Khám phá nội bộ kinh doanh chênh lệch giá phát hành token Pumpfun

Tác giả: Pine Analytics

Biên dịch: GaryMa Ngô nói về blockchain

Tóm tắt

Báo cáo này điều tra một mô hình meme token farming phổ biến và có tính hợp tác cao trên Solana: các nhà phát triển token chuyển SOL vào "ví sniper" để những ví này có thể mua token trong cùng một khối khi token ra mắt. Bằng cách tập trung vào chuỗi tiền tệ rõ ràng và có thể chứng minh giữa nhà phát triển và những kẻ săn lùng, chúng tôi đã xác định một nhóm hành vi rút tiền có độ tin cậy cao.

Phân tích của chúng tôi cho thấy, chiến lược này không phải là hiện tượng ngẫu nhiên cũng không phải là hành vi biên - chỉ trong vòng một tháng qua, đã rút ra lợi nhuận thực hiện hơn 15,000 SOL từ hơn 15,000 lần phát hành token theo cách này, liên quan đến hơn 4,600 ví săn và hơn 10,400 nhà phát triển. Những ví này thể hiện tỷ lệ thành công bất thường cao (87% lợi nhuận từ săn) và cách thoát sạch sẽ cùng với mô hình hoạt động có cấu trúc.

Phát hiện chính:

• Các công cụ săn lùng được tài trợ bởi người triển khai có tính hệ thống, sinh lợi và thường tự động hóa, hoạt động săn lùng tập trung nhất trong giờ làm việc tại Hoa Kỳ.
• Cấu trúc nông trại đa ví rất phổ biến, thường sử dụng ví tạm thời và đồng phối hợp để mô phỏng nhu cầu thực tế.
• Các phương thức làm mờ ngày càng tinh vi, chẳng hạn như chuỗi tiền nhiều bước và giao dịch bị tấn công bằng chữ ký đa chữ ký, để tránh bị phát hiện.
• Mặc dù có hạn chế, bộ lọc vốn nhảy của chúng tôi vẫn có thể thu thập các trường hợp hành vi "nội bộ" quy mô lớn rõ ràng và có thể lặp lại.
• Báo cáo này đề xuất một phương pháp heuristic có thể hành động, giúp các nhóm giao thức và giao diện trước nhận diện, đánh dấu và ứng phó với các hoạt động như vậy - bao gồm theo dõi độ tập trung nắm giữ ban đầu, gán nhãn ví cho nhà phát hành, và cảnh báo người dùng trên giao diện trước trong các đợt phát hành rủi ro cao.

Mặc dù phân tích của chúng tôi chỉ bao phủ một tập hợp con của các hành vi tấn công đồng bộ trong cùng một khu vực, nhưng quy mô, cấu trúc và khả năng sinh lợi cho thấy: việc phát hành token Solana đang bị kiểm soát tích cực bởi một mạng lưới hợp tác, trong khi các biện pháp phòng thủ hiện tại là không đủ.

phương pháp luận

Phân tích này bắt đầu với một mục tiêu rõ ràng: nhận diện hành vi hợp tác của các mã thông báo meme trên Solana, đặc biệt là tình huống mà các nhà phát triển cung cấp vốn cho ví ngắm mục tiêu ngay khi mã thông báo được ra mắt trên cùng một khối. Chúng tôi chia vấn đề thành các giai đoạn sau:

1. Lọc cùng khu vực nhắm mục tiêu

Chúng tôi bắt đầu bằng cách sàng lọc các ví bị bắn tỉa trong cùng một khối sau khi triển khai. Kể từ đó: Solana không có mempool toàn cầu; Biết địa chỉ của mã thông báo trước khi nó xuất hiện trên giao diện người dùng công khai; và thời gian cực kỳ ngắn giữa việc triển khai và tương tác DEX đầu tiên. Hành vi này gần như không thể xảy ra một cách tự nhiên, vì vậy "bắn tỉa cùng khối" trở thành một bộ lọc có độ tin cậy cao để xác định sự thông đồng tiềm ẩn hoặc hoạt động đặc quyền.

2. Nhận diện và triển khai ví liên kết với nhà phát triển

Để phân biệt giữa những tay bắn tỉa kỹ thuật cao và "người trong cuộc" hợp tác, chúng tôi đã theo dõi các giao dịch chuyển SOL giữa người triển khai và tay bắn tỉa trước khi token ra mắt, chỉ đánh dấu những ví đáp ứng các điều kiện sau: nhận SOL trực tiếp từ người triển khai; gửi SOL trực tiếp cho người triển khai. Chỉ những ví có giao dịch chuyển tiền trực tiếp trước khi ra mắt mới được đưa vào tập dữ liệu cuối cùng.

