作者|Pine Analytics

編譯|GaryMa 吳說區(qū)塊鏈

https://x.com/PineAnalytics/status/1914301091337953734

摘要

本報告調(diào)查了 Solana 上一種普遍且高度協(xié)同的meme 代幣刷農(nóng)（farming）模式：代幣部署者向 “狙擊錢包（sniper wallets）” 轉(zhuǎn)入 SOL，使這些錢包能夠在代幣上線的同一區(qū)塊內(nèi)買入該代幣。通過聚焦部署者與狙擊者之間清晰、可證明的資金鏈，我們鎖定了一組高置信度的抽取式行為。

我們的分析顯示，這種策略既不是偶發(fā)現(xiàn)象，也不是邊緣行為?—?— 僅在過去一個月內(nèi)，就通過這種方式從15,000 多次代幣發(fā)行中提取了超過15,000 SOL的已實現(xiàn)利潤，涉及 4,600 多個狙擊錢包和10,400 多個部署者。這些錢包表現(xiàn)出異常高的成功率（87%的狙擊獲利）、干凈利落的退出方式以及結(jié)構(gòu)化的操作模式。

關(guān)鍵發(fā)現(xiàn)：

·部署者資助的狙擊具備系統(tǒng)性、盈利性且通常自動化，狙擊活動在美國工作時間內(nèi)最為集中。

·多錢包刷農(nóng)結(jié)構(gòu)十分常見，經(jīng)常使用臨時錢包與協(xié)同退出來模擬真實需求。

·混淆手段不斷升級，例如多跳資金鏈和多簽名狙擊交易，以逃避檢測。

·雖有局限，我們的一跳資金過濾器仍能抓取最清晰、可重復(fù)的大規(guī)?！皟?nèi)部人”行為案例。

·本報告提出了一套可操作的啟發(fā)式方法，幫助協(xié)議團(tuán)隊和前端實時識別、標(biāo)記并應(yīng)對此類活動?—?— 包括追蹤早期持倉集中度、給部署者關(guān)聯(lián)錢包打標(biāo)簽，并在高風(fēng)險發(fā)行中向用戶發(fā)出前端警告。

盡管我們的分析僅覆蓋了同區(qū)塊狙擊行為的一個子集，但其規(guī)模、結(jié)構(gòu)和盈利性表明：Solana 代幣發(fā)行正受到協(xié)同網(wǎng)絡(luò)的積極操控，而現(xiàn)有防御措施遠(yuǎn)遠(yuǎn)不足。

方法論

本分析以一個明確目標(biāo)為起點：識別 Solana 上表明協(xié)同 meme 代幣刷農(nóng)的行為，尤其是部署者在代幣上線同區(qū)塊為狙擊錢包提供資金的情況。我們將問題分為以下階段：

1. 篩選同區(qū)塊狙擊

我們首先篩選在部署后同一區(qū)塊即被狙擊的錢包。由于：Solana 沒有全局 mempool；要在代幣出現(xiàn)在公共前端之前知曉其地址；以及部署與首次 DEX 交互之間的時間極短。這種行為幾乎不可能是自然發(fā)生，因此“同區(qū)塊狙擊”成為識別潛在串通或特權(quán)活動的高置信度過濾器。

2. 識別與部署者關(guān)聯(lián)的錢包

為區(qū)分技術(shù)高超的狙擊者與協(xié)同“內(nèi)部人”，我們追蹤了代幣上線前部署者與狙擊者之間的 SOL 轉(zhuǎn)賬，僅標(biāo)記滿足以下條件的錢包：直接從部署者接收 SOL；直接向部署者發(fā)送 SOL。只有在上線前存在直接轉(zhuǎn)賬的錢包才被納入最終數(shù)據(jù)集。

3. 將狙擊與代幣利潤關(guān)聯(lián)

針對每個狙擊錢包，我們映射其在被狙擊代幣上的交易活動，具體計算：買入該代幣花費的 SOL 總額；在 DEX 賣出所得的 SOL 總額；已實現(xiàn)凈利潤（而非名義收益）。這樣可精確歸因每次狙擊從部署者處抽取的利潤。

4. 衡量規(guī)模與錢包行為

我們從多個維度分析此類活動的規(guī)模：獨立部署者與狙擊錢包數(shù)量；確認(rèn)的協(xié)同同區(qū)塊狙擊次數(shù)；狙擊利潤分布；部署者每人發(fā)行的代幣數(shù)量；狙擊錢包跨代幣復(fù)用情況。

5. 機器活動痕跡

為了解這些操作如何進(jìn)行，我們按 UTC 小時對狙擊活動分組。結(jié)果顯示：活動集中在特定時間窗口；在 UTC 深夜時段顯著下降；這表明與其說是全球化、持續(xù)的自動化，不如說是與美國對齊的 cron 任務(wù)或人工執(zhí)行窗口。

