Revelando a arbitragem interna de sniping na emissão de tokens Pumpfun

Autor: Pine Analytics

Compilado por: GaryMa Wu disse Blockchain

Resumo

Este relatório investiga um modelo de farming de tokens meme que é comum e altamente colaborativo na Solana: os implantadores de tokens transferem SOL para "carteiras sniper", permitindo que essas carteiras comprem o token na mesma block em que ele é lançado. Ao focar na cadeia de fundos clara e verificável entre o implantador e os snipers, identificamos um grupo de comportamentos extrativos de alta confiabilidade.

A nossa análise mostra que esta estratégia não é um fenómeno ocasional nem um comportamento marginal — apenas no último mês, foram extraídos mais de 15,000 SOL de lucros realizados através de mais de 15,000 emissões de tokens, envolvendo mais de 4,600 carteiras de sniper e mais de 10,400 implementadores. Estas carteiras demonstram uma taxa de sucesso anormalmente alta (87% de lucros com sniping), formas de saída limpas e um padrão de operação estruturado.

Descoberta chave:

• Os snipers financiados pelo implementador são sistemáticos, lucrativos e geralmente automatizados, com atividades de sniping concentradas durante o horário de trabalho nos Estados Unidos.
• A estrutura de múltiplas carteiras agrícolas é bastante comum, frequentemente usando carteiras temporárias e saídas colaborativas para simular a demanda real.
• Os métodos de ofuscação estão em constante evolução, como cadeias de fundos de múltiplos saltos e transações de múltiplas assinaturas, para evitar a deteção.
• Embora tenha limitações, o nosso filtro de capital Jump ainda consegue captar os casos de comportamento de "insiders" em grande escala de forma mais clara e repetível.
• Este relatório apresenta um conjunto de métodos heurísticos operacionais que ajudam as equipas de protocolo e front-end a identificar, marcar e responder a tais atividades em tempo real — incluindo o rastreamento da concentração de posições iniciais, a rotulagem de carteiras associadas a implementadores e o envio de avisos de front-end aos utilizadores em emissões de alto risco.

Apesar de nossa análise cobrir apenas um subconjunto do comportamento de sniping de blocos, sua escala, estrutura e lucratividade indicam que a emissão de tokens Solana está sendo ativamente manipulada por redes colaborativas, enquanto as atuais medidas de defesa são claramente insuficientes.

metodologia

Esta análise tem como ponto de partida um objetivo claro: identificar comportamentos de lavagem de tokens meme colaborativos na Solana, especialmente em situações em que o desenvolvedor fornece financiamento a carteiras de ataque no mesmo bloco em que o token é lançado. Dividimos a questão nas seguintes fases:

1. Filtrar snipers na mesma rede

Primeiro, filtramos as carteiras que foram alvo de sniping no mesmo bloco após o deployment. Isso se deve ao fato de que: a Solana não possui um mempool global; é necessário saber o endereço antes que o token apareça na interface pública; e o tempo entre o deployment e a primeira interação com o DEX é extremamente curto. Esse comportamento é quase impossível de ocorrer naturalmente, portanto, o "sniping no mesmo bloco" torna-se um filtro de alta confiança para identificar atividades potenciais de conluio ou privilégio.

2. Identificar e implantar carteiras associadas ao implantador

Para distinguir entre snipers tecnicamente habilidosos e "insiders" colaborativos, rastreamos as transferências de SOL entre os desenvolvedores e os snipers antes do lançamento do token, marcando apenas as carteiras que atendem às seguintes condições: receber SOL diretamente do desenvolvedor; enviar SOL diretamente ao desenvolvedor. Apenas as carteiras que tinham transferências diretas antes do lançamento foram incluídas no conjunto de dados final.

3. Associar o sniping aos lucros dos tokens

Para cada carteira de sniper, mapeamos suas atividades de negociação no token alvo, calculando especificamente: o total de SOL gasto na compra desse token; o total de SOL obtido na venda em DEX; o lucro líquido realizado (e não o lucro nominal). Desta forma, podemos atribuir com precisão o lucro retirado de cada sniper do deployer.

4. Medindo o tamanho e o comportamento das carteiras

Analisamos a escala deste tipo de atividade a partir de várias dimensões: número de implantadores independentes e carteiras de sniper; número de vezes que as snipers colaboraram na mesma block; distribuição dos lucros das snipers; número de tokens emitidos por cada implantador; situação de reutilização de carteiras de sniper entre diferentes tokens.

5. Vestígios de atividade da máquina

Para entender como essas operações são realizadas, agrupamos as atividades de sniper por horas UTC. Os resultados mostram: as atividades estão concentradas em janelas de tempo específicas; diminuem significativamente durante a noite em UTC; o que sugere que, mais do que uma automação global e contínua, é mais um cron job ou uma janela de execução manual alinhada com os Estados Unidos.

