Révélation de l'arbitrage interne du piège d'émission de jetons Pumpfun

Auteur : Pine Analytics

Compilation : GaryMa Wu a dit que la blockchain

####Résumé

Ce rapport examine un modèle de farming de jetons meme largement répandu et hautement collaboratif sur Solana : les déployeurs de jetons transfèrent des SOL vers des "portefeuilles sniper", permettant à ces portefeuilles d'acheter le jeton dans le même bloc que le lancement du jeton. En se concentrant sur une chaîne de fonds claire et vérifiable entre le déployeur et le sniper, nous avons identifié un ensemble de comportements d'extraction à haute confiance.

Notre analyse montre que cette stratégie n'est ni un phénomène aléatoire, ni un comportement marginal — au cours du mois dernier, plus de 15 000 SOL de bénéfices réalisés ont été extraits de plus de 15 000 émissions de tokens de cette manière, impliquant plus de 4 600 portefeuilles de sniping et plus de 10 400 déployeurs. Ces portefeuilles affichent un taux de succès anormalement élevé (87 % de bénéfices de sniping), des méthodes de sortie nettes et un mode opératoire structuré.

Découverte clé :

• Les snipers financés par le déployeur sont systématiques, rentables et généralement automatisés, et les activités de sniper sont le plus concentrées pendant les heures de travail aux États-Unis.
• La structure de plusieurs portefeuilles est très courante, utilisant souvent des portefeuilles temporaires et des retraits coopératifs pour simuler une demande réelle.
• Les méthodes de camouflage se perfectionnent, telles que les chaînes de fonds multi-sauts et les transactions par signatures multiples, pour échapper à la détection.
• Bien qu'il ait des limites, notre filtre de fonds One Jump peut toujours saisir les cas de comportement "d'initié" les plus clairs et reproductibles à grande échelle.
• Ce rapport présente un ensemble d’heuristiques exploitables pour aider les équipes de protocole et les front-ends à identifier, signaler et répondre à de telles activités en temps réel, y compris le suivi des concentrations de positions précoces, le marquage des portefeuilles liés aux déployeurs et l’émission d’avertissements frontaux aux utilisateurs lors d’émissions à haut risque.

Bien que notre analyse ne couvre qu'un sous-ensemble des comportements de ciblage de blocs similaires, son ampleur, sa structure et sa rentabilité indiquent que l'émission de jetons Solana est activement manipulée par des réseaux collaboratifs, tandis que les mesures de défense existantes sont largement insuffisantes.

####méthodologie

Cette analyse commence par un objectif clair : identifier les comportements de financement collaboratif des tokens meme sur Solana, en particulier les cas où les déployeurs fournissent des fonds aux portefeuilles ciblés lors du lancement des tokens dans le même bloc. Nous avons divisé le problème en plusieurs étapes :

1. Filtrer les tirs dans le même bloc

Nous commençons par filtrer les portefeuilles qui ont été ciblés dans le même bloc immédiatement après le déploiement. En raison de : Solana n'a pas de mempool global ; il faut connaître l'adresse du jeton avant qu'il n'apparaisse sur le front public ; et le temps entre le déploiement et la première interaction DEX est extrêmement court. Ce comportement est presque impossible à se produire naturellement, donc "ciblage dans le même bloc" devient un filtre de haute confiance pour identifier les activités potentielles de collusion ou de privilèges.

2. Identifier et déployer le portefeuille associé au déployeur

Pour distinguer les tireurs d'élite techniquement compétents des "initiés" collaboratifs, nous avons suivi les transferts de SOL entre le déployeur et les tireurs d'élite avant le lancement du jeton, en ne marquant que les portefeuilles répondant aux conditions suivantes : recevoir directement des SOL du déployeur ; envoyer directement des SOL au déployeur. Seuls les portefeuilles ayant effectué des transferts directs avant le lancement ont été inclus dans l'ensemble de données final.

