Resumen Ejecutivo

Este informe investiga un patrón generalizado y coordinado de cultivo de memecoin en Solana, donde los implementadores de tokens financian billeteras sniper que compran sus tokens en el mismo bloque en el que se lanza el token. Aislamos un subconjunto de comportamientos extractivos de alta confianza al centrarnos en vínculos de financiamiento claros y comprobables entre implementadores y snipers.

Nuestro análisis revela que esta táctica no es rara ni marginal; solo en el último mes, se extrajeron más de 15,000 SOL en beneficios realizados a través de este método, en más de 15,000 lanzamientos que involucraron a más de 4,600 billeteras de francotiradores y más de 10,400 implementadores. Estas billeteras muestran tasas de éxito inusualmente altas (el 87% de los disparos fueron rentables), salidas limpias y patrones operativos estructurados.

Los hallazgos clave incluyen:

• El sniping financiado por el desplegador es sistemático, rentable y a menudo automatizado, con actividad de sniping concentrada durante las horas laborales de EE. UU.
• Las estructuras de agricultura de múltiples billeteras son comunes, a menudo utilizando billeteras temporales y salidas coordinadas para simular la demanda real.
• Tácticas de obfuscación, como cadenas de financiación de múltiples saltos y transacciones de espionaje de múltiples firmantes, se utilizan cada vez más para evadir la detección.
• A pesar de sus limitaciones, nuestro filtro de financiación de un salto pone de manifiesto los ejemplos más claros y repetibles de actividad al estilo de un insider a gran escala.

Este informe también propone un conjunto de heurísticas aplicables que pueden ayudar a los equipos de protocolos y frontends a identificar, señalar y responder a esta clase de actividad en tiempo real, incluido el seguimiento de la concentración temprana de titulares, etiquetar billeteras vinculadas al despliegue e emitir advertencias en el frontend para lanzamientos de alto riesgo.

Si bien nuestro análisis solo captura un subconjunto de todo el comportamiento de sniping en el mismo bloque, la escala, la estructura y la rentabilidad de estos patrones sugieren que los lanzamientos de tokens en Solana están siendo activamente manipulados por redes de actores coordinados, y las defensas actuales son insuficientes.

Metodología

Este análisis comenzó con un objetivo enfocado: identificar billeteras y comportamientos que indiquen la agricultura coordinada de memecoins en Solana, especialmente en casos en los que los desplegadores de tokens financian billeteras de sniping en el mismo bloque en el que se lanza el token.

Dividimos el problema en varias etapas:

1. Filtrado para Same-Block Snipes

Primero aislamos tokens que fueron snipeados en el mismo bloque en el que fueron desplegados. Este comportamiento es extremadamente improbable que sea orgánico debido a:

• La falta de un mempool global en Solana
• Conciencia requerida del token antes de que aparezca en un frontend público
• Restricciones de tiempo entre el despliegue del token y la primera interacción en el DEX

Los snipes en el mismo bloque se utilizaron como un filtro de señal alto para detectar posibles collusion o actividad privilegiada.

2. Identificación de Carteras Vinculadas al Desplegador

Para distinguir entre francotiradores expertos e insiders coordinados, rastreamos las transferencias de SOL entre los desplegadores y los francotiradores en la antesala de cada lanzamiento de tokens. Marcamos las carteras que:

• Recibí SOL directamente del implementador
• Envié SOL al desplegador

Solo se incluyeron las carteras con transferencias directas de pre-snipe entre el sniper y el deployer en el conjunto de datos final.

3. Vinculación de Snipes al Beneficio del Token

Mapeamos la actividad comercial de cada billetera de francotirador para los tokens que capturaron. Específicamente, calculamos:

• Cantidad total de SOL gastada adquiriendo el token
• Cantidad total de SOL recibida al venderlo en DEXs
• Beneficio neto realizado, no solo ganancias notionales

Esto nos permitió atribuir el beneficio exacto extraído de cada snipe vinculado al desplegador.

