Раскрытие внутреннего арбитража ловушки выпуска токена Pumpfun

Автор: Pine Analytics

Перевод: GaryMa 吴 говорит о блокчейне

####Резюме

Данный отчет исследует распространенную и высоко координированную модель фермерства мем- токенов на Solana: разработчики токенов переводят SOL на «снайперские кошельки», что позволяет этим кошелькам купить токен в том же блоке, где токен был запущен. Сосредоточив внимание на ясной и доказуемой цепочке финансирования между разработчиками и снайперами, мы выделили группу высоконадежного экстрактивного поведения.

Наш анализ показывает, что эта стратегия не является случайным явлением и не является маргинальным поведением — всего за последний месяц было извлечено более 15 000 SOL реализованной прибыли через более чем 15 000 эмиссий токенов, затрагивающих более 4 600 кошельков-стрелков и более 10 400 развертывателей. Эти кошельки демонстрируют аномально высокий уровень успеха (87% прибыльных стрельб), чистые выходы и структурированные операционные модели.

Ключевое открытие:

• Спонсируемые развертывателем снайперы имеют системный, прибыльный и обычно автоматизированный характер, а снайперские действия сосредоточены в основном в рабочие часы в США.
• Многообъектная структура кошельков очень распространена, часто используются временные кошельки и совместные выводы для имитации реальных потребностей.
• Методы сокрытия постоянно улучшаются, например, многослойные финансовые цепочки и многофункциональные подписи для уклонения от обнаружения.
• Несмотря на ограничения, наш фильтр капитала все же способен захватывать самые четкие и воспроизводимые примеры масштабного поведения "инсайдеров".
• В этом отчете представлена набор практических эвристических методов, помогающих командам протоколов и фронтендов в реальном времени идентифицировать, маркировать и реагировать на такие действия — включая отслеживание концентрации ранних позиций, присвоение меток кошелькам разработчиков и выдачу предупреждений пользователям на фронтенде при высокорисковых выпусках.

Несмотря на то, что наш анализ охватывает лишь подмножество поведения блок-снайперов в одном районе, его масштабы, структура и прибыльность указывают на то, что выпуск токенов Solana активно контролируется кооперативной сетью, а существующие меры защиты явно недостаточны.

####Методология

Этот анализ начинается с четкой цели: выявить поведение, указывающее на совместное использование мем- токенов на Solana, особенно в случаях, когда разработчик предоставляет средства для кошелька-цели в момент запуска токена в том же блоке. Мы разделяем задачу на следующие этапы:

1. Фильтрация по блокам

Сначала мы отбираем кошельки, которые были застрелены в одном и том же блоке после развертывания. Это связано с тем, что: Solana не имеет глобального мемпула; необходимо знать адрес токена до его появления на публичном фронте; и промежуток времени между развертыванием и первым взаимодействием с DEX чрезвычайно короток. Такое поведение практически невозможно, чтобы возникло естественным образом, поэтому "застреливание в одном блоке" стало высоконадежным фильтром для выявления потенциального сговора или привилегированных действий.

2. Определение и развертывание связанных с развертывателем кошельков

Чтобы отличить высококлассных снайперов от скоординированных "внутренних людей", мы отслеживали переводы SOL между развертывателями и снайперами перед запуском токена, помечая только те кошельки, которые соответствуют следующим условиям: прямое получение SOL от развертывателя; прямое отправление SOL развертывателю. Только кошельки, которые имели прямые переводы до запуска, были включены в окончательный набор данных.

3. Связать снайперский удар с прибылью от токенов

Для каждого снайперского кошелька мы сопоставляем его торговую активность с захваченными токенами, конкретно вычисляя: общую сумму SOL, потраченную на покупку токена; общую сумму SOL, полученную при продаже на DEX; реализованную чистую прибыль (а не номинальный доход). Таким образом, можно точно определить прибыль, извлеченную из каждой атаки у развертывателя.

4. Оценка масштабов и поведения кошельков

Мы анализируем масштаб таких мероприятий с нескольких точек зрения: количество независимых развертывателей и кошельков-стрелков; количество подтвержденных совместных атак на блоки; распределение прибыли от атак; количество токенов, выпускаемых каждым развертывателем; использование кошельков-стрелков для различных токенов.

5. Следы активности машины

Чтобы понять, как происходят эти операции, мы сгруппировали снайперские действия по часам UTC. Результаты показывают: действия сосредоточены в определенном временном окне; значительно снижаются в поздние ночные часы UTC; это указывает на то, что речь идет не о глобальной, непрерывной автоматизации, а скорее о cron-задачах, синхронизированных с США, или о вручную выполняемых окнах.