3. Lier le tir avec les profits des tokens

Pour chaque portefeuille de sniper, nous cartographions son activité de trading sur le jeton ciblé, en calculant spécifiquement : le montant total de SOL dépensé pour acheter le jeton ; le montant total de SOL obtenu lors de la vente sur DEX ; le bénéfice net réalisé (et non le rendement nominal). Cela permet d'attribuer avec précision les bénéfices extraits à chaque sniper depuis le déployeur.

4. Mesurer l'échelle et le comportement des portefeuilles

Nous analysons l'échelle de ce type d'activité selon plusieurs dimensions : le nombre de déployeurs indépendants et de portefeuilles de sniper ; le nombre de fois où des snipers ont collaboré sur le même bloc ; la répartition des profits de sniper ; le nombre de jetons émis par chaque déployeur ; la réutilisation des portefeuilles de sniper à travers les jetons.

5. Traces d'activité des machines

Pour comprendre comment ces opérations se déroulent, nous avons regroupé les activités de sniper par heure UTC. Les résultats montrent : les activités se concentrent dans des fenêtres temporelles spécifiques ; elles diminuent de manière significative pendant les heures de la nuit UTC ; cela indique qu'il s'agit moins d'une automatisation mondiale et continue que de tâches cron ou de fenêtres d'exécution manuelle alignées sur les États-Unis.

6. Analyse des comportements de sortie

Enfin, nous étudions le comportement des portefeuilles associés aux déployeurs lors de la vente de tokens ciblés : mesurer le temps écoulé entre le premier achat et la vente finale (durée de détention) ; comptabiliser le nombre de transactions de vente indépendantes utilisées par chaque portefeuille pour se retirer. Cela permet de distinguer si le portefeuille choisit de liquider rapidement ou de vendre progressivement, et d'examiner le lien entre la vitesse de sortie et la rentabilité.

####Se concentrer sur les menaces les plus claires

Nous avons d'abord mesuré l'ampleur des attaques de ciblage de bloc dans l'émission de pump.fun, et les résultats sont choquants : plus de 50 % des jetons ont été ciblés dès la création du bloc — les attaques de ciblage de bloc sont passées d'un cas marginal à un mode d'émission dominant.

Sur Solana, la participation au même bloc nécessite généralement : des transactions pré-signées ; une coordination hors chaîne ; ou le partage d'infrastructures entre le déployeur et l'acheteur.

Tous les blocksnipers ne sont pas également malveillants, il existe au moins deux types de rôles : « robots de pêche aux filets » — testant des heuristiques ou des spéculations à faible montant ; et des complices internes — y compris des déployeurs fournissant des fonds à leurs propres acheteurs.

Pour réduire les faux positifs et mettre en évidence les véritables comportements collaboratifs, nous avons intégré un filtrage strict dans les indicateurs finaux : nous ne comptons que les attaques où il y a un transfert direct de SOL entre le déployeur et le portefeuille de sniper avant le lancement. Cela nous permet d'identifier avec confiance : les portefeuilles directement contrôlés par le déployeur ; les portefeuilles agissant sous la direction du déployeur ; les portefeuilles ayant des canaux internes.

#####Étude de cas 1 : financement direct

Le portefeuille de déploiement 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE envoie un total de 1,2 SOL à 3 portefeuilles différents, puis déploie un jeton appelé SOL > BNB. Les 3 portefeuilles financés ont été regroupés dans le même bloc que la création du jeton, avant qu’il ne soit visible par le marché au sens large. Par la suite, ils ont rapidement vendu à profit, exécutant une sortie éclair coordonnée. Il s’agit d’un exemple classique de balayage de jetons d’agriculteur à travers un portefeuille de sniper préfinancé, qui est directement capturé par notre approche de chaîne de fonds. Malgré sa simplicité, il a été mis en scène à grande échelle dans des milliers de sorties.