4. Escala de medición y comportamiento de la billetera

Analizamos el alcance de esta actividad en varios ejes:

• Número de desplegadores únicos y billeteras de francotiradores
• Número total de snipes de bloqueo colusivos confirmados
• Distribución de ganancias de francotirador
• Número de tokens lanzados por el implementador
• Reutilización de billeteras sniper entre tokens

5. Rastreo de Actividad del Bot

Para comprender cómo se estaban llevando a cabo estas operaciones, agrupamos la actividad de sniper por hora del día (UTC). Esto reveló fuertes patrones de hora del día:

• Actividad concentrada en ventanas de tiempo específicas
• Caídas durante las horas nocturnas UTC
• Sugestivo de trabajos programados alineados con EE. UU. o ventanas de ejecución manual, en lugar de automatización global o continua.

6. Análisis del comportamiento de salida

Finalmente, examinamos cómo las billeteras vinculadas al deployer salieron de sus posiciones de tokens sniped, tanto en términos de duración de retención como de número de operaciones utilizadas para deshacer su posición.

• Medimos el tiempo transcurrido entre la primera compra y la venta final (duración de la retención).
• Contamos la cantidad de transacciones de venta distintas (intercambios) por billetera por token.

Esto nos ayudó a identificar si las carteras buscaban una liquidación rápida o estrategias de venta gradual, y en qué medida la velocidad de salida se correlacionaba con la rentabilidad.

Apuntando a las amenazas más claras

Como primer paso, medimos la escala de la misma-bloqueo sniping en todopump.funlanzamientos. Lo que encontramos fue sorprendente: más del 50% de los tokens son ahora cazados en el mismo bloque en el que se crean, antes de que pudieran ser descubiertos razonablemente a través de RPC públicos o frontends. La caza en el mismo bloque ya no es un caso excepcional raro; es el patrón de lanzamiento dominante.

Este comportamiento es inherentemente sospechoso. En Solana, la participación en el mismo bloque generalmente requiere:

• Transacciones prefirmadas
• Coordinación fuera de la cadena
• O una infraestructura compartida entre el implementador y el comprador

Pero lo más importante es que observamos que no todo el sniping en el mismo bloque es igualmente malicioso. Hay al menos dos categorías de actores:

• Bots de rociado y oración, probablemente probando heurísticas o espolvoreo
• Insiders coordinados, incluidos desplegadores que financian a sus propios compradores

Para reducir los falsos positivos y destacar la verdadera coordinación, introdujimos un filtro estricto en nuestras métricas finales de actividad: solo incluimos snipes donde hubo una transferencia directa de SOL entre el implementador y la billetera de sniper antes del lanzamiento del token.

Este enfoque nos permite identificar con confianza billeteras que son:

• Directamente controlado por el implementador
• Actuando bajo la dirección del desplegador
• Privilegiado con acceso interno

Caso de estudio 1: Financiación directa (captada por nuestra metodología)

En este caso, la billetera del desplegador 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE envió 1.2 SOL a través de tres billeteras separadas. Puedesver la entidad en Arkham aquí. Luego desplegó un token llamado SOL>BNB. Las tres carteras financiadas capturaron el token en el mismo bloque en que fue creado, asegurando acceso temprano antes de que fuera visible para el mercado en general.

Estas carteras vendieron rápidamente sus asignaciones para obtener ganancias, ejecutando salidas rápidas y coordinadas. Este es un ejemplo clásico de agricultura de tokens a través de carteras de francotiradores prefinanciadas, y fue capturado directamente por nuestro método de detección basado en la financiación. A pesar de su simplicidad, este tipo de operación se está llevando a cabo a gran escala en miles de lanzamientos.