6. 退出行為分析

最后，我們研究部署者關(guān)聯(lián)錢包在賣出被狙擊代幣時的行為：測量首筆買入到最終賣出之間的時間（持倉時長）；統(tǒng)計每個錢包退出所用的獨立賣出交易數(shù)量。由此分辨錢包是選擇快速清倉還是漸進(jìn)式拋售，并考察退出速度與盈利性的關(guān)聯(lián)。

聚焦最清晰的威脅

我們首先衡量了 pump.fun 發(fā)行中同區(qū)塊狙擊的規(guī)模，結(jié)果令人震驚：超過 50 % 的代幣在創(chuàng)建區(qū)塊就被狙擊?—?— 同區(qū)塊狙擊已從邊緣案例變成主導(dǎo)發(fā)行模式。

在 Solana 上，同區(qū)塊參與通常需要：預(yù)簽交易；鏈下協(xié)調(diào)；或部署者與買家共用基礎(chǔ)設(shè)施。

并非所有同區(qū)塊狙擊都同樣惡意，至少存在兩類角色：“撒網(wǎng)試運氣”機器人?—?— 測試啟發(fā)式或小額投機；協(xié)同內(nèi)部人?—?— 包括部署者為自己的買家提供資金。

為減少誤報并突出真正的協(xié)同行為，我們在最終指標(biāo)中加入了嚴(yán)格過濾：僅統(tǒng)計上線前部署者與狙擊錢包間存在直接 SOL 轉(zhuǎn)賬的狙擊。這使我們能自信地鎖定：由部署者直接控制的錢包；在部署者指揮下行事的錢包；擁有內(nèi)部渠道的錢包。

案例研究 1：直接資助

部署者錢包 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE 向 3 個不同錢包共計發(fā)送 1.2 SOL，然后部署名為 SOL > BNB 的代幣。3 個獲資錢包在代幣創(chuàng)建的同一區(qū)塊內(nèi)即完成搶購，搶在更廣泛市場可見之前。隨后，它們快速賣出獲利，執(zhí)行了協(xié)調(diào)一致的閃電退出。這是通過預(yù)資狙擊錢包刷農(nóng)代幣的教科書式示例，被我們的資金鏈方法直接捕獲。盡管手法簡單，卻在數(shù)千次發(fā)行中大規(guī)模上演。

案例研究 2：多跳資助

錢包 GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA 與多次代幣狙擊相關(guān)。該實體并未直接為狙擊錢包注資，而是將 SOL 通過 5–7 層中轉(zhuǎn)錢包再到最終狙擊錢包，從而在同區(qū)塊完成狙擊。

我們的現(xiàn)有方法只檢測到部署者的一些初步轉(zhuǎn)賬，卻未能抓全向最終狙擊錢包的整條鏈。這些中繼錢包通?！耙淮涡允褂谩保瑑H用于傳遞 SOL，使其難以通過簡單查詢關(guān)聯(lián)。此缺口并非設(shè)計缺陷，而是出于計算資源權(quán)衡?—?— 在大規(guī)模數(shù)據(jù)中追蹤多跳資金路徑雖然可行，但開銷巨大。因此當(dāng)前實現(xiàn)優(yōu)先選擇高置信度、直連鏈路以保持清晰與可復(fù)現(xiàn)性。

我們借助 Arkham 的可視化工具展示了這條更長的資金鏈，圖形化呈現(xiàn)了資金如何從初始錢包經(jīng)殼錢包一路流向最終部署者錢包。這突出顯示了資金來源混淆的復(fù)雜程度，也為未來完善檢測方法指明了方向。

為什么聚焦“直接資助且同區(qū)塊狙擊的錢包”

在本文余下部分，我們僅研究上線前直接獲得部署者資金、并在同一區(qū)塊內(nèi)狙擊的狙擊錢包。原因如下：它們貢獻(xiàn)了可觀利潤；混淆手段最少；代表最具操作性的惡意子集；研究它們能為偵測并緩解更高級的抽取策略提供最清晰的啟發(fā)式框架。

發(fā)現(xiàn)

聚焦于“同區(qū)塊狙擊 + 直接資金鏈”這一子集，我們揭示了一種廣泛、結(jié)構(gòu)化且高度盈利的鏈上協(xié)同行為。以下全部數(shù)據(jù)涵蓋 3 月 15 日至今：

1. 同區(qū)塊且部署者資助的狙擊十分常見且系統(tǒng)化

a. 過去一個月確認(rèn) 15,000+ 個代幣在上線區(qū)塊即被直接獲資錢包狙擊；

b. 涉及 4,600+ 個狙擊錢包、10,400+ 名部署者；

c. 占 pump.fun 發(fā)行量約 1.75 %。

2. 該行為大規(guī)模盈利

a. 直接獲資狙擊錢包已實現(xiàn)凈利潤 > 15,000 SOL；

b. 狙擊成功率 87 %，失敗交易極少；

c. 單錢包典型收益 1–100 SOL，少數(shù)超 500 SOL。

3. 重復(fù)部署與狙擊指向刷農(nóng)網(wǎng)絡(luò)