3. Liên kết việc săn sàng với lợi nhuận từ token

Đối với mỗi ví bị tấn công, chúng tôi ánh xạ hoạt động giao dịch của nó trên token bị tấn công, cụ thể tính toán: tổng số SOL chi cho việc mua token đó; tổng số SOL thu được từ việc bán trên DEX; lợi nhuận ròng thực hiện (không phải lợi nhuận danh nghĩa). Bằng cách này, có thể định lượng chính xác lợi nhuận được rút ra từ mỗi cuộc tấn công từ người triển khai.

4. Đo lường quy mô và hành vi ví

Chúng tôi phân tích quy mô của các hoạt động này từ nhiều khía cạnh: số lượng người triển khai độc lập và ví săn; số lần xác nhận cùng khối săn; phân bố lợi nhuận săn; số lượng token được phát hành mỗi người triển khai; tình trạng tái sử dụng ví săn giữa các token.

5. Dấu vết hoạt động của máy

Để hiểu cách thức các hoạt động này diễn ra, chúng tôi nhóm các hoạt động bắn tỉa theo giờ UTC. Kết quả cho thấy: các hoạt động tập trung vào các khoảng thời gian cụ thể; giảm đáng kể vào ban đêm theo giờ UTC; điều này cho thấy thay vì là tự động hóa toàn cầu và liên tục, nó giống như các tác vụ cron hoặc cửa sổ thực hiện thủ công được đồng bộ với Mỹ.

6. Phân tích hành vi thoát

Cuối cùng, chúng tôi nghiên cứu hành vi của ví liên kết với nhà phát triển khi bán các token bị nhắm đến: đo thời gian từ lần mua đầu tiên đến lần bán cuối cùng (thời gian nắm giữ); thống kê số lượng giao dịch bán độc lập mà mỗi ví sử dụng để thoát. Từ đó phân biệt xem ví chọn cách thanh lý nhanh chóng hay bán dần, và khảo sát mối liên hệ giữa tốc độ thoát và tính sinh lời.

Tập trung vào mối đe dọa rõ ràng nhất

Chúng tôi đã đo lường quy mô của việc xả hàng trong pump.fun cùng với việc chặn khối, và kết quả thật bất ngờ: hơn 50% token đã bị chặn ngay khi khối được tạo ra — — việc chặn khối đã từ một trường hợp biên trở thành mô hình phát hành chính.

Trên Solana, việc tham gia cùng khối thường yêu cầu: giao dịch đã được ký trước; điều phối ngoài chuỗi; hoặc cơ sở hạ tầng chung giữa người triển khai và người mua.

Không phải tất cả các cuộc tấn công vào khối đều có ý xấu như nhau, ít nhất có hai loại vai trò: "robot thả lưới thử vận may" - thử nghiệm các chiến thuật heuristic hoặc đầu cơ nhỏ; "người trong cuộc phối hợp" - bao gồm cả người triển khai cung cấp vốn cho người mua của mình.

Để giảm thiểu báo cáo sai và nổi bật hành vi hợp tác thực sự, chúng tôi đã thêm bộ lọc nghiêm ngặt vào chỉ số cuối cùng: chỉ thống kê các giao dịch SOL trực tiếp giữa người triển khai và ví săn trước khi ra mắt. Điều này cho phép chúng tôi tự tin xác định: ví được kiểm soát trực tiếp bởi người triển khai; ví hoạt động theo chỉ đạo của người triển khai; ví có kênh nội bộ.

Nghiên cứu trường hợp 1: Tài trợ trực tiếp

Ví triển khai 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE đã gửi tổng cộng 1.2 SOL đến 3 ví khác nhau, sau đó triển khai một mã thông báo có tên SOL > BNB. 3 ví nhận vốn đã hoàn tất việc mua trước trong cùng một khối mà mã thông báo được tạo ra, trước khi việc mua bán trở nên rõ ràng hơn trên thị trường rộng lớn hơn. Sau đó, chúng nhanh chóng bán ra để thu lợi, thực hiện một cuộc rút tiền chớp nhoáng đồng bộ. Đây là một ví dụ điển hình về việc sử dụng ví săn lùng trước để bơm mã thông báo nông nghiệp, được phương pháp chuỗi tài chính của chúng tôi ghi nhận trực tiếp. Mặc dù phương pháp đơn giản, nhưng nó đã diễn ra rầm rộ trong hàng ngàn lần phát hành.