6. Анализ поведения выхода

В конце концов, мы изучили поведение связанных с депонентом кошельков при продаже токенов, подвергшихся снайпингу: измерили время с первой покупки до окончательной продажи (время нахождения в позиции); подсчитали количество отдельных сделок на продажу, использованных каждым кошельком для выхода. Таким образом, мы можем различить, выбрал ли кошелек быструю ликвидацию или постепенную распродажу, и исследовать связь между скоростью выхода и прибыльностью.

####Сфокусируйтесь на самых явных угрозах

Сначала мы оценили масштаб снайпинга токенов в рамках выпуска pump.fun, и результаты оказались шокирующими: более 50% токенов были снайпированы сразу после создания блока — снайпинг в рамках одного блока стал доминирующей моделью выпуска.

На Solana участие в одном блоке обычно требует: предварительной подписи транзакций; координации вне цепи; или совместного использования инфраструктуры между развертывателем и покупателем.

Не все блоковые снайперы одинаково злонамеренны, по крайней мере, существуют две категории ролей: «рыболовные роботы» — тестирование эвристики или мелкой спекуляции; «внутренние коллаборационисты» — включая тех, кто предоставляет финансирование своим покупателям.

Чтобы уменьшить ложные срабатывания и выделить настоящие совместные действия, мы внедрили строгую фильтрацию в конечные показатели: учитываются только прямые переводы SOL между деплойером и снайперским кошельком до выхода на рынок. Это позволяет нам с уверенностью определить: кошельки, находящиеся под прямым контролем деплойера; кошельки, действующие под руководством деплойера; кошельки, имеющие внутренние каналы.

#####Исследование случая 1: Прямое финансирование

Кошелек 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE отправляет в общей сложности 1,2 SOL на 3 разных кошелька, а затем развертывает токен под названием SOL > BNB. 3 финансируемых кошелька были раскуплены в том же блоке, в котором был создан токен, прежде чем он стал видимым на более широком рынке. Впоследствии они быстро продали с прибылью, выполнив скоординированный молниеносный выход. Это хрестоматийный пример считывания токенов фермеров через предварительно пополненный кошелек снайпера, который напрямую фиксируется нашим подходом к цепочке фондов. Несмотря на свою простоту, он был поставлен с большим размахом в тысячах релизов.

#####Исследование случая 2: Многопрыжковое финансирование

Кошелек GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA связан с многоразовыми атаками на токены. Этот объект не вносил средства напрямую в кошелек для атаки, а передавал SOL через 5–7 промежуточных кошельков, прежде чем попасть в конечный кошелек для атаки, таким образом, завершив атаку в одном блоке.

Наши текущие методы обнаруживают лишь некоторые предварительные переводы от развертывателя, но не могут отследить всю цепочку к конечному кошельку-цели. Эти промежуточные кошельки обычно используются «один раз», только для передачи SOL, что затрудняет их связь через простые запросы. Этот пробел не является недостатком дизайна, а является результатом компромисса вычислительных ресурсов — отслеживание многопрыжковых путей средств в масштабных данных хотя и возможно, но требует значительных затрат. Поэтому текущее решение отдает приоритет высокому уровню уверенности и прямым связям, чтобы сохранить ясность и воспроизводимость.

Мы использовали визуальные инструменты Arkham, чтобы показать эту длинную цепочку финансирования, графически представив, как средства движутся от начального кошелька через оболочку к конечному кошельку разработчика. Это подчеркивает сложность запутывания источников средств и указывает на направления для будущего улучшения методов обнаружения.

Почему сосредоточиться на "прямом финансировании и кошельках для блокчейн-атак"

В оставшейся части этой статьи мы рассмотрим только снайперские кошельки, которые получили средства от развертывания непосредственно перед запуском и были снесены в пределах одного блока. И вот почему: они приносят значительную прибыль; Минимальные средства обфускации; представляет собой наиболее оперативное вредоносное подмножество; Их изучение обеспечивает наиболее четкую эвристическую основу для обнаружения и смягчения последствий более сложных стратегий извлечения.

####обнаружить

Сосредоточившись на подкатегории "блокировочные действия в одном районе + прямые финансовые цепочки", мы раскрыли широкий, структурированный и высокоприбыльный совместный онлайн-экшен. Все данные охватывают период с 15 марта по настоящее время:

#####1. Однотипные блоки и финансируемые разработчиком снайперы очень распространены и систематизированы

a. За последний месяц было подтверждено, что более 15 000 токенов были напрямую атакованы кошельками на момент запуска.

b. Затрагивает более 4600 снайперских кошельков и более 10400 развертывателей;

c. Объем выпуска pump.fun составляет около 1.75 %.

