Résumé exécutif

Ce rapport enquête sur un schéma généralisé et coordonné de farming de memecoin sur Solana, où les créateurs de jetons financent des portefeuilles sniper qui achètent leurs jetons dans le même bloc que le jeton est lancé. Nous isolons un sous-ensemble de comportements extractifs à haute confiance en nous concentrant sur des liens de financement clairs et prouvables entre les créateurs et les snipers.

Notre analyse révèle que cette tactique n'est pas rare ou marginale - au cours du dernier mois seulement, plus de 15 000 SOL de bénéfices réalisés ont été extraits grâce à cette méthode, à travers plus de 15 000 lancements impliquant plus de 4 600 portefeuilles sniper et plus de 10 400 déploiements. Ces portefeuilles présentent des taux de réussite exceptionnellement élevés (87 % des snipes étaient rentables), des sorties propres et des schémas opérationnels structurés.

Les principales conclusions comprennent:

• Le sniping financé par le deployer est systématique, rentable et souvent automatisé, avec une activité de sniping concentrée pendant les heures de travail aux États-Unis.
• Les structures agricoles multi-portefeuilles sont courantes, utilisant souvent des portefeuilles temporaires et des sorties coordonnées pour simuler la demande réelle.
• Les tactiques d'obfuscation, telles que les chaînes de financement multi-sauts et les transactions de sniping multi-signataires, sont de plus en plus utilisées pour échapper à la détection.
• Malgré ses limites, notre filtre de financement en un seul saut fait ressortir les exemples les plus clairs et les plus répétables d'activités de type interne à grande échelle.

Ce rapport propose également un ensemble d'heuristiques exploitables qui peuvent aider les équipes de protocole et les interfaces à identifier, signaler et répondre à cette catégorie d'activité en temps réel, notamment en suivant la concentration précoce des détenteurs, en étiquetant les portefeuilles liés aux déployeurs et en émettant des avertissements aux interfaces pour les lancements à haut risque.

Bien que notre analyse ne capture qu'un sous-ensemble de tous les comportements de sniping sur le même bloc, l'ampleur, la structure et la rentabilité de ces modèles suggèrent que les lancements de jetons sur Solana sont activement manipulés par des réseaux d'acteurs coordonnés, et les défenses actuelles sont insuffisantes.

Méthodologie

Cette analyse a commencé avec un objectif précis : identifier les portefeuilles et les comportements indiquant une exploitation coordonnée des memecoins sur Solana, en particulier les cas où les créateurs de jetons financent les portefeuilles de sniping dans le même bloc où le jeton est lancé.

Nous avons divisé le problème en plusieurs étapes :

1. Filtrage des snipes du même bloc

Nous avons d'abord isolé les jetons qui ont été snipés dans le même bloc où ils ont été déployés. Ce comportement est extrêmement peu probable d'être organique en raison de :

• Le manque d'un mempool global sur Solana
• Connaissance requise du jeton avant qu'il n'apparaisse dans une interface publique
• Contraintes de timing entre le déploiement du jeton et la première interaction avec le DEX

Les snipes du même bloc ont été utilisés comme filtre à signal élevé pour détecter d'éventuelles collusions ou activités privilégiées.

2. Identifier les portefeuilles liés au deployer

Pour distinguer entre les tireurs d'élite qualifiés et les initiés coordonnés, nous avons suivi les transferts de SOL entre les déployeurs et les tireurs d'élite avant chaque lancement de jetons. Nous avons repéré les portefeuilles qui :

• Reçu SOL directement du déployeur
• Envoyé SOL au déployeur

Seuls les portefeuilles avec des transferts directs de pré-snipe entre le sniper et le déployeur ont été inclus dans l'ensemble de données final.

3. Relier les snipes aux bénéfices des jetons

Nous avons cartographié l'activité de trading de chaque portefeuille de sniper pour les jetons qu'ils ont snipés. Plus précisément, nous avons calculé:

• Montant total de SOL dépensé pour acquérir le jeton
• Montant total de SOL reçu de sa vente sur les DEX
• Bénéfice net réalisé, pas seulement des gains notionnels

Cela nous a permis d'attribuer le profit exact extrait de chaque snipe lié au déployeur.