Estudio de caso 2: Financiamiento Multi-Hop (Pasado por alto por nuestra metodología)

En este caso, la billetera GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA se ha asociado con varios snipers de tokens. En lugar de financiar directamente las billeteras sniper, esta entidad dirige SOL a través de una serie de billeteras intermedias, a menudo 5 a 7 saltos de profundidad, antes de que la billetera final ejecute el snipe en el mismo bloque.

Nuestra metodología actual, que se centra en enlaces de financiación directa, pudo detectar algunas de las transferencias iniciales del desplegador, pero no capturó toda la cadena que condujo a los francotiradores finales. Estas carteras intermedias suelen ser utilizadas solo una vez, sirviendo únicamente para pasar a través de SOL, lo que las hace difíciles de vincular a través de consultas directas.

Este patrón no fue pasado por alto debido a limitaciones de diseño, sino que fue un compromiso computacional. Rastrear caminos de financiación a través de múltiples saltos con restricciones temporales es técnicamente factible pero intensivo en recursos a escala. Como resultado, nuestra implementación actual prioriza enlaces directos de alta confianza para mayor claridad y reproducibilidad.

Para visualizar esta cadena de financiación más grande, utilizamosLa herramienta Visualizer de Arkham, que representa gráficamente el flujo de fondos desde la billetera de financiamiento inicial a través de la cadena de billeteras intermedias hasta la billetera de implementación final. Esta ayuda visual subraya los métodos sofisticados empleados para oscurecer el origen de los fondos y destaca áreas para futuras mejoras en nuestras metodologías de detección.

Por qué nos enfocamos en francotiradores financiados directamente en el mismo bloque

Por el resto de este documento, nos enfocamos exclusivamente en emboscadas en el mismo bloque donde la billetera recibió financiamiento directo del implementador antes del lanzamiento. Estas billeteras son responsables de ganancias sustanciales, utilizan una obfuscación mínima y representan el subconjunto más accionable de actividad maliciosa. Estudiarlas ofrece una ventana clara a las heurísticas necesarias para detectar y mitigar estrategias de extracción más avanzadas.

Hallazgos

Centrándonos específicamente en los intentos de compra en el mismo bloque en los que la billetera que realiza la compra tenía un enlace de transferencia SOL directo al desplegador, nuestra investigación descubrió un patrón generalizado, estructurado y altamente rentable de coordinación en cadena. Si bien este filtro captura solo un subconjunto de toda la actividad de compra, revela varios patrones clave de este subconjunto de alta confianza. Todos los datos en esta sección reflejan la actividad observada entre el 15 de marzo y la actualidad.

1. El sniping financiado por el despliegue en el mismo bloque es común y sistemático

Identificamos más de 15.000 tokens cuyo lanzamiento fue inmediatamente capturado por una billetera que había intercambiado directamente SOL con el desplegador antes del lanzamiento en el último mes. Este patrón:

• Involucrado 4,600+ carteras de francotiradores
• Fue ejecutado por más de 10,400 desplegadores únicos

Estos no son incidentes aislados, este comportamiento representa aproximadamente un 1,75% de la actividad de lanzamiento enpump.fun.

2. Este comportamiento es rentable a gran escala

Las carteras dedicadas al 'sniping' financiado por el desplegador en el mismo bloque extrajeron más de 15,000 SOL en ganancias netas realizadas en el último mes, basadas en la actividad de intercambio en cadena rastreada. Estas carteras demostraron consistentemente altas tasas de éxito (87% de los intercambios de tokens 'snipe' fueron rentables), ejecución limpia con transacciones fallidas mínimas y rangos de ganancias típicamente entre 1-100 SOL por cartera, con algunos valores atípicos que superan los 500 SOL.

3. Los implementadores y francotiradores repetidos apuntan a las redes de agricultura

• Muchos desplegadores crearon docenas a cientos de tokens usando billeteras nuevas
• Ciertas billeteras de francotiradores ejecutaron cientos de francotiradores, a menudo en un solo día
• Observamos estructuras de tipo central y ramificaciones, donde una billetera financió varias billeteras francotiradoras que actuaron todas en el mismo token

Esto sugiere la presencia de operaciones de agricultura de billetera múltiple construidas para simular la demanda temprana distribuida mientras se retiene el control centralizado y el beneficio.

