Розкриття внутрішнього арбітражу при випуску токена Pumpfun

Автор: Аналітика сосни

Переклад: GaryMa У говорив про блокчейн

Резюме

Цей звіт досліджує загальний та високо координаційний мем-талоновий механізм фармінгу на Solana: розробники токенів переводять SOL на "снайперські гаманці", що дозволяє цим гаманцям купувати токен в одному і тому ж блоці, коли токен виходить на ринок. Зосередившись на чіткій, підтверджуваній фінансовій ланцюжку між розробниками та снайперами, ми виділили групу високодостовірних витягуваних дій.

Наш аналіз показує, що ця стратегія не є випадковим явищем і не є маргінальною поведінкою — лише за останній місяць було отримано понад 15 000 SOL реалізованого прибутку через більш ніж 15 000 випусків токенів, залучаючи понад 4 600 снайперських гаманців та понад 10 400 розробників. Ці гаманці демонструють аномально високий рівень успіху (87% прибутку від снайперських операцій), швидкі виходи та структуровані моделі роботи.

Ключове відкриття:

• Фінансовані розгортаннями снайперські дії мають системний характер, є прибутковими і зазвичай автоматизованими, причому снайперські активності найбільш зосереджені в робочий час в США.
• Використання декількох гаманців для симуляції сільськогосподарської структури є дуже поширеним, часто використовуються тимчасові гаманці та спільні виведення для моделювання реальних потреб.
• Методи обману постійно вдосконалюються, такі як багатоступеневі фінансові ланцюги та багатопідписні атаки на угоди, щоб уникнути виявлення.
• Хоча є обмеження, наш фільтр капіталу все ще може захоплювати найчіткіші, повторювані випадки «внутрішньої» поведінки в масштабах.
• Цей звіт пропонує набір практичних евристичних методів, які допомагають командам протоколу та фронтенду в реальному часі виявляти, маркувати та реагувати на такі дії — — включаючи відстеження концентрації ранніх позицій, прив'язування міток до гаманців розробників і видачу фронтенд-попереджень користувачам під час високоризикових випусків.

Хоча наш аналіз охоплює лише підгрупу поведінки блокових снайперів у межах одного регіону, його масштаб, структура та прибутковість свідчать про те, що випуск токенів Solana активно контролюється кооперативними мережами, тоді як існуючі заходи захисту є явно недостатніми.

методологія

Цей аналіз починається з чіткої мети: ідентифікувати поведінку, що свідчить про спільне використання мем- токенів на Solana, особливо у випадках, коли розробники надають фінансування для грабіжницьких гаманців у момент запуску токенів у тому ж блоці. Ми розділили питання на наступні етапи:

1. Фільтрація однакових блоків

Ми починаємо з перевірки гаманців, які снайперять в одному блоці після розгортання. Оскільки: Solana не має глобального мемпулу; Знати адресу токена до того, як він з'явиться на загальнодоступному фронтенді; і надзвичайно короткий час між розгортанням і першою взаємодією з DEX. Майже неможливо, щоб така поведінка відбувалася природним шляхом, тому «снайперство з одним і тим же блоком» стає фільтром високої впевненості для виявлення потенційної змови або привілейованої діяльності.

2. Визначення та розгортання гаманця, пов'язаного з розробником

Щоб відрізнити технічних снайперів від співпрацюючих "внутрішніх людей", ми відстежували перекази SOL між розробником та снайперами до виходу токена, позначивши лише ті гаманці, які відповідали таким умовам: безпосередньо отримували SOL від розробника; безпосередньо надсилали SOL розробнику. Лише гаманці, які мали безпосередні перекази до виходу, були включені до остаточної вибірки даних.

3. Пов'язати снайпінг з прибутком від токенів

Для кожного гаманця-мішені ми відстежуємо його торгову активність на токенах-мішенях, зокрема обчислюємо: загальну суму SOL, витрачену на купівлю цього токена; загальну суму SOL, отриману від продажу на DEX; реалізований чистий прибуток (а не номінальний дохід). Це дозволяє точно визначити прибуток, який кожен раз вилучається з розробника.

4. Оцінка масштабу та поведінки гаманців

Ми аналізуємо масштаб таких заходів з кількох аспектів: кількість незалежних розгортачів та снайперських гаманців; підтверджена кількість спільних атак на блоки; розподіл прибутків від атак; кількість токенів, випущених кожним розгортачем; випадки повторного використання снайперських гаманців між токенами.

5. Сліди активності машини

Щоб зрозуміти, як відбуваються ці операції, ми групуємо активність снайперів за годинами UTC. Результати показують: активність зосереджена в певному часовому вікні; у глибокій ночі за UTC вона помітно знижується; це свідчить про те, що це більше схоже на cron-завдання або ручні вікна виконання, які узгоджені з США, ніж на глобалізацію та постійну автоматизацію.