4. Mesure de l'échelle et comportement du portefeuille

Nous avons analysé la portée de cette activité selon plusieurs axes :

• Nombre de déployeurs uniques et de portefeuilles sniper
• Nombre total de snipes collusifs confirmés sur le même bloc
• Distribution des bénéfices des snipers
• Nombre de jetons lancés par déploiement
• Réutilisation de portefeuilles de tireurs d'élite à travers les jetons

5. Empreinte d'activité des bots

Pour comprendre comment ces opérations étaient menées, nous avons regroupé l'activité de sniping par heure de la journée (UTC). Cela a révélé de forts schémas horaires :

• L'activité est concentrée dans des fenêtres temporelles spécifiques
• Les baisses pendant les heures tardives UTC
• Suggérant des emplois cron alignés sur les États-Unis ou des fenêtres d'exécution manuelle, plutôt que sur une automatisation globale ou continue.

6. Analyse du comportement de sortie

Enfin, nous avons examiné comment les portefeuilles liés au deployer ont quitté leurs positions en jeton sniped, tant en termes de durée de détention que du nombre de transactions utilisées pour dénouer leur position.

• Nous avons mesuré le temps écoulé entre le premier achat et la dernière vente (durée de possession).
• Nous avons compté le nombre de transactions de vente distinctes (échanges) par portefeuille par jeton.

Cela nous a aidés à identifier si les portefeuilles poursuivaient des stratégies de liquidation rapide ou de vente progressive, et dans quelle mesure la vitesse de sortie était corrélée à la rentabilité.

Cibler les menaces les plus claires

Dans un premier temps, nous avons mesuré l'ampleur du sniping dans le même bloc.pump.funLance. Ce que nous avons trouvé était frappant : plus de 50 % des jetons sont maintenant snipés dans le bloc exact où ils sont créés - avant qu'ils ne puissent raisonnablement être découverts via des RPC publics ou des interfaces. Le sniping dans le même bloc n'est plus un cas exceptionnel rare ; c'est désormais le schéma de lancement dominant.

Ce comportement est intrinsèquement suspect. Sur Solana, la participation au même bloc nécessite généralement :

• Transactions pré-signées
• Coordination hors chaîne
• Ou une infrastructure partagée entre le déployeur et l'acheteur

Mais surtout, nous avons observé que tous les snipings du même bloc ne sont pas également malveillants. Il existe au moins deux catégories d'acteurs :

• Bots de pulvérisation et de prière, probablement testant des heuristiques ou faisant des petits essais
• Insiders coordonnés, y compris les déployeurs finançant leurs propres acheteurs

Pour réduire les faux positifs et mettre en évidence une véritable coordination, nous avons introduit un filtre strict dans nos dernières mesures d'activité : Nous n'avons inclus que les snipes où il y avait un transfert SOL direct entre le déploiement et le portefeuille de sniping avant le lancement du jeton.

Cette approche nous permet de mettre en avant en toute confiance des portefeuilles qui sont soit :

• Directement contrôlé par le déployeur
• Agissant sous la direction du déployeur
• Privilégié avec un accès privilégié

Étude de cas 1 : Financement direct (Pris par notre méthodologie)

Dans ce cas, le portefeuille de déploiement 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE a envoyé 1.2 SOL à travers trois portefeuilles distincts. Vous pouvezvoir l'entité sur Arkham iciIl a ensuite déployé un jeton appelé SOL>BNB. Les trois portefeuilles financés ont snipé le jeton dans le même bloc où il a été créé, assurant un accès précoce avant qu'il ne soit visible sur le marché plus large.

Ces portefeuilles ont rapidement vendu leurs allocations pour réaliser un profit, exécutant des sorties rapides et coordonnées. Il s'agit d'un exemple type de ferme de jetons via des portefeuilles-snipers pré-financés, et a été directement capturé par notre méthode de détection basée sur le financement. Malgré sa simplicité, ce type d'opération est exécuté à grande échelle à travers des milliers de lancements.