#####2. Это поведение приносит массовую прибыль

a. Прямое получение средств с кошелька для нападения достигло чистой прибыли > 15,000 SOL;

b. Успех снайперской атаки 87 %, крайне редкие неудачные сделки;

c. Типичные доходы с одного кошелька 1–100 SOL, некоторые превышают 500 SOL.

#####3. Повторное развертывание и нацеливание на фермерские сети

a. Многие развертыватели используют новые кошельки для массового создания десятков и сотен токенов;

b. Некоторые снайперские кошельки выполняют сотни снайперских операций в день;

c. Наблюдается структура "центр-радиус": один кошелек финансирует несколько снайперских кошельков, все они нацелены на один и тот же токен.

#####4. Снайпер отображает ориентированную на человека временную модель

a. Активный пик с 14:00 до 23:00 по UTC; с 00:00 до 08:00 по UTC практически бездействие;

b. Совпадает с рабочим временем в США, указывая на то, что это ручной/cron триггер, а не глобальная 24-часовая автоматизация.

#####5. Путаница в праве собственности между одноразовыми кошельками и многофирменными транзакциями

a. Депонент вносит средства в несколько кошельков одновременно и подписывает нападение в одной и той же сделке;

b. Эти горячие кошельки больше не будут подписывать никаких транзакций;

c. Разработчик разбивает первоначальную покупку на 2–4 кошелька, маскируя реальный спрос.

####выходное поведение

Чтобы глубже понять, как эти кошельки выходят, мы разбиваем данные по двум основным поведенческим измерениям:

1. Скорость выхода (Exit Timing) — — время от первой покупки до окончательной продажи;

2. Количество продаж (Swap Count) — — количество независимых торговых операций на продажу, использованных для выхода.

#####Данные выводы

1. Скорость вывода

a. 55% снайперов распроданы за 1 минуту;

б. 85 % распродажа за 5 минут;

c. 11 % завершено за 15 секунд.

2. Количество продаж

a. Более 90 % кошельков-скрипачей выходят только с 1–2 продажами;

b. Очень редко используется поэтапная распродажа.

3. Тренд прибыли

a. Самыми прибыльными являются кошельки с выводом менее 1 минуты, затем менее 5 минут;

b. Более длительное удержание или многократная продажа, хотя средняя прибыль от одной продажи немного выше, но количество очень малое, что ограничивает вклад в общую прибыль.

Объяснение

Эти модели показывают: финансируемые развертывателями снайперы не являются торговыми действиями, а представляют собой автоматизированные стратегии извлечения с низким уровнем риска:

·Купить заранее → Быстро продать → Полностью выйти.

·Одноразовая продажа означает полное игнорирование колебаний цен и использование первоочередного сброса.

·Некоторые более сложные стратегии выхода являются исключением, а не мейнстримной моделью.

Оперативные инсайты

Следующие рекомендации направлены на помощь командам протоколов, разработчикам интерфейсов и исследователям в выявлении и противодействии моделям эмиссии токенов на основе извлечения или сотрудничества, путём преобразования наблюдаемого поведения в эвристические методы, фильтры и предупреждения, что повысит прозрачность для пользователей и снизит риски.

####Заключение

Этот отчет раскрывает стратегию непрерывного, структурированного и высокодоходного извлечения токенов Solana: снайпинг в одном блоке, финансируемый развертывателем. Отслеживая прямые переводы SOL от развертывателя к снайперскому кошельку, мы выявили ряд действий в стиле инсайдеров, использующих высокопроизводительную архитектуру Solana для совместного извлечения.

Хотя этот метод захватывает только часть блоков в одной зоне, его масштаб и модель указывают на то, что это не случайная спекуляция, а операторы с привилегированным положением, повторяемой системой и четкими намерениями. Важность этой стратегии заключается в:

1. Искажать ранние рыночные сигналы, чтобы токены казались более привлекательными или конкурентоспособными;

2. Угроза для розничных инвесторов — они становятся ликвидностью выхода, не осознавая этого;

3. Ослабление доверия к открытому выпуску токенов, особенно на таких платформах, как pump.fun, где акцент делается на скорость и удобство использования.

Чтобы смягчить эту проблему, нужно не только пассивное сопротивление, но и лучшие эвристические методы, предупреждения на переднем крае, барьеры на уровне протокола, а также постоянные усилия по сопоставлению и мониторингу совместных действий. Инструменты для обнаружения уже существуют — проблема в том, готова ли экосистема действительно их применять.

Этот отчет сделал первый шаг: он предоставил надежный и воспроизводимый фильтр для выявления наиболее очевидного совместного поведения. Но это только начало. Настоящая проблема заключается в обнаружении высоко замаскированных, постоянно эволюционирующих стратегий и создании ончейн-культуры, которая вознаграждает прозрачность, а не извлечение.