Inside de la emisión de token en Solana: Revelando el arbitraje colaborativo
Este informe investiga en profundidad un modelo de "farming" de token que es común y altamente colaborativo en Solana: los emisores de token transfieren SOL a "carteras de francotirador", permitiendo que estas carteras compren el token en el mismo bloque en que se lanza. Al centrarnos en la clara cadena de financiamiento entre el emisor y el francotirador, hemos identificado un conjunto de comportamientos de extracción de alta credibilidad.
El análisis muestra que esta estrategia no es un fenómeno accidental ni un comportamiento marginal. Solo en el último mes, se han extraído más de 15,000 SOL en ganancias realizadas a través de más de 15,000 emisiones de token, involucrando a más de 4,600 carteras de francotiradores y más de 10,400 desplegadores. Estas carteras muestran una tasa de éxito anormalmente alta de (87% en ganancias de francotiradores ), una forma de salida limpia y ordenada, así como un patrón de operación estructurado.
Principales descubrimientos:
El financiamiento de los snipers por parte de los desplegadores es sistemático, rentable y generalmente automatizado; las actividades de sniper son más intensas durante el horario laboral en Estados Unidos.
La estructura de múltiples billeteras para el cultivo es muy común, a menudo se utilizan billeteras temporales y retiros coordinados para simular la demanda real.
Los métodos de confusión siguen evolucionando, como las cadenas de fondos de múltiples saltos y los ataques de transacciones con múltiples firmas, para eludir la detección.
A pesar de sus limitaciones, nuestro filtro de capital de salto aún puede capturar los casos de "insider" más claros y repetibles a gran escala.
Este informe presenta un conjunto de métodos heurísticos operativos que ayudan a los equipos de protocolo y a la interfaz frontal a identificar, etiquetar y responder en tiempo real a tales actividades - incluyendo el seguimiento de la concentración de posiciones tempranas, etiquetar las billeteras asociadas a los desplegadores y emitir advertencias frontales a los usuarios durante las emisiones de alto riesgo.
A pesar de que nuestro análisis cubre solo un subconjunto de las actividades de caza de bloques en la misma zona, su escala, estructura y rentabilidad indican que la emisión de token de Solana está siendo manipulada activamente por una red colaborativa, y las medidas de defensa existentes son muy insuficientes.
Metodología
Este análisis comienza con un objetivo claro: identificar el comportamiento de los tokens de colaboración en Solana, especialmente en el caso en que el desplegador proporciona fondos a una billetera de ataque en el mismo bloque que la emisión del token. Dividimos el problema en las siguientes etapas:
Filtrar el mismo bloque de trampa
Primero filtramos las billeteras que fueron atacadas en el mismo bloque inmediatamente después de su implementación. Debido a que Solana no tiene un mempool global; es necesario conocer la dirección del token antes de que aparezca en el frontend público; y el tiempo entre la implementación y la primera interacción con el DEX es extremadamente corto. Este comportamiento es prácticamente imposible que ocurra de manera natural, por lo que "ataque en el mismo bloque" se convierte en un filtro de alta confianza para identificar actividades potenciales de colusión o privilegio.
Identificar la billetera asociada al desplegador
Para distinguir entre los francotiradores técnicamente hábiles y los "insiders" colaborativos, rastreamos las transferencias de SOL entre los implementadores y los francotiradores antes del lanzamiento del token, marcando únicamente las billeteras que cumplieran con las siguientes condiciones: recibir SOL directamente del implementador; enviar SOL directamente al implementador. Solo las billeteras con transferencias directas antes del lanzamiento fueron incluidas en el conjunto de datos final.
Asociar el ataque con las ganancias del token
Para cada billetera de sniper, mapeamos su actividad de trading en el token atacado, calculando específicamente: el total de SOL gastado para comprar el token; el total de SOL obtenido al vender en DEX; y la ganancia neta realizada ( en lugar de la ganancia nominal ). De esta manera, se puede atribuir con precisión cada vez que se extrae ganancia del desplegador.