6. Análise do Comportamento de Saída

Por fim, estudamos o comportamento das carteiras associadas aos deployers ao vender tokens que foram alvo de sniper: medimos o tempo entre a primeira compra e a venda final (duração da posição); contabilizamos o número de transações de venda independentes utilizadas por cada carteira para sair. Com isso, distinguimos se a carteira opta por uma liquidação rápida ou uma venda gradual, e examinamos a relação entre a velocidade de saída e a rentabilidade.

Focar na ameaça mais clara

Primeiro, medimos a escala de sniping no mesmo bloco durante a emissão do pump.fun, e os resultados foram chocantes: mais de 50% dos tokens foram sniped no bloco de criação — o sniping no mesmo bloco passou de um caso marginal para um modo de emissão dominante.

Na Solana, a participação no mesmo bloco geralmente requer: transações pré-assinadas; coordenação off-chain; ou infraestrutura compartilhada entre o implantador e o comprador.

Nem todos os ataques de sniper de bloco são igualmente maliciosos, existem pelo menos duas categorias de papéis: "robôs de pesca" — testando heurísticas ou especulação de baixo valor; colaboradores internos — incluindo implantadores que fornecem financiamento para seus compradores.

Para reduzir os falsos positivos e destacar os verdadeiros comportamentos colaborativos, adicionámos uma filtragem rigorosa aos indicadores finais: apenas contabilizamos os ataques que envolvem transferências diretas de SOL entre o implementador e as carteiras de ataque antes do lançamento. Isso nos permite identificar com confiança: carteiras controladas diretamente pelo implementador; carteiras que operam sob a orientação do implementador; carteiras com canais internos.

Estudo de Caso 1: Financiamento Direto

Carteira do implantador 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE enviou um total de 1,2 SOL para 3 carteiras diferentes, e então implantou um token chamado SOL > BNB. As 3 carteiras de financiamento completaram a compra no mesmo bloco em que o token foi criado, antes de se tornarem visíveis para o mercado mais amplo. Em seguida, elas rapidamente venderam para obter lucro, executando uma saída relâmpago coordenada. Este é um exemplo clássico de como uma carteira de ataque pré-financiada pode manipular tokens agrícolas, capturado diretamente pelo nosso método de cadeia de financiamento. Apesar da simplicidade da técnica, ela foi encenada em larga escala em milhares de emissões.

Estudo de Caso 2: Financiamento Multihop

A carteira GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA está relacionada com múltiplas tentativas de sniping de tokens. Esta entidade não injetou diretamente fundos na carteira de sniping, mas transferiu SOL através de 5 a 7 carteiras intermediárias até à carteira de sniping final, completando assim o sniping no mesmo bloco.

Nosso método existente detetou apenas algumas transferências iniciais do implantador, mas não conseguiu capturar toda a cadeia da carteira final do franco-atirador. Estas carteiras de retransmissão são muitas vezes de "uso único" e são usadas apenas para passar SOL, tornando-as difíceis de correlacionar com consultas simples. Essa lacuna não é uma falha de design, mas sim um trade-off em recursos de computação — traçar caminhos de financiamento multi-hop em dados de grande escala é viável, mas caro. Como resultado, as implementações atuais priorizam links de alta confiança e conectados diretamente para manter a clareza e a reprodutibilidade.

Utilizamos a ferramenta de visualização da Arkham para mostrar esta cadeia de fundos mais longa, apresentando graficamente como os fundos fluem desde a carteira inicial através da carteira shell até à carteira do implementador final. Isso destaca a complexidade da confusão da fonte dos fundos e indica o caminho para melhorar os métodos de detecção no futuro.

Por que focar em "carteiras de financiamento direto e de ataque a blockchain"

Na restante parte deste artigo, iremos apenas estudar as wallets de sniper que obtêm diretamente os fundos dos deployers antes do lançamento e que atacam no mesmo bloco. As razões são as seguintes: elas contribuem com lucros consideráveis; têm os mínimos métodos de confusão; representam o subconjunto malicioso mais operacional; estudá-las pode fornecer o quadro heurístico mais claro para detectar e mitigar estratégias de extração mais avançadas.

Descoberto

Focando no subconjunto "sniping no mesmo bloco + cadeia de financiamento direta", revelamos um comportamento colaborativo em cadeia amplo, estruturado e altamente lucrativo. Todos os dados a seguir cobrem o período de 15 de março até agora:

1. É muito comum e sistemático o sniper que é financiado pelo mesmo bloco e pelo implementador.

a. Nos últimos meses, mais de 15.000 tokens foram diretamente alvo de carteiras de financiamento assim que foram lançados na blockchain;

b. Envolve mais de 4,600 carteiras de sniper e mais de 10,400 implementadores;

c. A participação no pump.fun é de aproximadamente 1,75 %.

