Análisis del comportamiento de arbitraje interno en la emisión de token de Solana

Resumen

Este informe investiga un modelo de arbitraje de token ampliamente utilizado y altamente colaborativo en Solana: los emisores de token transfieren SOL a "carteras francotiradoras", lo que permite a estas carteras comprar el token en el mismo bloque en el que se lanza. Al centrarnos en una cadena de fondos clara y verificable entre el emisor y el francotirador, identificamos un conjunto de comportamientos de extracción de alta confianza.

El análisis muestra que esta estrategia no es un fenómeno casual ni un comportamiento marginal: solo en el último mes, se han extraído más de 15,000 SOL de ganancias realizadas a través de más de 15,000 emisiones de token, involucrando más de 4,600 billeteras de caza y más de 10,400 desplegadores. Estas billeteras muestran una tasa de éxito anormalmente alta de (87% en ganancias de caza ), métodos de salida limpios y ordenados, así como patrones de operación estructurados.

Principales hallazgos:

• Los francotiradores financiados por los implementadores son sistemáticos, rentables y generalmente automatizados; las actividades de francotiradores se concentran más durante el horario laboral en Estados Unidos.
• La estructura de múltiples billeteras en la agricultura es muy común, a menudo se utilizan billeteras temporales y se retiran de manera coordinada para simular la demanda real.
• Las técnicas de confusión están en constante evolución, como las cadenas de fondos de múltiples saltos y el comercio de ataques de múltiples firmas, para evadir la detección.
• Aunque tiene limitaciones, un filtro de capital de salto aún puede capturar los casos de comportamiento "interno" a gran escala más claros y repetibles.
• Este informe presenta un conjunto de métodos heurísticos operativos que ayudan a los equipos de protocolo y al front-end a identificar, marcar y responder en tiempo real a este tipo de actividades - incluyendo el seguimiento de la concentración de tenencias tempranas, etiquetado de billeteras asociadas a los desplegadores, y emitiendo advertencias en el front-end a los usuarios en emisiones de alto riesgo.

A pesar de que el análisis solo abarcó un subconjunto de las actividades de caza de bloques en la misma zona, su escala, estructura y rentabilidad indican que la emisión de token de Solana está siendo manipulada activamente por redes colaborativas, y las medidas de defensa existentes son insuficientes.

Metodología

Este análisis comienza con un objetivo claro: identificar el comportamiento de los tokens de colaboración en Solana, especialmente la situación en la que los desplegadores proporcionan fondos a las carteras de sniper en el mismo bloque que la emisión de token. Dividimos el problema en las siguientes etapas:

1. Filtrar caza de bloques en la misma zona

2. Identificar la billetera asociada con el emisor

3. Asociar el ataque con las ganancias del token

4. Medir la escala y el comportamiento de la billetera

5. Huellas de actividad de la máquina

6. Análisis del comportamiento de salida

Enfocándose en la amenaza más clara

Primero medimos la escala de la emisión de token en la plataforma de emisión, y los resultados son sorprendentes: más del 50% de los tokens son atacados en la creación de bloques - el ataque en el mismo bloque ha pasado de ser un caso marginal a convertirse en el modo de emisión dominante.

En Solana, la participación en el mismo bloque generalmente requiere: transacciones prefirmadas; coordinación fuera de la cadena; o que el emisor comparta infraestructura con el comprador.

No todos los ataques de bloque son igualmente maliciosos, al menos existen dos tipos de roles: "robots de prueba de red" - que prueban heurísticas o realizan especulación de bajo monto; y cómplices internos - incluyendo a los desplegadores que proporcionan fondos a sus propios compradores.

Para reducir las falsas alarmas y resaltar los verdaderos comportamientos colaborativos, hemos incorporado un estricto filtrado en el indicador final: solo contabilizamos los ataques de francotiradores que tienen transferencias directas de SOL entre el desplegador antes de salir y la billetera de francotirador. Esto nos permite identificar con confianza: las billeteras controladas directamente por el desplegador; las billeteras que actúan bajo las órdenes del desplegador; las billeteras que tienen canales internos.

Estudio de caso 1: financiamiento directo

La billetera del desplegador envía un total de 1.2 SOL a 3 billeteras diferentes, y luego despliega un token llamado SOL > BNB. Las 3 billeteras que obtienen financiación completan la compra en el mismo bloque en el que se crea el token, antes de que sea visible en el mercado más amplio. Posteriormente, lo venden rápidamente para obtener ganancias, ejecutando una salida relámpago coordinada. Este es un ejemplo de libro de texto de una billetera de ataque prefinanciada que barre el token agrícola, capturado directamente por nuestro método de cadena de fondos. A pesar de que la técnica es simple, se representa a gran escala en miles de emisiones.

Estudio de caso 2: financiamiento multipunto

Una billetera está relacionada con múltiples ataques de token. Esta entidad no financió directamente la billetera de ataque, sino que transfirió SOL a través de 5-7 billeteras intermedias hasta llegar a la billetera de ataque final, completando así el ataque en el mismo bloque.

Nuestro enfoque actual solo detecta algunas transferencias iniciales del desplegador, pero no logra capturar toda la cadena hacia la billetera final. Estas billeteras de retransmisión suelen ser "de un solo uso", utilizadas solo para transmitir SOL, lo que dificulta su asociación a través de consultas simples. Esta brecha no es un defecto de diseño, sino una consideración de recursos de cálculo: aunque es factible rastrear rutas de fondos de múltiples saltos en grandes volúmenes de datos, el costo es enorme. Por lo tanto, la implementación actual prioriza enlaces directos de alta confianza para mantener claridad y reproducibilidad.

