退出流動性機器
本報告深入分析了 Solana 生態中廣泛存在且高度協同的 meme 幣“農耕”模式:代幣部署者爲狙擊錢包提供資金支持,使其在代幣上線的同一區塊內完成買入操作。摘要
本報告揭示了一種在 Solana 鏈上普遍存在且協調性極高的 meme 幣套利模式:代幣部署者爲狙擊錢包提供 SOL 資金,使其在代幣發布的同一區塊內完成買入操作。我們通過聚焦部署者與狙擊錢包之間明確且可驗證的資金流動,鎖定了一個可信度極高的可提取套利行爲子集。
研究發現,這種戰術不僅並非邊緣現象,甚至在過去一個月內已實現超過 15,000 SOL 的實際利潤,涉及超過 15,000 個代幣上線、4,600+ 個狙擊錢包以及 10,400+ 個部署者。這些錢包展現出異常高的成功率(87% 的狙擊操作實現盈利)、幹淨利落的退出方式,以及高度結構化的運營模式。
重要發現:
- 部署者資助的狙擊行爲具有系統性、強盈利性,且往往實現自動化,並集中在美國工作時段內。
- 多錢包協作的“農耕結構”廣泛存在,常通過一次性錢包和協調退出行爲僞造真實需求。
- 使用多跳資金鏈條和多籤名交易等混淆技術,以逃避溯源與檢測。
- 盡管存在一定局限性,我們基於“單跳資金鏈”篩選出的樣本,仍代表了最具可重復性和明確性的“內幕風格”套利活動。
本報告同時提出一系列可操作的啓發式檢測規則,幫助協議團隊和前端工具實時識別並響應此類行爲,包括追蹤早期持有者集中度、標記部署者相關錢包、爲高風險項目提供前端警示等。
雖然我們的分析僅涵蓋部分“同區塊狙擊”行爲,但從其規模、組織性與盈利能力來看,Solana 上的代幣上線正面臨着協同網路的系統性操縱,而當前防御機制遠遠不足。
分析方法
本研究的初衷在於識別 Solana 鏈上具有協同性的 meme 幣“農耕”行爲,尤其是部署者在代幣上線前即爲狙擊錢包提供資金的情況。
分析過程分爲六大階段:
1. 篩選“同區塊狙擊”行爲
我們首先定位在部署區塊內即被買入的代幣。這類行爲基本不可能自然發生,原因包括:
- Solana 不存在全局內存池(mempool)
- 代幣未上線前無法通過前端公開發現
- 部署到首次 DEX 交互間時間極短
因此,“同區塊狙擊”成爲識別潛在內部協作或特權行爲的高信號篩選器。
2. 建立“部署者-錢包”資金鏈
爲區分純技術型狙擊與協作型狙擊,我們追蹤部署者與狙擊錢包之間的 SOL 轉帳,篩選出:
- 狙擊錢包在上線前收到部署者 SOL
- 或將 SOL 轉回給部署者
我們僅保留上線前存在直接 SOL 轉帳關係的錢包進入最終數據集。
3. 計算套利利潤
針對每個狙擊錢包,我們記錄其在對應代幣的買賣行爲,包括:
- 買入時花費的 SOL
- 賣出所得 SOL(基於鏈上 DEX 交易)
- 實現利潤(而非僅浮盈)
從而精準評估每一次“部署者資助型狙擊”的利潤提取情況。
4. 量化規模及錢包行爲
分析指標包括:
- 獨立部署者與狙擊錢包數量
- 可確認的“同區塊協作狙擊”數量
- 狙擊者錢包盈利分布
- 每個部署者上線的代幣數
- 狙擊錢包的重復利用頻率
5. Bot 活動足跡
爲了理解這些操作是如何進行的,我們按 UTC 小時將狙擊活動進行了分組分析,結果揭示出明顯的時間分布模式:
- 活動集中在特定時間段
- 在 UTC 深夜時段出現顯著下滑
- 這暗示了這些操作可能是通過符合美國時間的定時任務(cron jobs)或人工執行窗口完成的,而不是全球範圍內或持續自動化進行的操作。