Medir la escala y el comportamiento de la billetera
Analizamos la escala de este tipo de actividades desde múltiples dimensiones: el número de implementadores independientes y de billeteras de sniper; el número de veces que se ha confirmado el sniper en el mismo bloque; la distribución de beneficios de sniper; el número de tokens emitidos por cada implementador; la reutilización de billeteras de sniper entre diferentes tokens.
Huellas de actividad de la máquina
Para entender cómo se llevan a cabo estas operaciones, agrupamos las actividades de sniper por hora UTC. Los resultados muestran: las actividades se concentran en ventanas de tiempo específicas; disminuyen significativamente durante las horas de la madrugada UTC; esto sugiere que, más que una automatización global y continua, se trata de tareas cron alineadas con Estados Unidos o ventanas de ejecución manual.
Análisis del comportamiento de salida
Finalmente, estudiamos el comportamiento de las billeteras asociadas a los desplegadores al vender tokens que han sido apuntados: medimos el tiempo desde la primera compra hasta la venta final ( duración de la posición ); contamos la cantidad de transacciones de venta independientes utilizadas por cada billetera para salir. De esta manera, diferenciamos si la billetera elige liquidar rápidamente o vender progresivamente, y examinamos la relación entre la velocidad de salida y la rentabilidad.
Enfocarse en la amenaza más clara
Primero medimos la escala de la emisión de token en un plataforma de intercambio que utiliza el mismo bloque, y los resultados fueron impactantes: más del 50% de los tokens fueron cazados en el momento de la creación del bloque - la caza de bloques ha pasado de ser un caso marginal a convertirse en el modo de emisión dominante.
En Solana, la participación en el mismo bloque generalmente requiere: transacciones pre-firmadas; coordinación fuera de la cadena; o que el emisor comparta infraestructura con el comprador.
No todos los ataques de bloque son igualmente maliciosos, al menos hay dos tipos de roles: "robots de prueba de red" - que prueban heurísticas o especulación de bajo monto; y cómplices internos - que incluyen a los desplegadores que proporcionan financiamiento a sus propios compradores.
Para reducir las falsas alarmas y resaltar el verdadero comportamiento colaborativo, hemos incorporado un filtrado estricto en el indicador final: solo se contabilizan las transferencias directas de SOL entre el creador del contrato y la billetera de ataque antes del lanzamiento. Esto nos permite identificar con confianza: las billeteras controladas directamente por el creador; las billeteras que actúan bajo la dirección del creador; las billeteras que poseen canales internos.
Estudio de caso 1: financiamiento directo
La billetera del desplegador envía un total de 1.2 SOL a 3 billeteras diferentes, y luego despliega el token llamado SOL > BNB. Las 3 billeteras financiadas completan la compra en el mismo bloque en el que se creó el token, antes de que sea visible en un mercado más amplio. Luego, venden rápidamente para obtener ganancias, llevando a cabo una salida relámpago coordinada. Este es un ejemplo de libro de texto de un ataque de billetera de prefinanciación que barre los tokens agrícolas, capturado directamente por nuestro método de cadena de fondos. A pesar de que la técnica es simple, se lleva a cabo a gran escala en miles de emisiones.
Estudio de caso 2: financiamiento multi-salto
Una billetera está relacionada con múltiples ataques de tokens. Esta entidad no financió directamente la billetera de ataque, sino que transfirió SOL a través de 5-7 billeteras intermedias hasta la billetera de ataque final, completando así el ataque en el mismo bloque.