#####Étude de cas 2 : Financement multi-saut

Le portefeuille GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA est lié à plusieurs attaques de jetons. Cette entité n'a pas directement financé le portefeuille d'attaque, mais a transféré des SOL par le biais de 5 à 7 portefeuilles intermédiaires jusqu'au portefeuille d'attaque final, réalisant ainsi l'attaque dans le même bloc.

Nos méthodes actuelles ne détectent que quelques transferts préliminaires des déployeurs, sans réussir à saisir l'ensemble de la chaîne jusqu'au portefeuille final ciblé. Ces portefeuilles de relais sont souvent « à usage unique », utilisés uniquement pour transmettre des SOL, ce qui rend difficile leur association par une simple requête. Cette lacune n'est pas un défaut de conception, mais résulte d'un compromis sur les ressources de calcul - suivre des chemins de fonds multi-sauts dans de grandes quantités de données est certes possible, mais coûteux. Par conséquent, l'implémentation actuelle privilégie des liens directs à haute confiance pour maintenir la clarté et la reproductibilité.

Nous avons utilisé l'outil de visualisation d'Arkham pour montrer cette chaîne de fonds plus longue, illustrant comment les fonds ont été transférés du portefeuille initial à travers le portefeuille shell jusqu'au portefeuille du déployeur final. Cela met en évidence la complexité du camouflage des sources de fonds et indique également la direction pour améliorer les méthodes de détection à l'avenir.

Pourquoi se concentrer sur "les portefeuilles de financement direct et de ciblage des blocs"

Dans le reste de cet article, nous étudions uniquement les portefeuilles de sniper qui obtiennent directement des fonds des déployeurs avant le lancement et qui effectuent des attaques dans le même bloc. Les raisons en sont les suivantes : ils contribuent à des profits considérables ; les méthodes de confusion sont minimales ; ils représentent le sous-ensemble malveillant le plus opérationnel ; les étudier peut fournir le cadre heuristique le plus clair pour détecter et atténuer des stratégies d'extraction plus avancées.

####Découverte

En se concentrant sur le sous-ensemble « Sniping dans la même zone de blocs + Chaîne de financement directe », nous révélons un comportement collaboratif sur la chaîne qui est vaste, structuré et hautement rentable. Toutes les données suivantes couvrent la période du 15 mars à aujourd'hui :

#####1. Les snipers financés par le même bloc et le même déployeur sont très courants et systématiques.

a. Au cours du dernier mois, plus de 15 000 tokens ont été directement ciblés par des portefeuilles de financement lors de leur mise en ligne sur la blockchain ;

b. Implique plus de 4 600 portefeuilles de sniper, plus de 10 400 déployeurs ;

c. Le volume d'émission de pump.fun est d'environ 1,75 %.

#####2. Cette action génère des bénéfices à grande échelle

a. Le portefeuille de ciblage direct a réalisé un bénéfice net > 15 000 SOL ;

b. Taux de réussite des snipers 87 %, très peu de transactions échouées ;

c. Rendement typique d'un portefeuille unique 1–100 SOL, quelques-uns dépassent 500 SOL.

#####3. Déploiement répété et ciblage des réseaux de farming

a. De nombreux déployeurs utilisent de nouveaux portefeuilles pour créer en masse des dizaines à des centaines de jetons ;

b. Certains portefeuilles de sniper effectuent des centaines de snipes en une seule journée ;

c. Observé la structure "centre-rayonnement" : un portefeuille finance plusieurs portefeuilles de sniper, tous ciblant le même jeton.

#####4. La présentation de la cible selon un modèle temporel centré sur l'homme

a. Les pics d'activité sont entre UTC 14:00 et 23:00 ; UTC 00:00 à 08:00 est presque à l'arrêt ;

b. S'aligne avec les horaires de travail aux États-Unis, indiquant un déclenchement manuel/cron, et non une automatisation mondiale 24 heures sur 24.

#####5. Confusion de la propriété entre les portefeuilles à usage unique et les transactions mult signatures

a. Le déployeur injecte des fonds dans plusieurs portefeuilles et signe une embuscade dans la même transaction ;

b. Ces portefeuilles brûlés ne signeront plus aucune transaction par la suite ;

c. Le déployeur divise l'achat initial en 2 à 4 portefeuilles pour masquer la demande réelle.