6. 退出行爲分析
最後,我們分析了與部署者相關的錢包是如何退出其狙擊所得的代幣頭寸的——包括持有時間的長短,以及清倉過程中使用的交易次數。
- 我們測量了從首次買入到最終賣出的時間間隔(即持有時長);
- 我們統計了每個錢包對每個代幣所進行的獨立賣出交易(交換)次數。
這些數據幫助我們判斷這些錢包是選擇迅速清倉,還是採取更爲緩慢的賣出策略,以及退出速度與盈利能力之間的關係有多大。
瞄準最明顯的威脅
我們從 pump.fun 平台入手,評估“同區塊狙擊”的實際規模,結果震驚:超過 50% 的代幣上線即在創建區塊內被狙擊,此時代幣尚未出現在任何公開 RPC 或前端界面中。
同區塊狙擊早已不是什麼罕見的邊緣行爲,它已經成爲當前主流的代幣發行模式。
這種行爲本身就值得警惕。在 Solana 上,實現同區塊搶跑通常意味着:
- 提前籤名的交易
- 鏈下協調或共享基礎設施
- 與部署者的直接協作
但重要的是,我們觀察到,並非所有的同區塊狙擊行爲都具有同等的惡意性。至少可以分爲兩類參與者:
- 撒網型Bot:可能在測試策略或進行小額試探;
- 協作型內部者:部署者資助自己的買家
爲排除誤判,我們採用最嚴格的篩選條件:僅記錄上線前存在部署者向狙擊錢包直接轉帳SOL 的事件。
這類錢包幾乎可以確認:
- 由部署者控制,或
- 受部署者指令行動,或
- 享有內幕交易權限
案例一:直接資助型狙擊(被成功檢測)
在這個案例中,部署者錢包 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE 向三個不同的錢包發送了總計 1.2 SOL。你可以在 Arkham 上查看該實體的詳細信息。隨後,該地址部署了一個名爲 SOL>BNB 的代幣。所有三個收到資助的錢包在代幣創建的同一個區塊內完成了狙擊,成功在該代幣向公衆市場開放之前率先入場。
這些錢包隨後迅速賣出所獲得的份額獲利,執行了一個快速且協調的退出操作。這是一個典型的通過預先資助的狙擊錢包進行“代幣耕種”的案例,並且被我們的基於資助路徑的檢測方法直接捕捉。盡管這種操作方式看似簡單,但實際上正在成千上萬次代幣發射中被大規模執行。
案例二:多跳混淆型狙擊(未被當前檢測邏輯捕捉)
在這個案例中,錢包 GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA 被發現與多個代幣狙擊錢包有關。不同於直接向狙擊錢包轉帳,該實體會通過一系列中間錢包(通常多達 5 到 7 層)間接轉移 SOL,最終再由最後一個錢包在代幣創建的同一區塊內完成狙擊。
我們的現有檢測方法主要依賴“直接資助”路徑,雖然能夠識別部分初始轉帳,但無法完整還原整個多跳轉帳鏈條。這些中間錢包通常只使用一次,僅作爲 SOL 的“跳板”,因此很難通過常規查詢方式建立關聯。
這類模式的“漏網”並非設計缺陷,而是一種計算資源上的權衡。在技術上,我們可以通過時間限制追蹤多跳轉帳路徑,但在大規模數據分析場景下會消耗大量資源。因此,我們當前的實現更側重於高置信度、可復現的“直接關聯”路徑。
爲了可視化這條更復雜的資金流路徑,我們使用了 Arkham 的可視化工具,圖形化展示了資金從最初資助錢包,經由一系列空殼錢包,最終流向狙擊錢包的全過程。這一圖示強調了狙擊者爲掩蓋資金來源所採用的復雜手法,也指出了我們未來檢測策略中有待優化的方向。