Nuestro método actual solo detecta algunas transferencias iniciales del desplegador, pero no logra capturar toda la cadena hacia la billetera final de emboscada. Estas billeteras intermediarias suelen ser "de un solo uso", utilizadas únicamente para transferir SOL, lo que dificulta la asociación a través de consultas simples. Esta brecha no es un defecto de diseño, sino una compensación de recursos computacionales: aunque es viable rastrear rutas de fondos de múltiples saltos en grandes conjuntos de datos, el costo es enorme. Por lo tanto, la implementación actual prioriza rutas de alta confianza y conexiones directas para mantener claridad y reproducibilidad.
¿Por qué centrarse en "carteras que financian directamente y que atacan en la misma cadena"?
En la parte restante de este artículo, solo estudiaremos las billeteras de sniper que obtienen fondos del desplegador directamente antes de su lanzamiento y que atacan en el mismo bloque. Las razones son las siguientes: contribuyen con beneficios considerables; tienen los métodos de confusión mínimos; representan el subconjunto malicioso más operativo; estudiarlas puede proporcionar el marco heurístico más claro para detectar y mitigar estrategias de extracción más avanzadas.
Descubrir
Enfocándonos en el subgrupo de "sniping en la misma cadena + cadena de fondos directa", revelamos un comportamiento colaborativo en la cadena que es amplio, estructurado y altamente rentable. Todos los datos a continuación cubren desde el 15 de marzo hasta la fecha:
Es bastante común y sistemático el sniping en la misma cadena de bloques y financiado por el implementador.
a. En el último mes se confirmaron más de 15,000 tokens que fueron directamente atacados por billeteras de financiamiento en el bloque de lanzamiento;
b. Involucra más de 4,600 carteras de francotiradores, más de 10,400 desplegadores;
c. Representa aproximadamente el 1.75% de la emisión en una plataforma de intercambio.
Este comportamiento genera grandes ganancias
a. La obtención directa de fondos mediante el ataque a carteras ha logrado un beneficio neto > 15,000 SOL;
b. Tasa de éxito de la operación de francotirador del 87%, muy pocas transacciones fallidas;
c. Rendimiento típico de una sola billetera 1-100 SOL, pocos superan 500 SOL.
Despliegue repetido y apuntar a la red de agricultores de golpe
a. Muchos desplegadores utilizan nuevas billeteras para crear en masa decenas a cientos de Token;
b. Algunas carteras de sniper realizan cientos de snipes en un día;
c. Observado la estructura "centro-radiación": una billetera financia múltiples billeteras de francotiradores, todas apuntando al mismo token.
El enfoque de la presentación se centra en un patrón temporal humano.
a. El pico de actividad está entre UTC 14:00-23:00; UTC 00:00-08:00 casi se detiene;
b. Coincide con el horario laboral de EE. UU., lo que indica que es un desencadenador manual/cron, y no una automatización global 24 horas.
Confusión de la propiedad entre billeteras de una sola vez y transacciones multisig
a. El desplegador inyecta capital en varias billeteras al mismo tiempo y firma el ataque en la misma transacción;
b. Estos billeteras quemadas ya no firmarán ninguna transacción;
c. El desplegador divide la compra inicial en 2-4 billeteras, disfrazando la demanda real.
Comportamiento de salida
Para entender mejor cómo estos monederos salen, desglosamos los datos según dos grandes dimensiones de comportamiento:
Velocidad de salida ( Tiempo de salida ) - Desde la primera compra hasta la venta final;
Número de ventas ( Swap Count ) - Número de transacciones de venta independientes utilizadas para salir.
conclusión de datos
Velocidad de salida
a. 55% de la oferta se vendió completamente en 1 minuto;
b. 85% de despeje en 5 minutos;
c. 11% completado en 15 segundos.
Número de ventas
a. Más del 90% de las carteras de sniper solo utilizan 1-2 órdenes de venta para salir;
b. Muy pocas veces se utiliza la venta progresiva.