6. Аналіз поведінки виходу

Нарешті, ми досліджуємо поведінку пов'язаних гаманців розгортача під час продажу токенів, які стали об'єктом атаки: вимірюємо час між першою покупкою та остаточним продажем (тривалість утримання); підраховуємо кількість окремих угод продажу, які використовуються кожним гаманцем для виходу. Таким чином, ми можемо відрізнити, чи вибирає гаманець швидкий розпродаж, чи поступовий, а також дослідити взаємозв'язок між швидкістю виходу та прибутковістю.

Зосередження на найбільш чітких загрозах

Ми спочатку виміряли масштаб атаки на блоки під час випуску pump.fun, і результати вражають: понад 50% токенів були атаковані в момент створення блоку — атака на блоки стала домінуючою моделлю випуску.

На Solana участь в одному блоці зазвичай вимагає: попередньо підписаних транзакцій; координації поза ланцюгом; або спільної інфраструктури між розробником і покупцем.

Не всі блокчейн-снайпери однаково злісні, принаймні існує дві категорії ролей: "роботи, що кидають сітку" — тестують евристичні методи або дрібну спекуляцію; співпраця з внутрішніми особами — включає розробників, які надають фінансування своїм покупцям.

Щоб зменшити кількість хибних сповіщень і підкреслити справжню співпрацю, ми додали суворий фільтр у фінальний показник: ми враховуємо лише прямі трансакції SOL між розробником та кишенею-стрілком, які сталися до запуску. Це дозволяє нам впевнено визначити: гаманці, які контролюються безпосередньо розробником; гаманці, які діють під керівництвом розробника; гаманці, що мають внутрішні канали.

Дослідження випадку 1: Пряме фінансування

Гаманець розробника 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE надіслав 1,2 SOL у три різні гаманці, після чого створив токен під назвою SOL > BNB. Три гаманці, що отримали фінансування, завершили свій викуп у тому ж блоці, в якому був створений токен, ще до того, як він став видимим для ширшого ринку. Потім вони швидко продали свої активи, отримавши прибуток, і виконали узгоджений блискавичний вихід. Це класичний приклад, зафіксований нашим методом фінансового ланцюга, де було використано попереднє фінансування для атаки на токени сільського господарства. Незважаючи на простоту методики, вона масово відтворювалася тисячі разів під час випуску.

Дослідження випадку 2: Багатокрокове фінансування

Гаманець GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA пов'язаний з багаторазовими токеновими снайпами. Цей суб'єкт не вкладав кошти безпосередньо в снайперський гаманець, а передавав SOL через 5-7 рівнів проміжних гаманців до фінального снайперського гаманця, таким чином здійснюючи снайп в одному блоці.

Наші існуючі методи виявляють лише деякі попередні перекази розгортача, але не можуть охопити всю ланцюг до кінцевого гнучкого гаманця. Ці релейні гаманці зазвичай "одноразові", використовуються лише для передачі SOL, що ускладнює їх зв'язок через прості запити. Ця прогалина не є недоліком проектування, а є результатом компромісу з обчислювальними ресурсами — відстеження шляхів багатократного фінансування в масштабних даних, хоча і можливе, є надзвичайно затратним. Тому поточна реалізація надає перевагу високій впевненості та прямим зв'язкам для збереження ясності та відтворюваності.

Ми використали візуальні інструменти Arkham для демонстрації цього довшого ланцюга фінансування, графічно показавши, як кошти перетікають з початкового гаманця через обгортковий гаманець до фінального гаманця розробника. Це підкреслює складність замішування джерел фінансування та вказує на напрямок для покращення методів виявлення в майбутньому.

Чому зосереджено увагу на "прямому фінансуванні та гаманцях, які націлені на блокчейн"

До кінця цієї статті ми розглянемо лише снайперські гаманці, які отримували кошти розгортача безпосередньо перед виходом у мережу та стріляли з них у межах одного блоку. І ось чому: вони приносять значний прибуток; Мінімальні засоби маскування; являє собою найбільш робочу шкідливу підмножину; Їх вивчення забезпечує найбільш чітку евристичну основу для виявлення та пом'якшення більш просунутих стратегій видобутку.

Виявлено

Зосереджуючись на підмножині "один блокчейн снайпер + прямий ланцюг фінансування", ми розкриваємо широкий, структурований та високо прибутковий онлайновий співпраця. Всі наведені дані охоплюють період з 15 березня до сьогодні:

1. Дуже поширеним і систематизованим є цілевказання в межах одного блоку та за рахунок розробника.

a. Протягом минулого місяця було підтверджено, що понад 15 000 токенів були безпосередньо атаковані гаманцями отримання коштів на момент запуску в блокчейні;

b. Залучено понад 4,600 снайперських гаманців, понад 10,400 розгортачів;

c. Частка pump.fun складає приблизно 1,75 %.

