Revelando el arbitraje interno de la emisión de token Pumpfun

Autor: Pine Analytics

Compilado por: GaryMa Wu dice blockchain

####Resumen

Este informe investiga un modelo de cultivo de tokens meme que es común y altamente colaborativo en Solana: los desplegadores de tokens transfieren SOL a "carteras francotiradoras (sniper wallets)" para que estas carteras puedan comprar el token en el mismo bloque en que se lanza. Al centrarnos en la cadena de fondos clara y verificable entre el desplegador y el francotirador, identificamos un conjunto de comportamientos de extracción de alta confianza.

Nuestro análisis muestra que esta estrategia no es un fenómeno accidental ni un comportamiento marginal — en solo el último mes, se han extraído más de 15,000 SOL en ganancias realizadas a través de más de 15,000 emisiones de tokens, involucrando más de 4,600 billeteras de sniper y más de 10,400 desplegadores. Estas billeteras muestran una tasa de éxito anormalmente alta (87% de ganancias de sniper), formas de salida limpias y un patrón de operación estructurado.

Descubrimiento clave:

• Los snipers financiados por el desplegador son sistemáticos, rentables y generalmente automatizados, y las actividades de sniper se concentran más durante el horario laboral en Estados Unidos.
• La estructura de múltiples billeteras es muy común, a menudo se utilizan billeteras temporales y colaboraciones para simular la demanda real.
• Los métodos de ocultación están en constante evolución, como las cadenas de fondos de múltiples saltos y los ataques a transacciones con múltiples firmas, para evadir la detección.
• Aunque tiene limitaciones, nuestro filtro de fondos de salto aún puede capturar los casos de comportamiento "interno" a gran escala más claros y repetibles.
• Este informe presenta un conjunto de métodos heurísticos operativos que ayudan a los equipos de protocolo y a los frontends a identificar, marcar y responder en tiempo real a estas actividades — incluyendo el seguimiento de la concentración de posiciones tempranas, etiquetado de billeteras asociadas a los desplegadores y emisión de advertencias en el frontend a los usuarios en emisiones de alto riesgo.

A pesar de que nuestro análisis solo cubre un subconjunto de los comportamientos de ataque en el mismo bloque, su escala, estructura y rentabilidad indican que la emisión de tokens de Solana está siendo manipulada activamente por redes colaborativas, y que las medidas de defensa existentes son muy insuficientes.

####metodología

Este análisis parte de un objetivo claro: identificar comportamientos que indiquen la agricultura de tokens meme colaborativos en Solana, especialmente en el caso de que los implementadores proporcionen fondos a las wallets objetivo en el mismo bloque en que se lanza el token. Dividimos el problema en las siguientes etapas:

1. Filtrar caza bloques en la misma zona

Primero filtramos las billeteras que fueron atacadas en el mismo bloque después de su despliegue. Esto se debe a que: Solana no tiene un mempool global; es necesario conocer su dirección antes de que el token aparezca en la interfaz pública; y el tiempo entre el despliegue y la primera interacción con el DEX es extremadamente corto. Este comportamiento es casi imposible que ocurra de manera natural, por lo que el "sniping en el mismo bloque" se convierte en un filtro de alta confianza para identificar actividades potencialmente colusorias o privilegiadas.

2. Identificar y desplegar la billetera asociada con el implementador

Para diferenciar a los francotiradores altamente capacitados de los "insiders" colaborativos, rastreamos las transferencias de SOL entre el desplegador y los francotiradores antes del lanzamiento del token, marcando solo aquellas billeteras que cumplieran con las siguientes condiciones: recibir SOL directamente del desplegador; enviar SOL directamente al desplegador. Solo se incluyeron en el conjunto de datos final las billeteras que tenían transferencias directas antes del lanzamiento.

3. Asociar el sniping con las ganancias de tokens

Para cada billetera de sniper, mapeamos su actividad de transacciones en el token atacado, calculando específicamente: el total de SOL gastado para comprar el token; el total de SOL obtenido al vender en DEX; las ganancias netas realizadas (en lugar de las ganancias nominales). Esto permite atribuir con precisión las ganancias extraídas de cada ataque al desplegador.

4. Medir la escala y el comportamiento de la billetera

Analizamos la escala de este tipo de actividades desde múltiples dimensiones: el número de implementadores independientes y wallets de sniper; el número de veces que se confirman ataques coordinados en el mismo bloque; la distribución de ganancias de los snipers; la cantidad de tokens emitidos por cada implementador; la reutilización de wallets de sniper entre diferentes tokens.

5. Huellas de actividad de la máquina

Para entender cómo se llevan a cabo estas operaciones, agrupamos las actividades de sniper por horas UTC. Los resultados muestran que las actividades se concentran en ventanas de tiempo específicas; disminuyen significativamente durante la madrugada UTC; lo que indica que, más que ser una automatización global y continua, se asemeja más a tareas cron alineadas con Estados Unidos o ventanas de ejecución manual.