我們爲何聚焦於“直接資助 + 同區塊狙擊”的錢包
在接下裏的內容中,我們專門關注同區塊狙擊,其中錢包在發布之前從部署者那裏獲得了直接資金。這些錢包帶來了可觀的利潤,使用最少的混淆,並且代表了惡意活動中最可操作的子集。研究它們爲檢測和緩解更先進的提取策略所需的啓發提供了一個清晰的窗口。
調查發現
我們聚焦於“在同一區塊內完成狙擊,且狙擊錢包在上線前曾直接收到部署者轉入的 SOL”這一特定類型,深入分析後揭示出一種廣泛存在、結構化明確、且極具盈利性的鏈上協同模式。雖然這個過濾條件僅覆蓋了所有狙擊行爲的一部分,但它展現了該高置信度子集中幾個關鍵的規律。以下數據涵蓋了 3 月 15 日至今的鏈上活動。
1. 同區塊的部署者資助狙擊行爲十分普遍且高度系統化
我們識別出 超過 15,000 個代幣在上線的同一區塊內就被直接資助過的狙擊錢包狙擊。這些代幣涉及:
- 超過 4,600 個狙擊錢包
- 超過 10,400 個獨立部署者地址
這類行爲並非個別事件,而是 pump.fun 上約 1.75% 上線活動的組成部分。
2. 這種操作在規模化執行下非常賺錢
在過去一個月中,這類“部署者資助 + 同區塊狙擊”的錢包從鏈上交換行爲中共計實現超過 15,000 SOL 的淨利潤。這些錢包展現出:
- 高成功率(87% 的狙擊行爲最終盈利)
- 執行幹淨利落,幾乎無失敗交易
- 單錢包利潤區間大多在 1–100 SOL 之間,部分極端案例甚至超過 500 SOL
3. 重復的部署者與狙擊者,揭示出“刷量網路”的存在
- 許多部署者使用新錢包反復創建幾十甚至上百個代幣
- 某些狙擊錢包在一天內就執行了數百次狙擊
- 存在“中心輻射式”結構:一個錢包爲多個狙擊錢包提供資金,這些錢包統一行動、狙擊同一代幣
這一切表明,背後可能存在一個多錢包協作的“代幣耕種網路”,其目標是制造虛假早期需求,同時將控制權和利潤集中在少數人手中。
4. 狙擊行爲呈現明顯的人爲時間規律
從時間分布上看,狙擊活動主要集中在協調世界時(UTC)14:00–23:00,而 00:00–08:00 幾乎沒有活動。
這一規律:
- 與美國工作時間高度吻合
- 暗示這些 bot 要麼由人工觸發、要麼定時腳本調度
- 進一步佐證:這是一種中心化、精心策劃的行動
5. 一次性錢包 + 多籤交易用以混淆歸屬關係(部署者行爲示例)
我們發現了大量如下行爲模式:
- 部署者向多個錢包轉帳,由這些錢包在同一筆交易中聯合完成籤名與狙擊
- 這些錢包隨後再也沒有籤署過任何交易(典型的一次性錢包)
- 部署者將初始代幣買入拆分到 2–4 個錢包中,以模擬“真實用戶需求”
這類行爲並非單純的交易操作,而是有意爲之的歸屬關係僞裝手法。
退出行爲
在前文關於“部署者資助、同區塊狙擊”的核心發現基礎上,我們進一步研究了這些錢包在獲取代幣後是如何退出頭寸的。雖然識別誰在搶跑、何時狙擊非常關鍵,但若能了解代幣持有時長及其拋售的激進程度,將有助於更全面理解這一套套利策略的運作邏輯。
我們從兩個行爲維度切入分析數據:
- 退出時長:指錢包首次購買代幣(即狙擊)與其最後一次出售該代幣之間的時間間隔;
- 交換次數:指錢包爲退出該代幣頭寸而進行的獨立賣出交易次數。
這兩個指標反映出狙擊錢包的風險偏好以及其執行策略的復雜程度:這些錢包是一次性清倉?還是分批賣出?每種做法又是如何影響其盈利表現的?
