原文作者: Pine Analytics
原文編譯:GaryMa 吳說區塊鏈
摘要
本報告調查了Solana 上一個普遍且高度協同的 meme 代幣刷農(farming)模式:代幣部署者向“狙擊錢包(sniper wallets)” 轉入SOL,使這些錢包能夠在代幣上線的同一區塊內買入該代幣。透過聚焦部署者與狙擊者之間清晰、可證明的資金鏈,我們鎖定了一組高置信度的抽取式行為。
我們的分析顯示,這種策略既不是偶發現象,也不是邊緣行為 — — 僅在過去一個月內,就透過這種方式從 15, 000 多次代幣發行中提取了超過 15, 000 SOL 的已實現利潤,涉及4, 600 多個狙擊錢包和 10, 400 多個部署者。這些錢包表現出異常高的成功率(87% 的狙擊獲利)、乾淨的退出方式以及結構化的操作模式。
關鍵發現:
· 部署者資助的狙擊具備系統性、獲利性且通常自動化,狙擊活動在美國工作時間內最為集中。
· 多錢包刷農結構十分常見,經常使用臨時錢包與協同退出來模擬真實需求。
· 混淆手段不斷升級,例如多跳資金鍊和多簽名狙擊交易,以逃避檢測。
· 雖有局限,我們的一跳資金過濾器仍能抓取最清晰、可重複的大規模「內部人」行為案例。
· 本報告提出了一套可操作的啟發式方法,幫助協議團隊和前端即時識別、標記並應對此類活動 — — 包括追蹤早期持倉集中度、給部署者關聯錢包打標籤,並在高風險發行中向用戶發出前端警告。
儘管我們的分析僅涵蓋了同區塊狙擊行為的一個子集,但其規模、結構和盈利性表明:Solana 代幣發行正受到協同網路的積極操控,而現有防禦措施遠遠不足。
方法論
本分析以一個明確目標為起點:識別Solana 上顯示協同meme 代幣刷農的行為,尤其是部署者在代幣上線同區塊為狙擊錢包提供資金的情況。我們將問題分為以下階段:
1. 篩選同區塊狙擊
我們首先篩選部署後同一區塊即被狙擊的錢包。由於:Solana 沒有全域mempool;要在代幣出現在公共前端之前知曉其地址;以及部署與首次DEX 互動之間的時間極短。這種行為幾乎不可能是自然發生,因此「同區塊狙擊」成為識別潛在串通或特權活動的高置信度過濾器。
2. 辨識與部署者關聯的錢包
為區分技術高超的狙擊者與協同“內部人”,我們追蹤了代幣上線前部署者與狙擊者之間的SOL 轉賬,僅標記滿足以下條件的錢包:直接從部署者接收SOL;直接向部署者發送SOL。只有在上線前存在直接轉帳的錢包才被納入最終資料集。
3. 將狙擊與代幣利潤關聯
針對每個狙擊錢包,我們映射其在被狙擊代幣上的交易活動,具體計算:買入該代幣花費的SOL 總額;在DEX 賣出所得的SOL 總額;已實現淨利潤(而非名義收益)。這樣可精確歸因每次狙擊從部署者抽取的利潤。
4. 衡量規模與錢包行為
我們從多個維度分析此類活動的規模:獨立部署者與狙擊錢包數量;確認的協同區塊狙擊次數;狙擊利潤分佈;部署者每人發行的代幣數量;狙擊錢包跨代幣復用情況。
5. 機器活動痕跡
為了解這些操作如何進行,我們將狙擊活動按UTC 小時分組。結果顯示:活動集中在特定時間窗口;在UTC 深夜時段顯著下降;這表明與其說是全球化、持續的自動化,不如說是與美國對齊的cron 任務或人工執行窗口。
6. 退出行為分析
最後,我們研究部署者關聯錢包在賣出被狙擊代幣時的行為:測量首筆買入到最終賣出之間的時間(持倉時長);統計每個錢包退出所用的獨立賣出交易數量。由此分辨錢包是選擇快速清倉或漸進式拋售,並檢視退出速度與獲利性的關聯。
聚焦最清晰的威脅
我們首先衡量了pump.fun 發行中同區塊狙擊的規模,結果令人震驚:超過50 % 的代幣在創建區塊就被狙擊 — — 同區塊狙擊已從邊緣案例變成主導發行模式。
在Solana 上,同區塊參與通常需要:預簽交易;鏈下協調;或部署者與買家共用基礎設施。
並非所有同區塊狙擊都同樣惡意,至少存在兩類角色:「撒網試運氣」機器人 — — 測試啟發式或小額投機;協同內部人 — — 包括部署者為自己的買家提供資金。
為減少誤報並突出真正的協同行為,我們在最終指標中加入了嚴格過濾:僅統計上線前部署者與狙擊錢包間存在直接SOL 轉賬的狙擊。這使我們能自信地鎖定:由部署者直接控制的錢包;在部署者指揮下行事的錢包;擁有內部管道的錢包。
個案研究1 :直接資助
部署者錢包8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE 向3 個不同錢包共發送1.2 SOL,然後部署名為SOL > BNB 的代幣。 3 個獲資錢包在代幣創建的同一區塊內即完成搶購,搶在更廣泛市場可見之前。隨後,它們快速賣出獲利,執行了協調一致的閃電退出。這是透過預資狙擊錢包刷農代幣的教科書式範例,並被我們的資金鏈方法直接捕獲。儘管手法簡單,卻在數千次發行中大規模上演。
個案研究2 :多跳資助