Nghiên cứu trường hợp 2: Tài trợ nhiều bước nhảy

Ví GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA liên quan đến việc tấn công nhiều token. Thực thể này không trực tiếp đầu tư vào ví tấn công, mà thay vào đó là chuyển SOL qua 5-7 ví trung gian đến ví tấn công cuối cùng, từ đó hoàn thành cuộc tấn công trong cùng một khối.

Phương pháp hiện tại của chúng tôi chỉ phát hiện một số giao dịch ban đầu của người triển khai, nhưng không thể nắm bắt toàn bộ chuỗi giao dịch đến ví mục tiêu cuối cùng. Những ví trung gian này thường "được sử dụng một lần", chỉ để truyền SOL, khiến việc liên kết qua truy vấn đơn giản trở nên khó khăn. Lỗ hổng này không phải là lỗi thiết kế, mà là do sự đánh đổi về tài nguyên tính toán — — việc theo dõi các đường dẫn tài chính nhiều bước trong dữ liệu quy mô lớn mặc dù khả thi, nhưng có chi phí lớn. Do đó, việc triển khai hiện tại ưu tiên chọn các liên kết trực tiếp có độ tin cậy cao để duy trì tính rõ ràng và khả năng tái hiện.

Chúng tôi đã sử dụng công cụ trực quan của Arkham để hiển thị chuỗi tài chính dài hơn này, hình dung cách mà tiền từ ví ban đầu qua ví shell chảy đến ví của người triển khai cuối cùng. Điều này nổi bật sự phức tạp trong việc làm mờ nguồn gốc của tiền, đồng thời chỉ ra hướng đi cho việc cải thiện các phương pháp phát hiện trong tương lai.

Tại sao lại tập trung vào "ví tiền được cấp vốn trực tiếp và cùng với việc đẩy lùi blockchain"

Trong phần còn lại của bài viết này, chúng ta sẽ chỉ xem xét các ví bắn tỉa đã nhận được tiền của người triển khai trực tiếp trước khi đi vào hoạt động và bị bắn tỉa trong cùng một khối. Đây là lý do tại sao: họ đóng góp lợi nhuận đáng kể; Phương tiện xáo trộn tối thiểu; đại diện cho tập hợp con độc hại hoạt động nhiều nhất; Nghiên cứu chúng cung cấp khuôn khổ heuristic rõ ràng nhất để phát hiện và giảm thiểu các chiến lược trích xuất nâng cao hơn.

phát hiện

Tập trung vào tập con "Cùng khu vực tấn công + Chuỗi tài chính trực tiếp", chúng tôi đã tiết lộ một hành vi hợp tác trên chuỗi rất rộng rãi, có cấu trúc và có lợi nhuận cao. Tất cả dữ liệu dưới đây bao gồm từ ngày 15 tháng 3 đến nay:

1. Sniping cùng khu vực và được tài trợ bởi người triển khai là rất phổ biến và có hệ thống

a. Trong tháng qua, đã xác nhận hơn 15,000 token bị tấn công trực tiếp vào ví vốn khi lên sàn.

b. Liên quan đến hơn 4,600 ví sniper, hơn 10,400 người triển khai;

c. Chiếm pump.fun khoảng 1.75 %.

2. Hành vi này mang lại lợi nhuận lớn

a. Được cấp vốn trực tiếp, ví đã đạt được lợi nhuận ròng > 15,000 SOL;

b. Tỷ lệ thành công của việc bắn tỉa 87 %, giao dịch thất bại rất ít.

c. Lợi nhuận điển hình của ví đơn 1–100 SOL, một số ít vượt quá 500 SOL.

3. Triển khai lặp lại và nhắm mục tiêu vào mạng nông dân

a. Nhiều người triển khai sử dụng ví mới để tạo hàng loạt từ hàng chục đến hàng trăm mã thông báo;

b. Một số ví sniper thực hiện hàng trăm cú bắn trong một ngày;

c. Quan sát cấu trúc "trung tâm-tỏa ra": một ví đầu tư cho nhiều ví sniper, tất cả đều nhắm vào cùng một loại token.

4. Bắn tỉa thể hiện mô hình thời gian lấy con người làm trung tâm

a. Đỉnh hoạt động vào lúc UTC 14:00–23:00; gần như dừng lại vào UTC 00:00–08:00;

b. Phù hợp với giờ làm việc của Mỹ, giải thích rằng đây là kích hoạt theo lịch trình bằng tay/cron, không phải là tự động 24 giờ toàn cầu.

