Виконавче резюме

Цей звіт досліджує поширену та координовану схему фармінгу мемкойнів на Solana, де розгортальники токенів фінансують снайперські гаманці, які купують їх токени в тому ж блозі, в якому запускається токен. Ми виокремлюємо високодостовірний піднабір екстрактивної поведінки, фокусуючись на чітких, доведених фінансових зв'язках між розгортальниками та снайперами.

Наш аналіз свідчить, що ця тактика не є рідкісною або периферійною - лише протягом останнього місяця через цей метод було видобуто понад 15 000 SOL в реалізованому прибутку, на понад 15 000 запусків, в яких брали участь понад 4 600 снайперських гаманців та понад 10 400 розгортачів. Ці гаманці демонструють надзвичайно високі рівні успішності (87% снайпів були прибутковими), чисті виходи та структуровані операційні шаблони.

Ключові висновки включають:

• Фінансування розгортання в системі є систематичним, прибутковим і часто автоматизованим, з активністю розграбування, яка концентрується під час робочих годин у США.
• Мульти-гаманці для фармінгу є поширеними, часто використовують тимчасові гаманці та координовані виходи для моделювання реального попиту.
• Тактики затемнення, такі як багатоперехідні ланцюги фінансування та багатопідписні снайпінг-транзакції, все частіше використовуються для ухилення від виявлення.
• Незважаючи на його обмеження, наш фільтр фінансування одного стрибка виносить на поверхню найчіткіші та найбільш повторювані приклади внутрішнього стилю діяльності в масштабах.

Цей звіт також пропонує набір дієвих евристичних правил, які можуть допомогти командам протоколу та фронтендам виявляти, позначати та реагувати на цей тип активності в реальному часі, включаючи відстеження концентрації ранніх тримачів, позначення гаманців, пов'язаних з розгортанням, та надання попереджень фронтенду для високоризикових запусків.

Хоча наш аналіз охоплює лише частину всіх випадків спільного блокування, масштаб, структура та прибутковість цих зразків свідчать про те, що запуски токенів на Solana активно використовуються мережами координованих діячів — і поточні заходи захисту недостатні.

Методологія

Цей аналіз розпочався з чіткою метою: виявити гаманці та поведінку, що свідчать про координовану фермування мемкойнов на Solana - зокрема випадки, коли розгортальники токенів фінансують вилучення коштів в тому ж блоку, в якому запущений токен.

Ми розібрали проблему на кілька етапів:

1. Фільтрація для тих же блоків Снайпери

Спочатку ми виокремили токени, які були вилучені в тому ж блоку, в якому вони були розгорнуті. Така поведінка майже неможливо є органічною через:

• Відсутність глобального мемпула на Solana
• Необхідна осведомленість про токен перед тим, як він з'явиться в загальнодоступному фронтенді
• Обмеження в часі між розгортанням токена та першою взаємодією з DEX

Торгівля на одному блоку використовувалася як високосигнальний фільтр для виявлення можливої колузії або привілейованої діяльності.

2. Визначення гаманців, пов'язаних з розгортанням

Щоб відрізнити кваліфікованих снайперів від координованих внутрішніх осіб, ми відстежували перекази SOL між розгортальниками та снайперами перед кожним запуском токенів. Ми відмічали гаманці, що:

• Отримано SOL безпосередньо від розгортувальника
• Надіслав SOL до деплоєра

У кінцевому наборі даних були включені лише гаманці з прямими передпокупками між снайпером та розгортальником.

3. Посилання Снайперів на Прибуток від Токенів

Ми відобразили активність торгів кожного снайперського гаманця для токенів, які вони вибирали. Зокрема, ми розрахували:

• Загальна сума SOL, витрачена на придбання токена
• Загальна сума SOL, отримана від продажу на DEXs
• Чистий реалізований прибуток, а не лише номінальні виграші

Це дозволило нам визначити точний прибуток, отриманий з кожного зв'язаного зброївника.

4. Вимірювальний масштаб та поведінка гаманця

Ми проаналізували обсяг цієї діяльності по декількох вісях:

• Кількість унікальних розгортальників та снайперських гаманців
• Загальна кількість підтверджених угодних одноблочних снайперів
• Розподіл прибутків снайпера
• Кількість токенів, запущених за розробником
• Повторне використання снайперських гаманців через токени

5. Виявлення активності ботів

Щоб зрозуміти, як відбувалися ці операції, ми групували активність снайпінгу за годиною дня (UTC). Це показало сильні шаблони часу доби:

• Діяльність сконцентрована в певні часові вікна
• Відмови під час пізньоночних годин за UTC
• Пропонується використовувати робочі завдання, спрямовані на США, або ручні вікна виконання, а не глобальну або постійну автоматизацію.