4. El sniping sigue patrones de tiempo centrados en el ser humano

Un desglose por horario reveló que la actividad de sniping se concentra entre las 14:00 y las 23:00 UTC, con una actividad mínima de 00:00 a 08:00 UTC.

Este patrón:

• Se alinea con el horario laboral de EE. UU.
• Sugiere que los bots son lanzados manualmente o programados con cron
• Reafirma que esta es una operación centralizada y deliberada.

5. Las billeteras One-Shot y las transacciones de múltiples firmantes oscurecen la propiedad (ejemplo del implementador)

Encontramos numerosos casos donde:

• Los implementadores financiaron múltiples billeteras que todas firmaron y atacaron en la misma transacción
• Estas billeteras nunca firmaron otra transacción nuevamente (billeteras desechables)
• Los implementadores dividen las compras iniciales de tokens entre 2-4 billeteras para simular la demanda real

Estos patrones revelan una obfuscación deliberada de la propiedad, no de operaciones.

Comportamiento de salida

Basándonos en los hallazgos centrales en torno al financiamiento del desplegador, el sniping en el mismo bloque, buscamos comprender mejor cómo estas carteras realmente salen de sus posiciones una vez que se adquieren los tokens. Si bien identificar quién hace sniping y cuándo es crítico, comprender cuánto tiempo se mantienen los tokens y con qué agresividad se venden añade una capa más rica de contexto a la mecánica de esta estrategia extractiva.

Para hacer esto, desglosamos los datos a lo largo de dos dimensiones de comportamiento:

• Momento de salida: La duración entre la primera compra de token de una billetera (snipe) y su venta final de ese token.
• Conteo de intercambio: El número de transacciones de venta distintas (intercambios) que una billetera utilizó para salir de la posición.

Juntos, estas métricas nos dan una idea tanto del apetito de riesgo de las carteras sniper como de la complejidad de sus estrategias de ejecución. ¿Estas carteras están descargando todo en una sola transacción? ¿Están organizando salidas con el tiempo? ¿Y cómo afecta cada enfoque a la rentabilidad?

Lo que muestra los datos

Velocidad de salida:

Más del 55% de las operaciones de snipe son completamente cerradas en menos de un minuto, y casi el 85% se cierran en menos de cinco minutos.

• Una parte significativa — más del 11% — se completan en 15 segundos o menos.

Evento de Venta Simplicidad:

En más del 90% de los casos, las carteras sniper venden sus tokens en solo uno o dos eventos de intercambio.

Muy pocas billeteras utilizan salidas graduales o estrategias de venta escalonadas.

• Las carteras con un mayor número de intercambios generalmente ven ganancias ligeramente más altas.

Tendencias de Rentabilidad:

El grupo más rentable con mucho son las carteras que salen en menos de un minuto, seguidas por las que salen en menos de cinco.

• Si bien las emboscadas más largas y activas, aquellas que involucran duraciones de retención prolongadas o múltiples eventos de venta, tienden a mostrar una rentabilidad promedio más alta por evento, se utilizan con mucha menos frecuencia. Como resultado, contribuyen solo con una pequeña parte del beneficio total extraído.

Cómo lo interpretamos

Estos patrones apuntan a una estrategia altamente automatizada y extractiva. La mayoría de las billeteras vinculadas al implementador no se comportan como traders o incluso participantes especulativos. En cambio, se comportan como bots de ejecución:

• Entrar primero.
• Vender rápido.
• Salir completamente.