錢包GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA 與多次代幣狙擊有關。該實體並未直接為狙擊錢包注資,而是將SOL 通過5 – 7 層中轉錢包再到最終狙擊錢包,在同區塊完成狙擊。
我們的現有方法只偵測到部署者的一些初步轉賬,卻未能抓全向最終狙擊錢包的整個鏈。這些中繼錢包通常“一次性使用”,僅用於傳遞SOL,使其難以透過簡單查詢關聯。此缺口並非設計缺陷,而是出於計算資源權衡 — — 在大規模資料中追蹤多跳資金路徑雖然可行,但開銷巨大。因此目前實現優先選擇高置信度、直連鏈路以保持清晰與可複現性。
我們藉助Arkham 的視覺化工具展示了這條更長的資金鏈,圖形化呈現了資金如何從初始錢包經殼錢包一路流向最終部署者錢包。這突顯了資金來源混淆的複雜程度,也為未來完善檢測方法指明了方向。
為什麼聚焦“直接資助且同區塊狙擊的錢包”
在本文餘下部分,我們僅研究上線前直接獲得部署者資金、並在同一區塊內狙擊的狙擊錢包。原因如下:它們貢獻了可觀利潤;混淆手段最少;代表最具操作性的惡意子集;研究它們能為偵測並緩解更高級的抽取策略提供最清晰的啟發式框架。
發現
聚焦於「同區塊狙擊+ 直接資金鏈」這一子集,我們揭示了一種廣泛、結構化且高度盈利的鏈上協同行為。以下全部數據涵蓋3 月15 日至今:
1. 同區塊且部署者資助的狙擊十分常見且系統化
a. 過去一個月確認15, 000+ 個代幣在上線區塊即被直接獲資錢包狙擊;
b. 涉及4, 600+ 個狙擊錢包、 10, 400+ 名部署者;
c. 佔pump.fun 發行量約1.75 %。
2. 該行為大規模獲利
a. 直接獲資狙擊錢包已實現淨利> 15, 000 SOL;
b. 狙擊成功率87 %,失敗交易極少;
c. 單錢包典型收益1 – 100 SOL,少數超500 SOL。
3. 重複部署與狙擊指向刷農網絡
a. 許多部署者使用新錢包大量創建數十到數百代幣;
b. 某些狙擊錢包在一天內執行數百次狙擊;
c. 觀察到「中心-輻射」結構:一個錢包為多個狙擊錢包注資,所有狙擊同一代幣。
4. 狙擊呈現以人為中心的時間模式
a. 活躍高峰在UTC 14: 00 – 23: 00 ;UTC 00: 00 – 08: 00 幾乎停擺;
b. 與美國工作時間契合,說明為人工/cron 定時觸發,而非全球24 小時全自動。
5. 一次性錢包與多簽交易混淆所有權
a. 部署者同時為數個錢包注資並在同一交易裡簽署狙擊;
b. 這些燒錢包此後不再簽任何交易;
c. 部署者把初始買入拆到2 – 4 個錢包,偽裝真實需求。
退出行為
為深入了解這些錢包如何退出,我們以兩大行為維度拆解數據:
1. 退出速度(Exit Timing) — — 從首買到最終賣出的時間;
2. 賣出筆數(Swap Count) — — 退出所用獨立賣出交易數量。
數據結論
1. 退出速度
a. 55 % 的狙擊在1 分鐘內全部賣完;
b. 85 % 在5 分鐘內清倉;
c. 11 % 在15 秒內完成。
2. 賣出筆數
a. 超過90 % 的狙擊錢包只用1 – 2 筆賣單退出;
b. 極少採用漸進式拋售。
3. 獲利趨勢
a. 最賺錢的是< 1 分鐘退出的錢包,其次< 5 分鐘;
b. 較長持有或多次賣出雖平均單次利潤略高,但數量極少,對總利潤貢獻有限。
解釋
這些模式顯示:部署者資助的狙擊並非交易行為,而是自動化、低風險抽取策略:
· 搶先買進→ 快速賣出→ 完全退出。
· 單筆賣出代表毫不關心價格波動,只利用先機dump。
· 少數較複雜的退出策略只是例外,非主流模式。
可操作洞見
以下建議旨在協助協議團隊、前端開發者及研究者識別並應對抽取式或協同代幣發行模式,透過將觀察到的行為轉化為啟發式、過濾器與警示,提高用戶透明度並降低風險。
結論
本報告揭示了一種持續、結構化且高利潤的Solana 代幣發行抽取策略:部署者資助的同區塊狙擊。透過追蹤部署者向狙擊錢包的直接SOL 轉賬,我們鎖定了一批內部人風格的行為,並利用Solana 的高吞吐架構進行協同抽取。
雖然本方法只捕捉了同區塊狙擊的一部分,但其規模與模式表明:這不是零散投機,而是擁有特權位置、可重複系統和明確意圖的運營者。此策略的重要性體現在:
1. 扭曲早期市場訊號,讓代幣看似更具吸引力或競爭力;
2. 危害散戶 — — 他們在不知情的情況下成為退出流動性;
3. 削弱開放式代幣發行的信任,尤其在追求速度與易用性的pump.fun 等平台。
要緩解此問題,需要的不只是被動防禦,還包括更佳的啟發式、前端預警、協議級護欄,以及持續映射與監控協同行為的努力。檢測工具已存在 — — 問題在於生態是否願意真正加以應用。
本報告邁出了第一步:提供了一個可靠、可重複的篩選器,以鎖定最明顯的協同行為。但這只是開始。真正的挑戰在於偵測高度混淆、不斷演化的策略,並打造一個鏈上文化,獎勵透明而非抽取。