2. Esta ação é altamente lucrativa

a. O wallet de ataque direto já alcançou um lucro líquido > 15,000 SOL;

b. Taxa de sucesso de sniper 87 %, muito poucas transações falhadas;

c. Rendimentos típicos de uma única carteira 1–100 SOL, poucos acima de 500 SOL.

3. Repetição de implantação e direcionamento para a rede de agricultura de sniper

a. Muitos implementadores utilizam novas carteiras para criar em massa dezenas a centenas de tokens;

b. Algumas carteiras de sniper executam centenas de snipes em um dia;

c. Observou-se a estrutura "centro-radial": uma carteira financia várias carteiras de sniper, todas visando o mesmo token.

4. O sniping apresenta um padrão temporal centrado no ser humano

a. O pico de atividade é das 14:00 às 23:00 UTC; quase em pausa das 00:00 às 08:00 UTC;

b. Alinhado com o horário de trabalho dos EUA, indicando que é acionado manualmente/cron, e não totalmente automático 24 horas por dia em todo o mundo.

5. Confusão de propriedade entre carteiras de uso único e transações multi-assinatura

a. O depositante aporta vários wallets ao mesmo tempo e assina o ataque na mesma transação;

b. Estas carteiras quentes não assinarão mais nenhuma transação a partir de agora;

c. O implementador divide a compra inicial em 2–4 carteiras para disfarçar a demanda real.

comportamento de saída

Para entender melhor como essas carteiras saem, dividimos os dados em duas grandes dimensões de comportamento:

1. Tempo de Saída (Exit Timing) — do primeiro compra até a venda final;

2. Número de Vendas (Swap Count) — — Quantidade de transações de venda independentes utilizadas para a saída.

Conclusão dos dados

1. Velocidade de Saída

a. 55 % dos snipers venderam tudo em 1 minuto;

b. 85 % em 5 minutos para liquidar;

c. 11 % concluído em 15 segundos.

2. Número de vendas

a. Mais de 90 % das carteiras de sniper saem apenas com 1-2 ordens de venda;

b. Raramente se utiliza a venda progressiva.

3. Tendência de Lucro

a. O mais lucrativo é a carteira que sai em < 1 minuto, seguido por < 5 minutos;

b. A manutenção por um período mais longo ou a venda múltipla, embora com um ligeiro aumento no lucro médio por transação, resulta em uma quantidade muito pequena, contribuindo assim de forma limitada para o lucro total.

Explicação

Esses padrões indicam que o financiamento de snipers pelos deployers não é uma atividade de negociação, mas sim uma estratégia de extração automatizada e de baixo risco:

·Comprar antecipadamente → Vender rapidamente → Sair completamente.

·A venda única representa uma total indiferença às flutuações de preços, utilizando apenas a oportunidade para dump.

·Poucas estratégias de saída mais complexas são apenas exceções, modos não convencionais.

Insights Operacionais

As seguintes recomendações visam ajudar as equipas de protocolo, desenvolvedores front-end e investigadores a identificar e enfrentar modelos de emissão de tokens de extração ou colaboração, convertendo comportamentos observados em heurísticas, filtros e alertas, aumentando a transparência do utilizador e reduzindo riscos.

Conclusão

Este relatório revela uma estratégia de extração de emissão de tokens Solana que é contínua, estruturada e altamente lucrativa: o sniping financiado pelo implantador no mesmo bloco. Ao rastrear as transferências diretas de SOL do implantador para a carteira de sniping, identificamos um conjunto de comportamentos estilo insider, aproveitando a arquitetura de alta capacidade de processamento da Solana para extrações colaborativas.

Embora este método capture apenas uma parte da sniperização no mesmo bloco, sua escala e padrão indicam que: isso não é especulação esporádica, mas sim operadores com posição privilegiada, sistemas repetíveis e intenções claras. A importância desta estratégia reside em:

1. Distorcer os sinais do mercado inicial, fazendo com que os tokens pareçam mais atraentes ou competitivos;

2. Perigo para os pequenos investidores — eles se tornam liquidez de saída sem saber;

3. Desvalorizar a confiança na emissão de tokens aberta, especialmente em plataformas como pump.fun que priorizam a velocidade e a facilidade de uso.

Para mitigar este problema, não é apenas necessária uma defesa passiva, mas também melhores heurísticas, alerta prévio, proteções a nível de protocolo, bem como esforços contínuos para mapear e monitorar comportamentos colaborativos. As ferramentas de detecção já existem — o problema é se o ecossistema está realmente disposto a aplicá-las.

Este relatório deu o primeiro passo: forneceu um filtro confiável e reproduzível para identificar os comportamentos colaborativos mais óbvios. Mas isso é apenas o começo. O verdadeiro desafio está em detectar estratégias altamente confusas e em constante evolução, e em criar uma cultura on-chain que recompense a transparência em vez da extração.