El hecho de que la mayoría de las salidas ocurran en una sola transacción sugiere una intención mínima de participar en la acción del precio o en la dinámica del mercado. Estas carteras no están probando máximos, promediando, ni adaptándose a la volatilidad, están adelantando la demanda y deshaciéndose de ella lo más rápido posible.

Si bien un puñado de billeteras muestra un comportamiento de salida más complejo, utilizando múltiples ventas o períodos de retención más largos, sus rendimientos son solo marginalmente mejores y representan una parte muy pequeña de la actividad. Estas son las excepciones, no el modelo.

En última instancia, los datos pintan un panorama claro: el sniping financiado por el desplegador no se trata de trading, sino de extracción automatizada y de bajo riesgo. Cuanto más rápido sea la salida, mayor será la tasa de éxito. Este comportamiento de salida refuerza la idea de que el sniping en el mismo bloque no es solo oportunista; está diseñado para ser rápido, preciso y rentable.

Información Accionable

Las siguientes recomendaciones están diseñadas para ayudar a los equipos de protocolo, constructores de frontend e investigadores a identificar y responder a patrones de lanzamientos de tokens extractivos o coordinados. Al traducir comportamientos observados en heurísticas, filtros y advertencias, estas ideas pueden reducir el riesgo y mejorar la transparencia para los usuarios finales.

Mostrar el Comportamiento Temprano de la Curva de Vinculación

La mayoría de los paneles de tokens se centran en la concentración actual de los titulares, pero algunas de las señales de riesgo más claras surgen en los primeros 20-50 bloques de operaciones. Cuando un pequeño número de monederos compra la mayor parte del suministro al principio, sale rápidamente y aún mantiene una participación dominante, apunta a un lanzamiento estructuralmente extractivo. En lugar de señalar directamente los tokens, las interfaces deberían mostrar métricas en etapas tempranas que ayuden a los traders a desarrollar intuición: SOL total comprado en los primeros 10 bloques, Jito y tarifas de prioridad pagadas por la oferta, porcentaje del volumen por los principales x monederos y el saldo actual de esos primeros snipers. Al resaltar la agrupación de la base de costos, el comportamiento comprimido del libro de órdenes y los patrones de salida, sin necesidad de atribución, en las interfaces de la aplicación, estas heurísticas permiten a los usuarios detectar cuando algo no está bien antes de convertirse en liquidez de salida.

Marcado de riesgo basado en el comportamiento de la billetera y la estructura de lanzamiento

Los frontends deben adoptar un sistema de etiquetado de riesgos escalonado que refleje tanto el comportamiento previo de la billetera como la dinámica de lanzamiento sospechosa, ayudando a los usuarios a evitar convertirse en liquidez de salida.

Indicadores de alto riesgo para reincidentes

Las billeteras con un historial de sniper en el mismo bloque, especialmente cuando están vinculadas a los implementadores a través de flujos de financiación directa o de múltiples saltos, deben llevar un marcador persistente de alto riesgo. Si estas billeteras interactúan con un nuevo token, el frontend debería mostrar una advertencia fuerte que sea difícil de obviar (por ejemplo, confirmación modal, desactivada de forma predeterminada). Estas son billeteras que han extraído valor repetidamente de los usuarios en varios lanzamientos y no deben ser tratadas como participantes limpios.

Advertencias suaves para señales de alerta estructurales

Los tokens que muestran sniping en el primer bloque, una alta concentración de poseedores tempranos o un comportamiento comprimido del libro de órdenes temprano (por ejemplo, el 50% del volumen en los primeros 10 bloques, las 3 principales billeteras tienen el 80% del suministro) deberían recibir una etiqueta de precaución ligera y desplegable. Los usuarios pueden pasar el cursor para ver las heurísticas específicas activadas (por ejemplo, "snipeado en el mismo bloque", "la billetera superior salió en menos de 30s", "compras tempranas de billeteras financiadas repetidamente"), lo que les brinda contexto antes de tomar una decisión.