Descubrir

Enfocándonos en el subconjunto de "sniping en la misma cadena + cadena de fondos directa", revelamos un comportamiento colaborativo en la cadena que es amplio, estructurado y altamente rentable. Todos los datos a continuación cubren desde el 15 de marzo hasta la fecha:

1. Es bastante común y sistemático que los snipers sean financiados por el mismo bloque y el despliegue.

a. En el último mes, se confirmaron más de 15,000 tokens que fueron directamente atacados por carteras de financiamiento en el bloque de lanzamiento;

b. Involucra más de 4,600 wallets de sniper, más de 10,400 implementadores;

c. Ocupa aproximadamente el 1.75% de la emisión en una plataforma.

2. Este comportamiento es altamente rentable

a. La adquisición directa de capital ha logrado un beneficio neto >15,000 SOL;

b. Tasa de éxito de la emboscada del 87%, muy pocas transacciones fallidas;

c. Rendimiento típico de una sola billetera de 1-100 SOL, pocos superan 500 SOL.

3. Despliegue repetido y apuntar a la red de agricultores de golpe

a. Muchos desplegadores utilizan nuevas carteras para crear en masa decenas a cientos de Tokens;

b. Algunas carteras de sniping realizan cientos de ataques en un día;

c. Observado la estructura "centro-radiación": una cartera financia múltiples carteras de francotiradores, todas apuntando al mismo token.

4. El francotirador presenta un patrón temporal centrado en el ser humano

a. El pico de actividad está entre UTC 14:00-23:00; UTC 00:00-08:00 está casi parado;

b. Coincidiendo con el horario laboral de EE. UU., se indica que es activado manualmente/o mediante cron, y no de forma automática 24 horas en todo el mundo.

5. Confusión de la propiedad entre billeteras de un solo uso y transacciones multi-firma

a. El desplegador inyecta capital en varias billeteras al mismo tiempo y firma el golpe en la misma transacción;

b. Estas billeteras ya no firmarán ninguna transacción;

c. El desplegador divide la compra inicial en 2-4 billeteras, simulando la demanda real.

Comportamiento de salida

Para comprender mejor cómo estos monederos se retiran, desglosamos los datos en dos grandes dimensiones de comportamiento:

1. Velocidad de salida ( Temporización de salida ) - Desde la primera compra hasta la venta final;

2. Cantidad de venta ( Swap Count ) - Número de transacciones de venta independientes utilizadas para salir.

conclusión de datos

1. Velocidad de salida

a. El 55% de los disparos se vendió en su totalidad en 1 minuto;

b. 85% en 5 minutos liquidación;

c. 11% en 15 segundos.

2. Número de ventas

a. Más del 90% de las billeteras de francotiradores solo realizan 1-2 órdenes de venta para salir;

b. Muy pocas veces se utiliza la emisión progresiva.

3. Tendencia de ganancias

a. El más rentable es el <1 minuto para salir de la billetera, seguido de <5 minutos;

b. Mantener por más tiempo o vender varias veces, aunque el beneficio promedio por transacción es ligeramente más alto, la cantidad es muy pequeña, lo que limita su contribución al beneficio total.

explicación

Estos patrones indican que el ataque financiado por el desplegador no es una actividad comercial, sino una estrategia automatizada y de bajo riesgo de extracción.

• Compra anticipada → Venta rápida → Salida completa.
• Una venta única representa una total indiferencia ante la fluctuación de precios, utilizando únicamente la oportunidad para vender.
• Algunas estrategias de salida más complejas son solo excepciones, modelos no convencionales.

Conclusión

Este informe revela una estrategia de extracción de emisión de token de Solana continua, estructurada y altamente rentable: la caza de bloques financiada por el desplegador. Al rastrear las transferencias directas de SOL del desplegador a la billetera de caza, hemos identificado un comportamiento estilo insider, aprovechando la arquitectura de alto rendimiento de Solana para la extracción colaborativa.

Aunque este método solo captura una parte de los ataques en el mismo bloque, su escala y patrón indican que: no se trata de una especulación aislada, sino de operadores con posiciones privilegiadas, sistemas repetibles y una intención clara. La importancia de esta estrategia radica en:

1. Distorsionar las señales tempranas del mercado, haciendo que el token parezca más atractivo o competitivo;

2. Peligro para los minoristas - se convierten en liquidez de salida sin saberlo;

3. Debilitar la confianza en la emisión de token abierta, especialmente en plataformas de emisión de token que buscan velocidad y facilidad de uso.

Para aliviar este problema, no solo se necesita defensa pasiva, sino también mejores heurísticas, advertencias en el front-end, barreras a nivel de protocolo, así como esfuerzos continuos para mapear y monitorear el comportamiento colaborativo. Las herramientas de detección ya existen - el problema radica en si el ecosistema está realmente dispuesto a aplicarlas.

Este informe ha dado el primer paso: ha proporcionado un filtro confiable y reproducible para identificar los comportamientos de correlación más evidentes. Pero esto es solo el comienzo. El verdadero desafío radica en detectar estrategias altamente confusas y en constante evolución, y en construir una cultura en la cadena que recompense la transparencia en lugar de la extracción.