Tendencia de ganancias
a. Lo más rentable es el monedero de <1 minuto de salida, seguido de <5 minutos;
b. Aunque mantener durante más tiempo o vender varias veces puede resultar en un ligero aumento en la ganancia promedio por transacción, la cantidad es extremadamente baja y su contribución al beneficio total es limitada.
explicación
Estos patrones indican que el ataque financiado por el desplegador no es una acción de intercambio, sino una estrategia de extracción automatizada y de bajo riesgo:
Una venta única representa una indiferencia total hacia la fluctuación de precios, simplemente aprovechando la oportunidad para vender.
Algunas estrategias de salida más complejas son solo excepciones, modos no convencionales.
Conclusión
Este informe revela una estrategia de extracción de emisión de token de Solana que es continua, estructurada y de alta rentabilidad: la trampa de bloqueo financiada por el desplegador. Al rastrear las transferencias directas de SOL del desplegador a la billetera de trampa, hemos identificado un comportamiento al estilo de los informantes, aprovechando la alta capacidad de procesamiento de Solana para realizar extracciones colaborativas.
Aunque este método solo captura una parte de la caza de bloques en la misma zona, su escala y patrón indican que: no se trata de una especulación aislada.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Emisión de token Solana: Revelando un arbitraje de 15000
Inside de la emisión de token en Solana: Revelando el arbitraje colaborativo
Este informe investiga en profundidad un modelo de "farming" de token que es común y altamente colaborativo en Solana: los emisores de token transfieren SOL a "carteras de francotirador", permitiendo que estas carteras compren el token en el mismo bloque en que se lanza. Al centrarnos en la clara cadena de financiamiento entre el emisor y el francotirador, hemos identificado un conjunto de comportamientos de extracción de alta credibilidad.
El análisis muestra que esta estrategia no es un fenómeno accidental ni un comportamiento marginal. Solo en el último mes, se han extraído más de 15,000 SOL en ganancias realizadas a través de más de 15,000 emisiones de token, involucrando a más de 4,600 carteras de francotiradores y más de 10,400 desplegadores. Estas carteras muestran una tasa de éxito anormalmente alta de (87% en ganancias de francotiradores ), una forma de salida limpia y ordenada, así como un patrón de operación estructurado.
Principales descubrimientos:
A pesar de que nuestro análisis cubre solo un subconjunto de las actividades de caza de bloques en la misma zona, su escala, estructura y rentabilidad indican que la emisión de token de Solana está siendo manipulada activamente por una red colaborativa, y las medidas de defensa existentes son muy insuficientes.
Metodología
Este análisis comienza con un objetivo claro: identificar el comportamiento de los tokens de colaboración en Solana, especialmente en el caso en que el desplegador proporciona fondos a una billetera de ataque en el mismo bloque que la emisión del token. Dividimos el problema en las siguientes etapas:
Primero filtramos las billeteras que fueron atacadas en el mismo bloque inmediatamente después de su implementación. Debido a que Solana no tiene un mempool global; es necesario conocer la dirección del token antes de que aparezca en el frontend público; y el tiempo entre la implementación y la primera interacción con el DEX es extremadamente corto. Este comportamiento es prácticamente imposible que ocurra de manera natural, por lo que "ataque en el mismo bloque" se convierte en un filtro de alta confianza para identificar actividades potenciales de colusión o privilegio.
Para distinguir entre los francotiradores técnicamente hábiles y los "insiders" colaborativos, rastreamos las transferencias de SOL entre los implementadores y los francotiradores antes del lanzamiento del token, marcando únicamente las billeteras que cumplieran con las siguientes condiciones: recibir SOL directamente del implementador; enviar SOL directamente al implementador. Solo las billeteras con transferencias directas antes del lanzamiento fueron incluidas en el conjunto de datos final.
Para cada billetera de sniper, mapeamos su actividad de trading en el token atacado, calculando específicamente: el total de SOL gastado para comprar el token; el total de SOL obtenido al vender en DEX; y la ganancia neta realizada ( en lugar de la ganancia nominal ). De esta manera, se puede atribuir con precisión cada vez que se extrae ganancia del desplegador.