####comportement de retrait

Pour mieux comprendre comment ces portefeuilles se retirent, nous avons décomposé les données selon deux grandes dimensions de comportement :

1. Temps de sortie (Exit Timing) — — du premier achat à la dernière vente ;

2. Nombre de ventes (Swap Count) — — Nombre de transactions de vente indépendantes utilisées pour sortir.

#####Conclusion des données

1. Vitesse de retrait

a. 55 % des ventes ont été écoulées en 1 minute ;

b. 85 % liquider dans les 5 minutes ;

c. 11 % terminé en 15 secondes.

2. Nombre de ventes

a. Plus de 90 % des portefeuilles de sniper sortent avec 1 à 2 ordres de vente.

b. Très peu de ventes progressives sont adoptées.

3. Tendance des bénéfices

a. Le portefeuille le plus rentable est celui qui sort en moins d'une minute, suivi de celui qui sort en moins de cinq minutes ;

b. Une détention plus longue ou plusieurs ventes, bien que le profit moyen par transaction soit légèrement plus élevé, est extrêmement faible en quantité et a une contribution limitée au profit total.

Explication

Ces modèles indiquent que le financement des snipers par les déployeurs n'est pas une activité de trading, mais plutôt une stratégie d'extraction automatisée et à faible risque :

·Acheter en avant-première → Vendre rapidement → Quitter complètement.

·Une vente unique représente un manque total d'intérêt pour les fluctuations de prix, se contentant d'exploiter une opportunité de dump.

·Les stratégies de sortie plus complexes sont seulement des exceptions, des modes non dominants.

Perspectives exploitables

Les recommandations ci-dessous visent à aider les équipes de protocoles, les développeurs front-end et les chercheurs à identifier et à faire face aux modèles d'émission de jetons par extraction ou collaboratifs, en transformant les comportements observés en heuristiques, filtres et alertes afin d'améliorer la transparence des utilisateurs et de réduire les risques.

####Conclusion

Ce rapport révèle une stratégie d'extraction de lancement de jetons Solana continue, structurée et à forte marge bénéficiaire : le ciblage dans le même bloc financé par le déployeur. En suivant les transferts directs de SOL du déployeur vers le portefeuille de ciblage, nous avons identifié un comportement similaire à celui des initiés, exploitant l'architecture à haut débit de Solana pour une extraction collaborative.

Bien que cette méthode ne capture qu'une partie de la spéculation au sein d'un même bloc, son ampleur et son modèle indiquent : ce n'est pas une spéculation éparse, mais plutôt des opérateurs avec une position privilégiée, un système reproductible et une intention claire. L'importance de cette stratégie se manifeste dans :

1. Déformer les signaux du marché précoce pour rendre les jetons apparemment plus attrayants ou compétitifs ;

2. Mettre en danger les petits investisseurs — — ils deviennent des liquidités de sortie à leur insu ;

3. Affaiblir la confiance dans les émissions de tokens ouvertes, notamment sur des plateformes comme pump.fun qui privilégient la rapidité et la facilité d'utilisation.

Pour atténuer ce problème, il ne suffit pas d'une défense passive, mais cela nécessite également de meilleures heuristiques, des alertes préventives en amont, des pare-feu au niveau des protocoles, ainsi qu'un effort continu pour cartographier et surveiller les comportements coopératifs. Des outils de détection existent déjà — le problème est de savoir si l'écosystème est réellement prêt à les appliquer.

Ce rapport a fait un premier pas : il a fourni un filtre fiable et reproductible pour identifier les comportements collaboratifs les plus évidents. Mais ce n'est que le début. Le véritable défi réside dans la détection de stratégies hautement obscurcies et en constante évolution, et dans la création d'une culture on-chain qui récompense la transparence plutôt que l'extraction.