a. 許多部署者使用新錢包批量創(chuàng)建數(shù)十到數(shù)百代幣；

b. 某些狙擊錢包在一天內(nèi)執(zhí)行數(shù)百次狙擊；

c. 觀察到“中心-輻射”結(jié)構(gòu)：一個錢包為多個狙擊錢包注資，所有狙擊同一代幣。

4. 狙擊呈現(xiàn)以人為中心的時間模式

a. 活躍高峰在 UTC 14:00–23:00；UTC 00:00–08:00 幾乎停擺；

b. 與美國工作時間契合，說明為人工/cron 定時觸發(fā)，而非全球 24 小時全自動。

5. 一次性錢包與多簽交易混淆所有權(quán)

a. 部署者為數(shù)個錢包同時注資并在同一交易里簽名狙擊；

b. 這些燒錢包此后不再簽任何交易；

c. 部署者把初始買入拆到 2–4 個錢包，偽裝真實需求。

退出行為

為深入了解這些錢包如何退出，我們按兩大行為維度拆解數(shù)據(jù)：

1. 退出速度（Exit Timing）?—?— 從首買到最終賣出的時間；

2. 賣出筆數(shù)（Swap Count）?—?— 退出所用獨立賣出交易數(shù)量。

數(shù)據(jù)結(jié)論

1. 退出速度

a. 55 % 的狙擊在 1 分鐘內(nèi)全部賣完；

b. 85 % 在 5 分鐘內(nèi)清倉；

c. 11 % 在 15 秒內(nèi)完成。

2. 賣出筆數(shù)

a. 超過 90 % 的狙擊錢包只用 1–2 筆賣單退出；

b. 極少采用漸進(jìn)式拋售。

3. 盈利趨勢

a. 最賺錢的是 < 1 分鐘退出的錢包，其次 < 5 分鐘；

b. 更長持有或多次賣出雖平均單次利潤略高，但數(shù)量極少，對總利潤貢獻(xiàn)有限。

解釋

這些模式表明：部署者資助的狙擊并非交易行為，而是自動化、低風(fēng)險抽取策略：

·搶先買入 → 快速賣出 → 完全退出。

·單筆賣出代表毫不關(guān)心價格波動，僅利用先機 dump。

·少數(shù)更復(fù)雜的退出策略只是例外，非主流模式。

可操作洞見

下列建議旨在幫助協(xié)議團(tuán)隊、前端開發(fā)者及研究者識別并應(yīng)對抽取式或協(xié)同代幣發(fā)行模式，通過將觀察到的行為轉(zhuǎn)化為啟發(fā)式、過濾器與警示，提高用戶透明度并降低風(fēng)險。

結(jié)論

本報告揭示了一種持續(xù)、結(jié)構(gòu)化且高利潤的 Solana 代幣發(fā)行抽取策略：部署者資助的同區(qū)塊狙擊。通過追蹤部署者向狙擊錢包的直接 SOL 轉(zhuǎn)賬，我們鎖定了一批內(nèi)部人風(fēng)格的行為，利用 Solana 的高吞吐架構(gòu)進(jìn)行協(xié)同抽取。

雖然本方法只捕獲了同區(qū)塊狙擊的一部分，但其規(guī)模與模式表明：這不是零散投機，而是擁有特權(quán)位置、可重復(fù)系統(tǒng)和明確意圖的運營者。該策略的重要性體現(xiàn)在：

1. 扭曲早期市場信號，讓代幣看似更具吸引力或競爭力；

2. 危及散戶—?— 他們在不知情的情況下成為退出流動性；

3. 削弱開放式代幣發(fā)行的信任，尤其在追求速度與易用性的 pump.fun 等平臺。

要緩解此問題，需要的不只是被動防御，還包括更佳的啟發(fā)式、前端預(yù)警、協(xié)議級護(hù)欄，以及持續(xù)映射與監(jiān)控協(xié)同行為的努力。檢測工具已存在?—?— 問題在于生態(tài)是否愿意真正加以應(yīng)用。

本報告邁出了第一步：提供了一個可靠、可復(fù)現(xiàn)的過濾器，用以鎖定最明顯的協(xié)同行為。但這僅是開始。真正的挑戰(zhàn)在于偵測高度混淆、不斷演化的策略，并打造一個鏈上文化，獎勵透明而非抽取。

根據(jù)央行等部門發(fā)布“關(guān)于進(jìn)一步防范和處置虛擬貨幣交易炒作風(fēng)險的通知”，本文內(nèi)容僅用于信息分享，不對任何經(jīng)營與投資行為進(jìn)行推廣與背書，請讀者嚴(yán)格遵守所在地區(qū)法律法規(guī)，不參與任何非法金融行為。不為任何虛擬貨幣、數(shù)字藏品相關(guān)的發(fā)行、交易與融資等提供交易入口、指引、發(fā)行渠道引導(dǎo)等。吳說內(nèi)容未經(jīng)許可，禁止進(jìn)行轉(zhuǎn)載、復(fù)制等，違者將追究法律責(zé)任。