Analizamos la escala de este tipo de actividades desde múltiples dimensiones: el número de implementadores independientes y de billeteras de sniper; el número de veces que se ha confirmado el sniper en el mismo bloque; la distribución de beneficios de sniper; el número de tokens emitidos por cada implementador; la reutilización de billeteras de sniper entre diferentes tokens.
Para entender cómo se llevan a cabo estas operaciones, agrupamos las actividades de sniper por hora UTC. Los resultados muestran: las actividades se concentran en ventanas de tiempo específicas; disminuyen significativamente durante las horas de la madrugada UTC; esto sugiere que, más que una automatización global y continua, se trata de tareas cron alineadas con Estados Unidos o ventanas de ejecución manual.
Finalmente, estudiamos el comportamiento de las billeteras asociadas a los desplegadores al vender tokens que han sido apuntados: medimos el tiempo desde la primera compra hasta la venta final ( duración de la posición ); contamos la cantidad de transacciones de venta independientes utilizadas por cada billetera para salir. De esta manera, diferenciamos si la billetera elige liquidar rápidamente o vender progresivamente, y examinamos la relación entre la velocidad de salida y la rentabilidad.
Enfocarse en la amenaza más clara
Primero medimos la escala de la emisión de token en un plataforma de intercambio que utiliza el mismo bloque, y los resultados fueron impactantes: más del 50% de los tokens fueron cazados en el momento de la creación del bloque - la caza de bloques ha pasado de ser un caso marginal a convertirse en el modo de emisión dominante.
En Solana, la participación en el mismo bloque generalmente requiere: transacciones pre-firmadas; coordinación fuera de la cadena; o que el emisor comparta infraestructura con el comprador.
No todos los ataques de bloque son igualmente maliciosos, al menos hay dos tipos de roles: "robots de prueba de red" - que prueban heurísticas o especulación de bajo monto; y cómplices internos - que incluyen a los desplegadores que proporcionan financiamiento a sus propios compradores.
Para reducir las falsas alarmas y resaltar el verdadero comportamiento colaborativo, hemos incorporado un filtrado estricto en el indicador final: solo se contabilizan las transferencias directas de SOL entre el creador del contrato y la billetera de ataque antes del lanzamiento. Esto nos permite identificar con confianza: las billeteras controladas directamente por el creador; las billeteras que actúan bajo la dirección del creador; las billeteras que poseen canales internos.
Estudio de caso 1: financiamiento directo
La billetera del desplegador envía un total de 1.2 SOL a 3 billeteras diferentes, y luego despliega el token llamado SOL > BNB. Las 3 billeteras financiadas completan la compra en el mismo bloque en el que se creó el token, antes de que sea visible en un mercado más amplio. Luego, venden rápidamente para obtener ganancias, llevando a cabo una salida relámpago coordinada. Este es un ejemplo de libro de texto de un ataque de billetera de prefinanciación que barre los tokens agrícolas, capturado directamente por nuestro método de cadena de fondos. A pesar de que la técnica es simple, se lleva a cabo a gran escala en miles de emisiones.
Estudio de caso 2: financiamiento multi-salto
Una billetera está relacionada con múltiples ataques de tokens. Esta entidad no financió directamente la billetera de ataque, sino que transfirió SOL a través de 5-7 billeteras intermedias hasta la billetera de ataque final, completando así el ataque en el mismo bloque.
Nuestro método actual solo detecta algunas transferencias iniciales del desplegador, pero no logra capturar toda la cadena hacia la billetera final de emboscada. Estas billeteras intermediarias suelen ser "de un solo uso", utilizadas únicamente para transferir SOL, lo que dificulta la asociación a través de consultas simples. Esta brecha no es un defecto de diseño, sino una compensación de recursos computacionales: aunque es viable rastrear rutas de fondos de múltiples saltos en grandes conjuntos de datos, el costo es enorme. Por lo tanto, la implementación actual prioriza rutas de alta confianza y conexiones directas para mantener claridad y reproducibilidad.