2. Ця діяльність приносить великий прибуток

a. Пряме отримання фінансування через гаманці вже реалізувало чистий прибуток > 15,000 SOL；

b. Ймовірність успіху снайперської атаки 87 %, невелика кількість невдалих угод;

c. Типові доходи з одного гаманця 1–100 SOL, небагато перевищують 500 SOL.

3. Повторне розгортання та прицілювання на фермерські мережі

a. Багато розробників використовують нові гаманці для масового створення десятків до сотень токенів;

b. Деякі снайперські гаманці виконують сотні снайпів за один день;

c. Спостерігається структура "центр-промені": один гаманець інвестує в кілька снайперських гаманців, які всі націлені на один і той же токен.

4. Снайпінг демонструє орієнтовану на людину часову модель

a. Активність досягає піку з 14:00 до 23:00 за UTC; з 00:00 до 08:00 за UTC майже зупиняється;

b. Відповідає робочому часу США, що означає, що це ручний/cron тригер, а не цілодобова автоматизація.

5. Плутанина між одноразовими гаманцями та багатопідписними транзакціями

a. Депонент одночасно вносить кошти в кілька гаманців і підписує атаку в одній операції;

b. Ці гарячі гаманці більше не підписуватимуть жодних транзакцій;

c. Деплойер розподіляє первісну покупку на 2–4 гаманці, маскуючи реальний попит.

вихідна поведінка

Щоб глибше зрозуміти, як ці гаманці виходять, ми розділили дані на дві великі поведінкові виміри:

1. Швидкість виходу (Exit Timing) — час від початкової покупки до остаточного продажу;

2. Кількість продажів (Swap Count) — кількість окремих угод продажу, використаних для виходу.

Дані висновки

1. Швидкість виведення

a. 55 % снайперських продажів було завершено за 1 хвилину;

b. 85 % за 5 хвилин ліквідувати позицію;

c. 11 % завершено за 15 секунд.

2. Кількість продажів

a. Більше 90 % снайперських гаманців виходять лише з 1-2 продажів;

b. Дуже рідко використовують поступовий продаж.

3. Тенденції прибутку

a. Найбільш прибуткові - це гаманці з виходом за < 1 хвилину, далі < 5 хвилин;

b. Довше утримання або багаторазовий продаж, хоч і з дещо вищою середньою одноразовою прибутковістю, але в дуже малих кількостях, має обмежений внесок у загальний прибуток.

Пояснення

Ці моделі вказують на те, що фінансовані розгортачем снайпінги не є торговими операціями, а є автоматизованими, низькоризиковими стратегіями вилучення:

·Купити заздалегідь → Швидко продати → Повністю вийти.

·Один продажа не враховує коливання цін, а лише використовує можливість dump.

·Деякі більш складні стратегії виходу є лише винятком, нетрадиційною моделлю.

Доступні інсайти

Наступні рекомендації спрямовані на допомогу командам протоколів, розробникам фронтенду та дослідникам у виявленні та реагуванні на моделі випуску токенів шляхом видобутку або співпраці, перетворюючи спостережувану поведінку на евристики, фільтри та попередження, підвищуючи прозорість для користувачів та зменшуючи ризики.

Висновок

Цей звіт виявляє стратегію безперервного, структурованого та високоприбуткового вилучення токенів Solana: снайпінг у тому ж блоці, фінансований розробником. Відстежуючи прямі перекази SOL від розробника до снайперського гаманця, ми зафіксували ряд дій, схожих на поведінку інсайдерів, що використовують високу пропускну здатність Solana для спільного вилучення.

Хоча цей метод захоплює лише частину блокових снайперських атак, його масштаби та модель свідчать про те, що це не випадкові спекуляції, а оператори з привілейованими позиціями, повторюваними системами та чіткими намірами. Важливість цієї стратегії виявляється в:

1. Викривлення ранніх ринкових сигналів, щоб токени виглядали більш привабливими або конкурентоспроможними;

2. Загроза для роздрібних інвесторів — вони стають ліквідністю для виходу без відома про це;

3. Підрив довіри до відкритого випуску токенів, особливо на платформах, таких як pump.fun, що прагнуть до швидкості та зручності.

Для вирішення цієї проблеми потрібно не лише пасивне захист, але й кращі евристики, попередження на фронті, бар'єри на рівні протоколів, а також постійні зусилля з картографії та моніторингу спільних дій. Інструменти для виявлення вже існують — проблема в тому, чи готова екосистема насправді їх застосувати.

Цей звіт зробив перший крок: він надав надійний, відтворюваний фільтр для виявлення найочевидніших спільних дій. Але це лише початок. Справжній виклик полягає в тому, щоб виявити високо замасковані, постійно еволюціонуючі стратегії та створити онлайнову культуру, яка винагороджує прозорість, а не вилучення.