Étude de cas 2 : Financement multi-sauts (manqué par notre méthodologie)

Dans ce cas, le portefeuille GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA a été associé à plusieurs snipers de jetons. Au lieu de financer directement les portefeuilles de sniper, cette entité route le SOL à travers une série de portefeuilles intermédiaires - souvent 5 à 7 sauts en profondeur - avant que le portefeuille final exécute le snipe dans le même bloc.

Notre méthodologie actuelle, qui se concentre sur des liens de financement directs, a pu détecter certaines des premières transactions du déployeur, mais n'a pas capturé l'ensemble de la chaîne menant aux snipers finaux. Ces portefeuilles intermédiaires sont généralement utilisés une seule fois, servant uniquement à passer par SOL, ce qui les rend difficiles à relier par des requêtes simples.

Ce motif n'a pas été négligé en raison de limitations de conception mais était un compromis computationnel. Tracer des chemins de financement à travers plusieurs sauts avec des contraintes temporelles est techniquement réalisable mais gourmand en ressources à grande échelle. En conséquence, notre implémentation actuelle privilégie les liens directs à haute confiance pour la clarté et la reproductibilité.

Pour visualiser cette chaîne de financement plus importante, nous avons utiliséOutil de visualisation d'Arkham, qui représente graphiquement le flux de fonds du portefeuille de financement initial à travers la chaîne de portefeuilles coquilles jusqu'au portefeuille de déploiement final. Cet aide visuelle souligne les méthodes sophistiquées utilisées pour obscurcir l'origine des fonds et met en évidence les domaines pour des améliorations futures dans nos méthodologies de détection.

Pourquoi nous nous concentrons sur les snipers financés directement dans le même bloc

Pour le reste de ce document, nous nous concentrons exclusivement sur les snipes du même bloc où le portefeuille a reçu un financement direct du déployeur avant le lancement. Ces portefeuilles sont responsables de profits substantiels, utilisent une obfuscation minimale et représentent le sous-ensemble d'activités malveillantes le plus exploitable. Les étudier offre une fenêtre claire sur les heuristiques nécessaires pour détecter et atténuer des stratégies d'extraction plus avancées.

Résultats

En se concentrant spécifiquement sur les snipes du même bloc où le portefeuille de sniping avait un lien de transfert SOL direct vers le déployeur, notre enquête a révélé un schéma étendu, structuré et hautement rentable de coordination on-chain. Bien que ce filtre ne capture qu'un sous-ensemble de toutes les activités de sniping, il révèle plusieurs schémas clés de ce sous-ensemble à haute confiance. Toutes les données de cette section reflètent l'activité observée entre le 15 mars et aujourd'hui.

1. Le sniping financé par le déployeur dans le même bloc est courant et systématique

Nous avons identifié plus de 15 000 jetons où le lancement a été immédiatement snipé par un portefeuille qui avait échangé directement des SOL avec le déploiement avant le lancement au cours du mois dernier. Ce schéma :

• Impliqué 4 600+ portefeuilles de sniper
• A été exécuté par plus de 10 400 déployeurs uniques

Il ne s'agit pas d'incidents isolés — ce comportement représente environ 1,75 % de l'activité de lancement surpump.fun.

2. Ce comportement est rentable à grande échelle

Les portefeuilles engagés dans le sniping financé par le déploiement dans le même bloc ont extrait plus de 15 000 SOL de bénéfice net réalisé au cours du mois dernier, sur la base de l'activité de swap suivie on-chain. Ces portefeuilles ont régulièrement démontré des taux de réussite élevés (87% des snipes de swap de jetons étaient rentables), une exécution propre avec un nombre minimal de transactions échouées, et des gammes de bénéfices généralement comprises entre 1 et 100 SOL par portefeuille, avec quelques valeurs aberrantes dépassant 500 SOL.

3. Les déploiements répétés et les tireurs d'élite pointent vers les réseaux de farming

• De nombreux déploiements ont créé des dizaines à des centaines de jetons en utilisant des portefeuilles frais
• Certains portefeuilles de tireurs d’élite ont exécuté des centaines de tireurs, souvent en une seule journée
• Nous avons observé des structures en étoile, où un portefeuille finançait plusieurs portefeuilles sniper qui agissaient tous sur le même jeton

Cela suggère la présence d'opérations de farming multi-portefeuilles construites pour simuler une demande précoce distribuée tout en conservant le contrôle centralisé et le profit.