6. Análisis del comportamiento de salida

Finalmente, estudiamos el comportamiento de las billeteras asociadas a los desplegadores al vender tokens que han sido atacados: medimos el tiempo desde la primera compra hasta la venta final (duración de la posición); contamos la cantidad de transacciones de venta independientes utilizadas por cada billetera para salir. De esta manera, distinguimos si la billetera opta por liquidar rápidamente o por una venta progresiva, y examinamos la relación entre la velocidad de salida y la rentabilidad.

####Enfocarse en la amenaza más clara

Primero medimos la escala de la caza de bloques en la emisión de pump.fun, y los resultados son sorprendentes: más del 50 % de los tokens fueron cazados en el bloque de creación — la caza de bloques ha pasado de ser un caso marginal a convertirse en el modo de emisión dominante.

En Solana, la participación en el mismo bloque generalmente requiere: transacciones prefirmadas; coordinación fuera de la cadena; o infraestructura compartida entre el desplegador y el comprador.

No todos los ataques de bloques son igualmente maliciosos, al menos existen dos tipos de roles: "robots de pesca" - que prueban heurísticas o especulaciones de bajo monto; y cómplices internos - que incluyen a los desplegadores que proporcionan fondos a sus propios compradores.

Para reducir los falsos positivos y destacar el verdadero comportamiento colaborativo, hemos añadido un filtrado riguroso en el indicador final: solo se contabilizan los ataques de los wallets de sniper que tienen transferencias SOL directas con el desplegador antes de la implementación. Esto nos permite identificar con confianza: wallets controlados directamente por el desplegador; wallets que actúan bajo la dirección del desplegador; wallets que tienen canales internos.

#####Estudio de caso 1: financiación directa

La billetera del desplegador 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE envió un total de 1.2 SOL a 3 billeteras diferentes, y luego desplegó un token llamado SOL > BNB. Las 3 billeteras que recibieron fondos completaron la compra en el mismo bloque en el que se creó el token, antes de que fuera visible en un mercado más amplio. Luego, vendieron rápidamente para obtener ganancias, realizando una salida rápida y coordinada. Este es un ejemplo de libro de texto de cómo una billetera de ataque precargada puede ser utilizada para aprovechar tokens agrícolas, capturado directamente por nuestro enfoque de cadena de fondos. A pesar de que la técnica es simple, se lleva a cabo a gran escala en miles de emisiones.

#####Estudio de caso 2: financiamiento de múltiples saltos

La billetera GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA está relacionada con el ataque a múltiples tokens. Esta entidad no financió directamente la billetera de ataque, sino que envió SOL a través de 5 a 7 billeteras intermedias hasta llegar a la billetera de ataque final, completando así el ataque en el mismo bloque.

Nuestros métodos actuales solo detectan algunas transferencias preliminares del desplegador, pero no logran capturar toda la cadena hacia la billetera final objetivo. Estas billeteras intermedias suelen ser "de un solo uso", utilizadas únicamente para transmitir SOL, lo que dificulta la asociación a través de consultas simples. Esta brecha no es un defecto de diseño, sino una compensación de recursos computacionales: aunque es posible rastrear rutas de fondos de múltiples saltos en grandes volúmenes de datos, el costo es enorme. Por lo tanto, la implementación actual prioriza enlaces directos de alta confianza para mantener la claridad y la reproducibilidad.

Hemos utilizado la herramienta de visualización de Arkham para mostrar esta cadena de fondos más larga, representando gráficamente cómo el dinero fluye desde la billetera inicial a través de la billetera de cobertura hasta la billetera del desplegador final. Esto destaca la complejidad del enmascaramiento de la fuente de los fondos y también señala el camino para mejorar los métodos de detección en el futuro.

¿Por qué centrarse en "carteras de financiación directa y de ataque en la misma cadena"?

En el resto de este artículo, solo estudiaremos las billeteras de francotiradores que obtienen directamente los fondos del desplegador antes de su lanzamiento y que atacan en el mismo bloque. Las razones son las siguientes: contribuyen con beneficios considerables; los métodos de confusión son mínimos; representan el subconjunto malicioso más operativo; estudiarlas puede proporcionar el marco heurístico más claro para detectar y mitigar estrategias de extracción más avanzadas.

####Descubrir

Enfocándonos en el subconjunto de "sniping en la misma cadena de bloques + cadena de financiamiento directa", revelamos un comportamiento colaborativo en la cadena que es amplio, estructurado y altamente rentable. Todos los datos a continuación cubren desde el 15 de marzo hasta la fecha:

#####1. Es muy común y sistemático que los ataques de sniping sean financiados por el mismo bloque y el desplegador.

a. En el último mes se confirmaron más de 15,000 tokens que fueron atacados directamente en la billetera de capitalización al momento de su lanzamiento en la blockchain;

b. Involucra más de 4,600 carteras de francotiradores y más de 10,400 desplegadores;

c. La cantidad emitida de pump.fun es aproximadamente 1.75 %.