6. Аналіз поведінки виходу

Наостанок ми розглянули, як зв'язані з розгортанням гаманці виходили зі своїх позицій по токенах — як за тривалістю утримання, так і за кількістю угод, використаних для розгортання їх позиції.

• Ми виміряли час, що пройшов між першою покупкою та останньою продажею (тривалість утримання).
• Ми підрахували кількість різних продажних транзакцій (обмінів) на кожний гаманець на токен.

Це допомогло нам визначити, чи біржі переслідували швидке ліквідацію гаманців чи більш поступові стратегії продажу, і наскільки швидкість виходу корелювала з прибутковістю.

Спрямовуючися на найясніші загрози

На першому етапі ми вимірили масштаб снайпінгу в межах того ж блокуpump.funЗапуски. Те, що ми виявили, було вражаючим: понад 50% токенів зараз забираються в тому ж блоку, в якому вони створені - перш ніж їх розумно можна було виявити через загальнодоступні RPC або фронтенди. Забір токенів в тому ж блоку вже не є рідкісним випадком; це домінуючий шаблон запуску.

Це поведінка властиво підозріле. На Solana участь у тому ж блоку зазвичай передбачає:

• Транзакції з попереднім підписом
• Позацеплене координація
• Або спільна інфраструктура між розгортанням та покупцем

Проте важливо відзначити, що не всі випадки снайпінгу на тому ж блоку є однаково зловісними. Існують принаймні дві категорії учасників:

• Боти розпилювання та молитви, ймовірно, тестують евристику або обпилюють
• Співробітники, включаючи розгортачів, які фінансують своїх власних покупців

Щоб зменшити помилкові позитиви та виявити справжню координацію, ми ввели строгий фільтр у наших кінцевих метриках активності: ми включали лише приціли, де було пряме переказ SOL між розгортальником та гаманцем для спіймання перед запуском токенів.

Цей підхід дозволяє нам впевнено виявляти гаманці, які є:

• Прямо контролюється розгортником
• Діючи за напрямком розгортальника
• Піднесений з внутрішнім доступом

Case Study 1: Пряме фінансування (спіймане нашою методологією)

У цьому випадку гаманець розгортання 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE відправив 1,2 SOL через три окремі гаманці. Ви можетепереглянути сутність на Аркхемі тутПотім було розгорнуто токен під назвою SOL>BNB. Усі три фінансовані гаманці взяли токен у тому ж блоку, в якому він був створений, забезпечивши ранній доступ до нього, перш ніж він став видимим для широкого ринку.

Ці гаманці швидко продали свої виділення з прибутком, виконуючи швидкі, координовані виходи. Це типовий приклад фермінгу токенів через заране фінансовані снайперські гаманці, який був безпосередньо зафіксований нашим методом виявлення на основі фінансування. Незважаючи на його простоту, цей тип операції виконується в масштабах тисяч запусків.

Case Study 2: Multi-Hop Funding (Пропущено нашою методологією)

У цьому випадку гаманець GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA був пов'язаний з кількома токен-снайперами. Замість того, щоб безпосередньо фінансувати гаманці-снайпери, ця сутність маршрутизує SOL через серію посередницьких гаманців - часто глибиною 5-7 стрибків - перш ніж кінцевий гаманець виконає snipe в тому ж блоку.

Наша поточна методологія, яка акцентується на прямих фінансових зв'язках, змогла виявити деякі початкові перекази від розгортача, але не зафіксувала всі ланцюжки, що призвели до кінцевих снайперів. Ці посередницькі гаманці зазвичай використовуються лише один раз, служачи виключно для проходження через SOL, що робить їх важкими для зв'язку за допомогою простих запитань.

Цей шаблон не був проігнорований через обмеження дизайну, але був комп'ютерним компромісом. Відстеження шляхів фінансування через кілька кроків з тимчасовими обмеженнями технічно можливе, але вимагає значних ресурсів у масштабі. В результаті наша поточна реалізація надає пріоритет високодостовірним прямим посиланням для зрозумілості та відтворюваності.

Для візуалізації цього більшого ланцюжка фінансування ми використовувалиІнструмент візуалізації Аркема, який графічно відображає потік коштів зі стартового гаманця для фінансування через ланцюжок оболонкових гаманців до кінцевого гаманця розгортання. Цей візуальний посібник підкреслює вдосконалені методи, які використовуються для затемнення походження коштів та висвітлює області для майбутнього вдосконалення в наших методиках виявлення.