4. Le sniping suit des schémas temporels centrés sur l'humain

Une répartition horaire a révélé que l'activité de sniping est concentrée entre 14h00 et 23h00 UTC, avec une activité minimale de 00h00 à 08h00 UTC.

Ce motif :

• S'aligne avec les heures de travail aux États-Unis
• Suggère que les robots sont lancés manuellement ou programmés via cron
• Renforce le fait qu'il s'agit d'une opération centralisée et délibérée.

5. Portefeuilles à usage unique et transactions multi-signataires obscurcissent la propriété (exemple du déployeur)

Nous avons trouvé de nombreux cas où:

• Les déploiements ont financé plusieurs portefeuilles qui ont tous signé et snipé dans la même transaction
• Ces portefeuilles n'ont jamais signé une autre transaction (portefeuilles jetables)
• Les déployeurs répartissent les achats initiaux de jetons sur 2 à 4 portefeuilles pour simuler la demande réelle

Ces modèles révèlent une dissimulation délibérée de la propriété, pas de la négociation.

Comportement de sortie

S'appuyant sur les conclusions de base concernant le sniping financé par le deployer dans le même bloc, nous avons cherché à mieux comprendre comment ces portefeuilles sortent réellement de leurs positions une fois les jetons acquis. Identifier qui snipe et quand est crucial, mais comprendre combien de temps les jetons sont détenus et comment ils sont vendus de manière agressive ajoute une couche contextuelle plus riche aux mécanismes de cette stratégie extractive.

Pour ce faire, nous avons décomposé les données le long de deux dimensions comportementales :

• Moment de sortie : La durée entre le premier achat de jetons d'un portefeuille (snipe) et sa vente finale de ce jeton.
• Nombre de swaps : Le nombre de transactions de vente distinctes (swaps) qu'un portefeuille a utilisées pour sortir de la position.

Ensemble, ces indicateurs nous donnent un aperçu à la fois de l'appétit pour le risque des portefeuilles de sniper et de la complexité de leurs stratégies d'exécution. Ces portefeuilles déversent-ils tout dans une seule transaction ? Organisent-ils des sorties de manière échelonnée dans le temps ? Et comment chaque approche affecte-t-elle la rentabilité ?

Ce que les données montrent

Vitesse de sortie :

Plus de 55% des snipes sont entièrement sortis en moins d'une minute, et près de 85% sont sortis en moins de cinq minutes.

• Une part importante - plus de 11% - est terminée en 15 secondes ou moins.

Simplicité de l'événement de vente :

Dans plus de 90% des cas, les portefeuilles de sniper vendent leurs jetons lors d'un ou deux événements d'échange.

Très peu de portefeuilles utilisent des sorties progressives ou des stratégies de vente échelonnées.

• Les portefeuilles avec un nombre plus élevé d'échanges voient généralement des profits légèrement plus élevés.

Tendances de rentabilité :

Le groupe le plus rentable de loin est celui des portefeuilles qui sortent en moins d'une minute, suivi de ceux qui sortent en moins de cinq.

• Bien que les snipes plus longs et plus actifs, ceux impliquant des durées de détention prolongées ou plusieurs événements de vente, ont tendance à montrer une rentabilité moyenne plus élevée par événement, ils sont utilisés beaucoup moins fréquemment. Par conséquent, ils ne contribuent qu'à une petite part du profit total extrait.

Comment nous l'interprétons

Ces modèles indiquent une stratégie hautement automatisée et extractive. La plupart des portefeuilles liés aux déployeurs ne se comportent pas comme des traders ou même des participants spéculatifs. Au lieu de cela, ils se comportent comme des bots d'exécution :

• Entrer en premier.
• Vendez rapidement.
• Sortie complète.