#####2. Esta acción genera ganancias a gran escala

a. La captura directa de fondos en la billetera ha logrado un beneficio neto > 15,000 SOL;

b. Tasa de éxito de ataques 87 %, fallos en transacciones muy pocos;

c. Rendimiento típico de una sola billetera 1–100 SOL, pocos superan 500 SOL.

#####3. Reimplementación y apuntar a la red de cultivo de esbirros

a. Muchos implementadores utilizan nuevas carteras para crear en masa decenas a cientos de tokens;

b. Algunas carteras de sniper ejecutan cientos de ataques en un día;

c. Se observa una estructura "central-radial": una billetera financia a varias billeteras de francotiradores, todas apuntando al mismo token.

#####4. El enfoque del francotirador presenta un patrón temporal centrado en el ser humano

a. Los picos de actividad son de UTC 14:00 a 23:00; de UTC 00:00 a 08:00 casi se detiene;

b. Se ajusta al horario laboral de EE. UU., indicando que es un disparo manual/cron programado, y no es completamente automático las 24 horas del día a nivel mundial.

#####5. Confusión de propiedad entre monederos desechables y transacciones multifirma

a. El desplegador inyecta fondos en varias billeteras al mismo tiempo y firma el ataque en la misma transacción;

b. Estas carteras calientes no firmarán más transacciones a partir de ahora;

c. El desplegador divide la compra inicial en 2-4 billeteras para disfrazar la demanda real.

####comportamiento de salida

Para comprender mejor cómo salen estas billeteras, desglosamos los datos en dos grandes dimensiones de comportamiento:

1. Velocidad de salida (Exit Timing) — — El tiempo desde la primera compra hasta la venta final;

2. Cantidad de ventas (Swap Count) — — Número de transacciones de venta independientes utilizadas para salir.

#####Conclusión de datos

1. Velocidad de salida

a. El 55 % de los productos se vendieron en un minuto;

b. 85 % en 5 minutos para liquidar;

c. 11 % se completa en 15 segundos.

2. Número de ventas

a. Más del 90 % de los wallets de sniper solo utilizan 1–2 órdenes de venta para salir;

b. Muy raramente se utiliza la venta progresiva.

3. Tendencia de ganancias

a. El más rentable es el wallet que sale en < 1 minuto, seguido por el de < 5 minutos;

b. Aunque las ganancias promedio por venta única son ligeramente más altas al mantener más tiempo o vender varias veces, la cantidad es muy baja, lo que limita la contribución total a las ganancias.

Explicación

Estos patrones indican que el ataque financiado por el desplegador no es una acción de comercio, sino una estrategia de extracción automatizada y de bajo riesgo:

· Comprar anticipadamente → Vender rápidamente → Salir por completo.

·Una venta única representa una total indiferencia por las fluctuaciones de precios, aprovechando simplemente la oportunidad de vender.

·Unos pocos enfoques de salida más complejos son solo excepciones, no un modo principal.

Perspectivas accionables

Las siguientes recomendaciones están destinadas a ayudar a los equipos de protocolos, desarrolladores front-end e investigadores a identificar y abordar los modelos de emisión de tokens de extracción o colaborativos, convirtiendo el comportamiento observado en heurísticas, filtros y alertas, mejorando la transparencia del usuario y reduciendo el riesgo.

####conclusión

Este informe revela una estrategia de extracción de emisión de tokens de Solana que es continua, estructurada y altamente rentable: el ataque de bloque financiado por el desplegador. Al rastrear las transferencias directas de SOL del desplegador a la billetera de ataque, hemos identificado un comportamiento al estilo de los insider, aprovechando la alta capacidad de procesamiento de Solana para realizar extracciones coordinadas.

Aunque este método solo captura una parte de la especulación en el mismo bloque, su escala y patrón indican que: no se trata de especulación dispersa, sino de operadores con posición privilegiada, un sistema repetible y una intención clara. La importancia de esta estrategia se refleja en:

1. Distorsionar las señales del mercado temprano para que el token parezca más atractivo o competitivo;

2. Peligro para los inversores minoristas — se convierten en liquidez de salida sin saberlo;

3. Debilitar la confianza en la emisión de tokens abiertos, especialmente en plataformas como pump.fun que buscan velocidad y facilidad de uso.

Para aliviar este problema, no solo se necesita defensa pasiva, sino también mejores enfoques heurísticos, alertas preventivas, barreras a nivel de protocolo, así como esfuerzos continuos para mapear y monitorear comportamientos colaborativos. Las herramientas de detección ya existen — el problema radica en si el ecosistema está dispuesto a aplicarlas realmente.

Este informe ha dado el primer paso: proporciona un filtro confiable y reproducible para identificar los comportamientos colaborativos más evidentes. Pero esto es solo el comienzo. El verdadero desafío radica en detectar estrategias altamente confusas y en constante evolución, y en construir una cultura en la cadena que recompense la transparencia en lugar de la extracción.