¿Por qué centrarse en "carteras que financian directamente y que atacan en la misma cadena"?
En la parte restante de este artículo, solo estudiaremos las billeteras de sniper que obtienen fondos del desplegador directamente antes de su lanzamiento y que atacan en el mismo bloque. Las razones son las siguientes: contribuyen con beneficios considerables; tienen los métodos de confusión mínimos; representan el subconjunto malicioso más operativo; estudiarlas puede proporcionar el marco heurístico más claro para detectar y mitigar estrategias de extracción más avanzadas.
Descubrir
Enfocándonos en el subgrupo de "sniping en la misma cadena + cadena de fondos directa", revelamos un comportamiento colaborativo en la cadena que es amplio, estructurado y altamente rentable. Todos los datos a continuación cubren desde el 15 de marzo hasta la fecha:
a. En el último mes se confirmaron más de 15,000 tokens que fueron directamente atacados por billeteras de financiamiento en el bloque de lanzamiento; b. Involucra más de 4,600 carteras de francotiradores, más de 10,400 desplegadores; c. Representa aproximadamente el 1.75% de la emisión en una plataforma de intercambio.
a. La obtención directa de fondos mediante el ataque a carteras ha logrado un beneficio neto > 15,000 SOL; b. Tasa de éxito de la operación de francotirador del 87%, muy pocas transacciones fallidas; c. Rendimiento típico de una sola billetera 1-100 SOL, pocos superan 500 SOL.
a. Muchos desplegadores utilizan nuevas billeteras para crear en masa decenas a cientos de Token; b. Algunas carteras de sniper realizan cientos de snipes en un día; c. Observado la estructura "centro-radiación": una billetera financia múltiples billeteras de francotiradores, todas apuntando al mismo token.
a. El pico de actividad está entre UTC 14:00-23:00; UTC 00:00-08:00 casi se detiene; b. Coincide con el horario laboral de EE. UU., lo que indica que es un desencadenador manual/cron, y no una automatización global 24 horas.
a. El desplegador inyecta capital en varias billeteras al mismo tiempo y firma el ataque en la misma transacción; b. Estos billeteras quemadas ya no firmarán ninguna transacción; c. El desplegador divide la compra inicial en 2-4 billeteras, disfrazando la demanda real.
Comportamiento de salida
Para entender mejor cómo estos monederos salen, desglosamos los datos según dos grandes dimensiones de comportamiento:
conclusión de datos
a. 55% de la oferta se vendió completamente en 1 minuto; b. 85% de despeje en 5 minutos; c. 11% completado en 15 segundos.
a. Más del 90% de las carteras de sniper solo utilizan 1-2 órdenes de venta para salir; b. Muy pocas veces se utiliza la venta progresiva.
a. Lo más rentable es el monedero de <1 minuto de salida, seguido de <5 minutos; b. Aunque mantener durante más tiempo o vender varias veces puede resultar en un ligero aumento en la ganancia promedio por transacción, la cantidad es extremadamente baja y su contribución al beneficio total es limitada.
explicación
Estos patrones indican que el ataque financiado por el desplegador no es una acción de intercambio, sino una estrategia de extracción automatizada y de bajo riesgo:
Conclusión
Este informe revela una estrategia de extracción de emisión de token de Solana que es continua, estructurada y de alta rentabilidad: la trampa de bloqueo financiada por el desplegador. Al rastrear las transferencias directas de SOL del desplegador a la billetera de trampa, hemos identificado un comportamiento al estilo de los informantes, aprovechando la alta capacidad de procesamiento de Solana para realizar extracciones colaborativas.
Aunque este método solo captura una parte de la caza de bloques en la misma zona, su escala y patrón indican que: no se trata de una especulación aislada.