Le fait que la plupart des sorties se produisent dans une seule transaction suggère une intention minimale de s'engager dans l'action des prix ou la dynamique du marché. Ces portefeuilles ne testent pas les sommets, ne font pas de moyennes, et ne s'adaptent pas à la volatilité. Ils anticipent la demande et la déversent aussi rapidement que possible.

Alors qu'une poignée de portefeuilles montrent un comportement de sortie plus complexe, en utilisant plusieurs ventes ou des périodes de détention plus longues, leurs rendements ne sont que légèrement meilleurs, et ils représentent une part très faible de l'activité. Ce sont des exceptions, pas le modèle.

En fin de compte, les données dressent un tableau clair : le sniping financé par le deployer ne concerne pas le trading, mais l'extraction automatisée à faible risque. Plus la sortie est rapide, plus le taux de réussite est élevé. Ce comportement de sortie renforce l'idée que le sniping sur le même bloc n'est pas seulement opportuniste ; il est conçu pour la vitesse, la précision et le profit.

Perspectives exploitables

Les recommandations suivantes sont conçues pour aider les équipes de protocole, les constructeurs frontend et les chercheurs à identifier et à répondre aux schémas de lancements de jetons extractifs ou coordonnés. En traduisant les comportements observés en heuristiques, filtres et avertissements, ces informations peuvent réduire les risques et améliorer la transparence pour les utilisateurs finaux.

Afficher le comportement anticipé de la courbe de liaison

La plupart des tableaux de bord des jetons se concentrent sur la concentration actuelle des détenteurs, mais certains des signaux de risque les plus clairs apparaissent dans les 20 à 50 premiers blocs de négociation. Lorsqu'un petit nombre de portefeuilles achètent la plupart de l'offre tôt, sortent rapidement et détiennent toujours une part dominante, cela indique un lancement structurellement extractif. Plutôt que de signaler les jetons directement, les interfaces utilisateur devraient mettre en avant des indicateurs de stade précoce qui aident les traders à développer leur intuition : SOL total acheté dans les 10 premiers blocs, frais Jito et frais de priorité payés pour enchérir, pourcentage du volume par les x premiers portefeuilles, et le solde actuel de ces premiers snipers. En mettant en avant le regroupement des bases de coûts, le comportement du carnet d'ordres compressé et les schémas de sortie, sans avoir besoin d'attribution, ces heuristiques dans les interfaces utilisateur permettent aux utilisateurs de repérer quand quelque chose ne va pas avant de devenir une liquidité de sortie.

Marquage du risque basé sur le comportement du portefeuille et la structure de lancement

Les interfaces utilisateur doivent adopter un système d'étiquetage des risques à plusieurs niveaux qui reflète à la fois le comportement antérieur du portefeuille et la dynamique de lancement suspecte, aidant les utilisateurs à éviter de devenir une liquidité de sortie.

Drapeaux de risque élevé pour les récidivistes

Les portefeuilles avec un historique de sniping dans le même bloc, en particulier lorsqu'ils sont liés aux déployeurs via des flux de financement directs ou multi-sauts, doivent porter un marqueur persistant à haut risque. Si ces portefeuilles interagissent avec un nouveau jeton, l'interface utilisateur doit afficher un avertissement fort qui est difficile à franchir (par exemple, une confirmation modale, désactivée par défaut). Il s'agit de portefeuilles qui ont extrait à plusieurs reprises de la valeur des utilisateurs à travers de multiples lancements et ne doivent pas être traités comme des participants propres.

Avertissements doux pour les drapeaux rouges structurels

Les jetons qui présentent du sniping de premier bloc, une concentration élevée des premiers détenteurs, ou un comportement compressé du carnet de commandes initial (par exemple, 50% du volume dans les 10 premiers blocs, les 3 premiers portefeuilles détiennent 80% de l'offre) devraient recevoir une légère étiquette de prudence pouvant être survolée. Les utilisateurs peuvent survoler pour voir les heuristiques spécifiques déclenchées (par exemple, "sniped dans le même bloc", "top wallet est sorti en moins de 30s", "achats précoces à partir de portefeuilles financés à plusieurs reprises"), ce qui leur donne un contexte avant de prendre une décision.