Чому ми фокусуємося на прямих снайперах, які фінансуються в тому ж блоку

Для решти цієї статті ми виключно зосереджуємося на тих самих блоках, де гаманець отримав пряме фінансування від розгортальника до запуску. Ці гаманці відповідають за значні прибутки, використовують мінімальне замаскування та представляють найбільш дієвий піднабір зловмисної діяльності. Вивчення їх надає чітке вікно у евристику, необхідну для виявлення та пом'якшення більш високорівневих стратегій видобутку.

Висновки

Зосереджуючись зокрема на снайперах у тому ж блоку, де у снайпера був прямий посилання на передачу SOL розгортальнику, наше розслідування виявило широко поширену, структуровану та дуже прибуткову схему координації на ланцюжку. Хоча цей фільтр захоплює лише підмножину всієї діяльності зі снайпінгу, він розкриває кілька ключових шаблонів з цієї високодостовірної підмножини. Усі дані у цьому розділі відображають діяльність, спостережену між 15 березня та сьогоднішнім днем.

1. Те саме-блокування фінансується ведмеже, поширене і систематичне

Ми виявили понад 15 000 токенів, де запуск був негайно забраний гаманцем, який безпосередньо обміняв SOL з розгортальником перед запуском протягом минулого місяця. Цей шаблон:

• Залучено 4 600+ гаманців снайпера
• Було виконано 10 400+ унікальних розгортальників

Це не випадкові випадки — ця поведінка представляє приблизно 1,75% активності запуску наpump.fun.

2. Ця поведінка є прибутковою на великому масштабі

Гаманці, залучені до фінансування розгортання, витягли понад 15 000 SOL чистого прибутку за останній місяць на основі відстеження активності обміну на ланцюжку. Ці гаманці систематично проявляли високі рівні успішності (87% випадків обміну токенів були прибутковими), чисте виконання з мінімальною кількістю невдалих транзакцій та діапазон прибутку, який зазвичай становив від 1 до 100 SOL на гаманець — з декількома викидами, що перевищували 500 SOL.

3. Повторні розгортальники та снайпери вказують на мережі фермерства

• Багато розгортачів створили десятки до сотень токенів, використовуючи нові гаманці
• Деякі снайперські гаманці стріляли сотнями снайперів, часто протягом одного дня
• Ми спостерігали структури типу "вузол-вісь", де один гаманець фінансував кілька "снайперських" гаманців, які всі діяли з однією токеном

Це свідчить про наявність фермерських операцій з багатокоштовним гаманцем, побудованих для імітації розподіленого початкового попиту, зберігаючи централізований контроль та прибуток.

4. Снайпінг слідує людиноцентричним часовим шаблонам

Розподіл за часом доби показав, що активність підстрілу сконцентрована між 14:00 та 23:00 UTC, з мінімальною активністю з 00:00 по 08:00 UTC.

Цей шаблон:

• Відповідає робочим годинам у США
• Підказує, що боти запускаються вручну або за розкладом cron
• Підтверджує, що це централізована та обдумана операція.

5. Одноразові гаманці та транзакції з декількома підписантами ускладнюють власність (приклад розгортання)

Ми виявили безліч випадків, де:

• Розгортачі фінансували кілька гаманців, які всі підписали та взяли на мушку в одній транзакції
• Ці гаманці ніколи більше не підписували жодну транзакцію (гаманці-спалювачі)
• Розробники розподіляють початкові покупки токенів між 2–4 гаманцями, щоб симулювати реальний попит

Ці шаблони розкривають умисне замаскування власності, а не торгівлю.

Поведінка виходу

Виходячи з основних висновків щодо фінансування розгортання, атаки в тому ж блоку, ми намагалися краще зрозуміти, як ці гаманці фактично виходять зі своїх позицій після того, як токени були придбані. Хоча важливо визначити, хто атакує та коли, розуміння того, як довго тримаються токени та наскільки агресивно їх продають, додає більш глибокий шар контексту до механіки цієї екстрактивної стратегії.

Щоб зробити це, ми розібрали дані за двома поведінковими вимірами:

• Час виходу: Тривалість між першим придбанням токенів у гаманці (снайп) та їх останнім продажем.
• Кількість свопів: Кількість різних продажів (свопів), які використовувала гаманця для виходу з позиції.

