет прозрачность над извлечением.

Отказ от ответственности:

1. Эта статья представлена [ Аналитика Pine]. Все авторские права принадлежат оригинальному автору [Аналитика Pine]. Если есть возражения к этому повторному изданию, пожалуйста, свяжитесь с Gate Learnкоманды, и они незамедлительно разберутся с этим.
2. Отказ от ответственности: Взгляды и мнения, высказанные в этой статье, являются исключительно мнением автора и не являются инвестиционным советом.
3. Команда Gate Learn переводит статью на другие языки. Копирование, распространение или плагиат переведенных статей запрещены, если не указано иное.