5. Nhầm lẫn quyền sở hữu giữa ví một lần và giao dịch đa chữ ký

a. Nhà phát triển đồng thời nạp vốn vào nhiều ví và ký tên vào giao dịch cùng một lúc để tấn công.

b. Những ví nóng này sẽ không ký bất kỳ giao dịch nào nữa;

c. Người triển khai phân chia việc mua ban đầu thành 2–4 ví, ngụy trang nhu cầu thực sự.

hành vi thoát

Để hiểu sâu hơn về cách những ví này thoát ra, chúng tôi phân tích dữ liệu theo hai chiều hành vi lớn:

1. Thời gian thoát (Exit Timing) ——— từ lần mua đầu tiên đến lần bán cuối cùng;

2. Số lượng bán (Swap Count) — — Số lượng giao dịch bán độc lập được sử dụng để thoát.

Kết luận dữ liệu

1. Tốc độ rút tiền

a. 55 % số hàng bán hết trong 1 phút;

b. 85 % thanh lý trong vòng 5 phút;

c. 11 % hoàn thành trong 15 giây.

2. Số lượng bán ra

a. Hơn 90% ví sniper chỉ thoát ra bằng 1–2 lệnh bán.

b. Rất ít áp dụng bán dần.

3. Xu hướng lợi nhuận

a. Kiếm tiền nhiều nhất là ví rút trong < 1 phút, tiếp theo là < 5 phút;

b. Việc nắm giữ lâu hơn hoặc bán ra nhiều lần tuy có lợi nhuận trung bình mỗi lần cao hơn một chút, nhưng số lượng rất ít, đóng góp cho tổng lợi nhuận là hạn chế.

Giải thích

Những mô hình này cho thấy: việc tài trợ cho việc săn lùng của người triển khai không phải là hành vi giao dịch, mà là một chiến lược rút tiền tự động, rủi ro thấp:

·Mua sớm → Bán nhanh → Hoàn toàn thoát.

·Bán một lần đại diện cho việc không quan tâm đến biến động giá, chỉ tận dụng cơ hội dump.

·Một vài chiến lược thoát phức tạp hơn chỉ là ngoại lệ, không phải là mô hình chính thống.

Những hiểu biết có thể hành động

Các đề xuất dưới đây nhằm giúp các nhóm giao thức, lập trình viên front-end và các nhà nghiên cứu nhận diện và ứng phó với mô hình phát hành token trích xuất hoặc hợp tác, thông qua việc chuyển đổi hành vi quan sát được thành các quy tắc, bộ lọc và cảnh báo, nâng cao tính minh bạch cho người dùng và giảm thiểu rủi ro.

Kết luận

Báo cáo này tiết lộ một chiến lược trích xuất phát hành token Solana liên tục, có cấu trúc và lợi nhuận cao: Săn lùng trong cùng một khối do nhà phát hành tài trợ. Bằng cách theo dõi các chuyển khoản SOL trực tiếp từ nhà phát hành tới ví săn lùng, chúng tôi đã xác định một nhóm hành vi kiểu nội bộ, lợi dụng kiến trúc thông lượng cao của Solana để thực hiện trích xuất hợp tác.

Mặc dù phương pháp này chỉ bắt được một phần của việc săn lùng trong cùng một khối, nhưng quy mô và mô hình của nó cho thấy: đây không phải là sự đầu cơ rời rạc, mà là những nhà điều hành có vị trí đặc quyền, hệ thống lặp lại và ý định rõ ràng. Tầm quan trọng của chiến lược này được thể hiện ở:

1. Bẻ cong tín hiệu thị trường sớm, khiến cho các token có vẻ hấp dẫn hoặc cạnh tranh hơn;

2. Nguy hiểm cho nhà đầu tư nhỏ lẻ — họ trở thành người rút lui khỏi thanh khoản mà không biết.

3. Làm suy yếu niềm tin vào việc phát hành token mở, đặc biệt là trên các nền tảng như pump.fun khi theo đuổi tốc độ và tính dễ sử dụng.

Để giảm nhẹ vấn đề này, không chỉ cần phòng thủ thụ động mà còn cần có các phương pháp phát hiện tốt hơn, cảnh báo trước, hàng rào cấp giao thức, cũng như nỗ lực liên tục trong việc lập bản đồ và giám sát hành vi phối hợp. Các công cụ phát hiện đã tồn tại — vấn đề là liệu hệ sinh thái có thực sự sẵn sàng áp dụng chúng hay không.

Báo cáo này đã thực hiện bước đầu tiên: cung cấp một bộ lọc đáng tin cậy và có thể tái tạo, nhằm xác định các hành vi cộng tác rõ ràng nhất. Nhưng đây chỉ là khởi đầu. Thách thức thực sự nằm ở việc phát hiện các chiến lược cao độ khó hiểu, liên tục phát triển, và xây dựng một văn hóa trên chuỗi, thưởng cho sự minh bạch thay vì sự rút lui.