Разом ці показники дозволяють нам краще зрозуміти як ризикованість «снайперських» гаманців, так і складність їх стратегій виконання. Чи ці гаманці вивантажують усе в одній угоді? Чи вони поетапно виходять з гри з часом? І як кожен підхід впливає на прибутковість?

Що показує дані

Швидкість виходу:

Більше 55% снайперів повністю виходять за одну хвилину, а майже 85% виходять протягом п'яти хвилин.

• Значну частку — понад 11% — завершено за 15 секунд або менше.

Продати Подія Простота:

У понад 90% випадків снайперські гаманці продовжують продаж своїх токенів лише в одній або двох подіях обміну.

Дуже мало гаманців використовують поступові виходи або поетапні стратегії продажу.

• Гаманці з більшою кількістю свопів зазвичай отримують незначно вищий прибуток.

Тенденції прибутковості:

Найбільш прибутковою групою є гаманці, які виходять менше, ніж за одну хвилину, за якими слідують ті, які виходять менше, ніж за п'ять.

• Поки тривалі та активні снайпери — ті, що передбачають подовжені строки утримання або декілька подій продажу — зазвичай показують вищий середній прибуток з події, вони використовуються значно рідше. В результаті вони вносять лише невелику частку загального видобутку прибутку.

Як ми це розуміємо

Ці шаблони вказують на високоякісну автоматизовану екстрактивну стратегію. Більшість пов'язаних з розгортанням гаманців не ведуть себе як трейдери або навіть спекулятивні учасники. Натомість вони ведуть себе як виконавчі боти:

• Увійдіть першими.
• Продайте швидко.
• Вихід повністю.

Той факт, що більшість виходів відбуваються в одній угоді, свідчить про мінімальну намір займатися ціновою діяльністю або динамікою ринку. Ці гаманці не тестують максимуми, середні значення або адаптуються до волатильності—вони передбачають попит і викидають у нього якнайшвидше.

Хоча декілька гаманців проявляють більш складну поведінку при виході - використання кількох продажів або триваліші періоди утримання - їх прибуток трохи кращий, і вони становлять дуже малу частку від усіх операцій. Це виключення, а не модель.

У кінцевому підсумку дані намалювали чітку картину: снайперське фінансування розгортання не стосується торгівлі—це про автоматизований, низькоризиковий вилучення. Чим швидший вихід, тим вище шанс на успіх. Ця поведінка виходу підкреслює ідею, що снайперський вихід в один блок не є лише можливістю; він побудований для швидкості, точності та прибутку.

Практичні висновки

Наведені рекомендації призначені для допомоги командам протоколу, розробникам фронтенду та дослідникам у виявленні та реагуванні на патерни екстрактивних або координованих запусків токенів. Шляхом перекладу спостережуваних поведінок у евристики, фільтри та попередження, ці уявлення можуть зменшити ризик та поліпшити прозорість для кінцевих користувачів.

Показати поведінку ранньої кривої зв'язності

Більшість інформаційних панелей токенів фокусуються на концентрацію поточних власників, але деякі з найчіткіших сигналів ризику виникають в перших 20-50 блоках торгівлі. Коли невелика кількість гаманців купує більшість поставок у перший час, виходить швидко, і все ще утримує домінуючу частку, це вказує на структурно екстрактивний запуск. Замість того, щоб прямо позначати токени, фронтенди повинні виводити метрики на ранніх етапах, які допомагають трейдерам розвивати інтуїцію: загальна кількість SOL, куплених у перші 10 блоків, Jito та пріоритетні комісії, сплачені за заявку, відсоток обсягу найкращими x гаманцями та поточний баланс цих ранніх снайперів. Виділяючи кластеризацію вартості підстав, стислу поведінку замовлень та схеми виходу, без необхідності в атрибуції, ці евристики в додатку дають користувачам можливість помітити, коли щось пішло не так, перед тим як стати виходною ліквідністю.

Ризикова маркування на основі поведінки гаманця та структури запуску

Фронтенди повинні використовувати систему маркування ризику за рівнями, що відображає як попередню поведінку гаманця, так і підозрілу динаміку запуску, що допомагає користувачам уникати виходу з ліквідності.

Важкі прапорці ризику для повторних порушників

Гаманці з історією використання блокування, особливо коли вони пов'язані з розгортальниками через прямі або багатоперехідні потоки фінансування, мають мати постійний, високоризиковий маркер. Якщо ці гаманці взаємодіють з новим токеном, фронтенд повинен показати сильне попередження, яке важко пройти (наприклад, модальне підтвердження, вимкнено за замовчуванням). Це гаманці, які повторно видобували цінність від користувачів під час кількох запусків, і їх не слід вважати чистими учасниками.