Ce système ne tente pas de prouver une intention malveillante — il signale de manière répétée un comportement extractif

et lancer des modèles avec une optique de liquidité médiocre, ce qui rend plus facile pour les utilisateurs quotidiens de repérer les configurations défectueuses sans avoir besoin de lire le contrat ou de tracer eux-mêmes les flux de financement.

Au-delà du regroupement statique

Étiqueter statiquement les portefeuilles n'est pas suffisant. Dès que les heuristiques deviennent publiques, les acteurs malveillants s'adaptent en faisant tourner les portefeuilles, en imitant le comportement des détaillants et en fabricant des signes de légitimité. Pour rester efficaces, les systèmes de détection doivent évoluer vers des cadres de marquage adaptatifs qui se mettent à jour continuellement à mesure que les schémas des attaquants évoluent.

Au lieu d'étiquettes codées en dur, les portefeuilles devraient se voir attribuer des scores de confiance comportementale qui reflètent les tendances au fil du temps : l'ancienneté du portefeuille, l'activité inter-applications, le comportement de vente antérieur, la durée de détention et le regroupement avec des extracteurs connus. Ces scores devraient favoriser les portefeuilles qui supportent de réels coûts pour paraître fiables - capital, temps ou profondeur d'utilisation - tout en pénalisant les portefeuilles qui manifestent des comportements extractifs à faible effort et haute fréquence.

En rendant le chemin de la participation "propre" plus coûteux et traçable, les plateformes peuvent réduire la viabilité de la ferme de spam à grande échelle, même sans attribution parfaite.

Conclusion

Les conclusions de ce rapport mettent en lumière une tactique persistante, structurée et rentable utilisée lors des lancements de jetons Solana : l'attaque financée par le déployeur, effectuée dans le même bloc. En suivant les transferts SOL directs des déployeurs aux snipers, nous isolons un sous-ensemble clair de comportements de type initié qui exploitent l'architecture à haut débit de Solana pour une extraction coordonnée.

Bien que notre méthodologie ne capture qu'une partie de l'activité de sniper sur le même bloc, les portefeuilles et les schémas qu'elle met en lumière ne laissent guère de doute: il ne s'agit pas de traders opportunistes; ce sont des opérateurs bénéficiant d'une position privilégiée, de systèmes répétables et d'une intention claire. L'ampleur et la fréquence de cette activité montrent que l'exploitation coordonnée des memecoins n'est pas une tactique de niche - c'est un livre de jeu normalisé, exécuté des milliers de fois par semaine.

Cela compte pour trois raisons:

• Cela fausse les premiers signaux du marché, faisant apparaître les jetons plus désirables ou compétitifs qu'ils ne le sont en réalité.
• Cela met en danger les participants de détail, qui servent sans le savoir de liquidité de sortie pour les acteurs pré-financés.
• Cela mine la confiance dans les lancements de jetons ouverts, en particulier sur des plateformes commepump.funqui sont optimisés pour la vitesse et l'accessibilité.

Atténuer ce comportement exigera plus que des défenses réactives. Cela exige de meilleures heuristiques, des avertissements frontend, des sauvegardes au niveau du protocole et des efforts continus pour cartographier et surveiller les acteurs coordonnés. Les outils de détection existent — la question est de savoir si l'écosystème choisit de les appliquer.

Ce rapport offre une première étape : un filtre fiable et reproductible qui isole les cas les plus évidents de coordination. Mais ce n'est que le début. Le véritable défi réside dans la détection de stratégies obfusquées et évolutives, et dans la construction d'une culture on-chain qui récompense la transparence plutôt que l'extraction.

Avertissement :

1. Cet article est repris de [ Analyse de pin]. Tous les droits d'auteur appartiennent à l'auteur original [Pine Analytics]. If there are objections to this reprint, please contact theGate Apprendreéquipe, et ils s'en occuperont rapidement.
2. Clause de non-responsabilité : Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent aucun conseil en investissement.
3. L'équipe de Gate Learn effectue des traductions de l'article dans d'autres langues. Copier, distribuer ou plagier les articles traduits est interdit sauf mention contraire.