Este sistema no intenta probar intención maliciosa — señala repetidamente comportamientos extractivos

y lanzar patrones con una óptica de liquidez deficiente, lo que facilita que los usuarios cotidianos detecten configuraciones deficientes sin necesidad de leer el contrato o rastrear los flujos de financiación por sí mismos.

Más allá del agrupamiento estático

Etiquetar estáticamente billeteras no es suficiente. Tan pronto como las heurísticas se hacen públicas, los actores maliciosos se adaptan: rotan billeteras, imitan el comportamiento minorista y fabrican signos de legitimidad. Para ser efectivos, los sistemas de detección deben avanzar hacia marcos de etiquetado adaptativos que se actualicen continuamente a medida que cambian los patrones de los atacantes.

En lugar de etiquetas codificadas, las billeteras deberían recibir puntuaciones de confianza conductual que reflejen los patrones con el tiempo: antigüedad de la billetera, actividad entre aplicaciones, comportamiento de venta previo, duración de retención y agrupación con extractores conocidos. Estas puntuaciones deberían favorecer a las billeteras que incurren en costos reales para parecer confiables—capital, tiempo o profundidad de uso—mientras penalizan a las billeteras que muestran comportamientos extractivos de bajo esfuerzo y alta frecuencia.

Al hacer que el camino hacia la participación 'limpia' sea más costoso y rastreable, las plataformas pueden reducir la viabilidad del spam a gran escala, incluso sin atribución perfecta.

Conclusión

Los hallazgos en este informe destacan una táctica persistente, estructurada y rentable utilizada en los lanzamientos de tokens de Solana: el sniping financiado por el desplegador en el mismo bloque. Al rastrear transferencias directas de SOL de los desplegadores a los snipers, aislamos un claro subconjunto de comportamientos al estilo de los insiders que explotan la arquitectura de alto rendimiento de Solana para una extracción coordinada.

Si bien nuestra metodología captura solo una parte de la actividad total de sniping en el mismo bloque, las billeteras y patrones que revela dejan poco margen de duda: estos no son traders oportunistas; son operadores con una posición privilegiada, sistemas repetibles e intención clara. La escala y frecuencia de esta actividad muestran que la agricultura coordinada de memecoins no es una táctica de nicho, es un manual normalizado, ejecutado miles de veces por semana.

Esto es importante por tres razones:

• Distorsiona las señales tempranas del mercado, haciendo que los tokens parezcan más deseables o competitivos de lo que son.
• Pone en peligro a los participantes minoristas, que sirven sin saberlo como liquidez de salida para actores prefinanciados.
• Minando la confianza en los lanzamientos abiertos de tokens, especialmente en plataformas comopump.funque están optimizados para velocidad y accesibilidad.

Mitigar este comportamiento requerirá más que defensas reactivas. Requiere mejores heurísticas, advertencias en el frontend, salvaguardias a nivel de protocolo y esfuerzos continuos para mapear y monitorear actores coordinados. Las herramientas para la detección existen; la pregunta es si el ecosistema elige aplicarlas.

Este informe ofrece un primer paso: un filtro confiable y reproducible que aísla los casos más evidentes de coordinación. Pero es solo el comienzo. El verdadero desafío radica en detectar estrategias obfuscadas y en evolución, y en construir una cultura on-chain que recompense la transparencia sobre la extracción.

Descargo de responsabilidad:

1. Este artículo es reimpreso de [ Pine Analytics]. Todos los derechos de autor pertenecen al autor original [Pine Analytics]. Si hay objeciones a esta reimpresión, por favor contacte al Gate Aprenderequipo, y lo manejarán rápidamente.
2. Descargo de responsabilidad: Las opiniones expresadas en este artículo son únicamente las del autor y no constituyen ningún consejo de inversión.
3. El equipo de Gate Learn realiza traducciones del artículo a otros idiomas. Está prohibido copiar, distribuir o plagiar los artículos traducidos a menos que se mencione.