М'які попередження про структурні червоні прапори

Токени, які проявляють перший блок, високу концентрацію ранніх власників або стиснуту поведінку початкового ордера (наприклад, 50% обсягу в перших 10 блоках, топ-3 гаманці утримують 80% постачання) повинні отримати легку, плаваючу попереджувальну мітку. Користувачі можуть навести, щоб побачити конкретні викликані евристики (наприклад, "заснайплено в тому ж блоку", "головний гаманець вийшов менш ніж за 30 с", "ранні покупки від гаманців з повторним фінансуванням"), що дає їм контекст перед прийняттям рішення.

Ця система не намагається довести зловмисний намір - вона позначає постійно екстрактивну поведінку

та запускайте шаблони з поганими оптичними властивостями справедливості, що полегшує для звичайних користувачів виявлення поганих налаштувань без потреби вчити контракт або відстежувати потоки фінансування самостійно.

Поза статичним кластеруванням

Статична маркування гаманця це недостатньо. Як тільки евристичні стануть відомими, зловмисники адаптуються - обертають гаманці, імітують роздрібну поведінку та фабрикують ознаки легітимності. Щоб залишатися ефективними, системи виявлення повинні рухатися в напрямку адаптивних маркувальних фреймворків, які постійно оновлюються зміною патернів атакуючого.

Замість захардкоджених міток гаманці повинні бути призначені показники поведінкового довіри, які відображають звички з плином часу: вік гаманця, активність між додатками, попередня поведінка продажу, тривалість утримання та кластеризація з відомими екстракторами. Ці показники повинні віддавати перевагу гаманцям, які понесли реальні витрати, щоб здаватися надійними — капітал, час або глибина використання — тим часом як покарання гаманців, які виявляють низькі зусилля, високочастотні виїмкові поведінки.

Зробивши шлях до «чистої» участі дорожчим і відстежуваним, платформи можуть зменшити життєздатність спаму в масштабі навіть без ідеальної атрибуції.

Висновок

Висновки цього звіту відзначають постійну, структуровану та прибуткову тактику, яка використовується під час запусків токенів Solana: фінансування розгортання, підстріли в тому ж блоку. Відстежуючи прямі перекази SOL від розгортальників до стрілців, ми виокремлюємо чіткий піднабір поведінки в стилі злодійства, яка експлуатує високопропускну архітектуру Solana для координованого видобутку.

Хоча наш метод відображає лише частину загальної активності по стрільбі в одному блоку, гаманці та шаблони, які він виявляє, залишають мало сумніву - це не можливість для торгівців; це оператори з привілейованою позицією, повторювані системи та чіткий намір. Масштаб та частота цієї активності показують, що координована добування мемекоїнів - це не нішева тактика - це нормалізована стратегія, що виконується тисячі разів на тиждень.

Це має значення з трьох причин:

• Це спотворює ранні ринкові сигнали, роблячи токени більш бажаними або конкурентноздатними, ніж вони є.
• Це загрожує роздрібним учасникам, які невідомо служать як вихідна ліквідність для попередньо фінансованих акторів.
• Це підриває довіру до відкритого запуску токенів, особливо на платформах, подібнихpump.funщо оптимізовані для швидкості та доступності.

Пом'якшення цього поведінки потребуватиме більше, ніж реактивна оборона. Це вимагає кращих евристик, попереджень на фронтенді, захисту на рівні протоколу та постійних зусиль для картографування та моніторингу координованих дійових осіб. Інструменти для виявлення існують - питання полягає в тому, чи вибирає екосистема їх застосовувати.

Цей звіт пропонує перший крок: надійний, відтворюваний фільтр, який ізолює найочевидніші випадки координації. Але це лише початок. Справжній виклик полягає в виявленні затемнених, еволюційних стратегій — та створенні культури на ланцюжку, яка винагороджує прозорість над екстракцією.

Відмова від відповідальності:

1. Цю статтю перепечатано з [ Аналітика сосни]. Усі авторські права належать оригінальному автору [Аналітика Pine]. Якщо є зауваження до цього перепублікування, будь ласка, зв'яжіться з Ворота Навчаннякоманда, і вони оперативно з цим впораються.
2. Відповідальність за відмову: погляди та думки, висловлені в цій статті, є виключно поглядами автора і не становлять жодних інвестиційних порад.
3. Команда Gate Learn перекладає статті на інші мови. Копіювання, поширення або плагіатування перекладених статей заборонено, якщо не зазначено інше.