數據揭示的行爲模式
退出速度:
超過 55% 的狙擊交易在1 分鍾內完成全部退出,近 85% 的退出行爲在 5 分鍾內完成;
- 其中超過 11% 的狙擊在15 秒內就完全退出。
賣出行爲的簡潔性:
超過 90% 的搶跑錢包僅通過 1~2 次交換就完成了代幣清倉;
很少有錢包採用漸進式賣出或分階段退出的策略;
- 那些進行了更多次賣出的錢包,平均盈利略高。
盈利趨勢:
最賺錢的羣體是在 1 分鍾內完成退出的錢包,其次是在 5 分鍾內退出的;
- 雖然持有時間更長、賣出次數更多的狙擊交易平均每次的盈利更高,但這類操作本身並不常見,整體對總利潤的貢獻也較低。
我們的解讀
以上行爲特徵強烈暗示:這是一種高度自動化、以套利爲導向的行爲。大多數與部署者有關聯的錢包,並不像傳統交易者,甚至不像投機者,而更像是執行型機器人:
- 第一時間入場;
- 迅速拋售;
- 全部退出。
大多數錢包通過單筆交易退出,說明其並無意與市場博弈,也沒有進行高點測試、分批止盈或順應行情波動。他們的目的是搶跑市場需求,快速砸盤。
雖然有少部分錢包採取了更復雜的退出方式,例如分批賣出或延遲清倉,但這類行爲僅帶來邊際性的盈利提升,且佔比極小,屬於特例而非主流。
結論非常明確:
“部署者資助型的狙擊行爲”不是交易行爲,而是自動化、低風險的提取式操作。退出越快,成功率越高。這類退出模式進一步佐證:同區塊狙擊不是偶然機會主義行爲,而是有組織、有節奏、有利潤導向的系統工程。
可採取的行動建議
以下建議適用於協議團隊、前端開發者和研究人員,幫助他們識別和應對具有“抽取性”或“協作型”特徵的代幣發行模式。通過將這些行爲轉化爲啓發式規則、過濾器與風險提示,可幫助用戶規避風險並提升整體透明度。
顯示早期綁定曲線行爲
多數代幣信息面板只顯示當前持倉集中度,然而真正的風險信號往往出現在前 20~50 個區塊內。若早期僅有少數錢包迅速買入大部分供應、快速退出但仍保留高比例持倉,這通常意味着結構性抽取行爲。
前端應優先呈現以下早期指標,幫助交易者更快察覺異常:
- 前 10 個區塊內的 SOL 總買入量;
- 支付給 Jito 和優先打包的費用;
- 前 x 大錢包的交易量佔比;
- 狙擊錢包當前餘額。
通過顯示“成本基本集中區”“訂單簿壓縮現象”“退出行爲”等指標(無需歸屬錢包身分),用戶可更快識別出潛在“出貨局”而非等着被出貨。
基於錢包行爲與發行結構的分層風險提示系統
前端應建立多層次風險標識系統,綜合考慮錢包歷史行爲和發行結構,從而幫助用戶規避成爲“接盤俠”。
對重復違規者設立強風險警示:
對於存在歷史同區塊狙擊行爲的錢包,尤其是與部署者有直接或間接資金關聯的,應給予永久性高風險標籤;這些錢包一旦參與新幣,前端應彈窗強警告,甚至默認禁用交互按鈕(需手動確認);這些地址已經在多個項目中反復抽取價值,不應視作“普通交易者”。
針對結構性風險設立輕度提示
若某個代幣出現同區塊狙擊、早期持倉高度集中,或訂單簿異常壓縮(例如:前 10 個區塊內交易量佔比超過 50%,前三大錢包持有超過 80% 的代幣供應量),則應給予輕度但可見的提示標籤。用戶可將鼠標懸停在標籤上查看具體觸發的風險信號(如:“首區塊即被狙擊”、“頭部錢包 30 秒內清倉”、“早期買入者來自重復出資錢包”等),幫助其在決策前獲得更多上下文信息。
這套系統並不試圖“證明惡意”,而是揭示重復性抽取行爲與不公平的發行結構,讓普通用戶無需解析合約或追蹤鏈上流動,也能識別潛在風險。
構建靜態標籤之外的框架
靜態錢包標記已無法應對復雜對手——攻擊者會迅速更換錢包、僞裝成散戶、制造“看起來像真實交易者”的行爲。
因此檢測系統必須走向動態識別框架,持續更新,適應對手策略變化。
不再依賴硬編碼標籤,引入基於行爲的信任分數:如錢包年齡、跨應用行爲、過往賣出方式、持有周期、與已知提取者的聚合度。這種機制會獎勵那些願意花成本建立信任的錢包(如長期持倉、有交互歷史),懲罰低成本、高頻、抽取性操作的錢包。
通過提升“幹淨行爲”的成本門檻,平台可壓縮批量薅羊毛的空間——哪怕不做到完美識別,也足以降低風險敞口。
結語
本報告揭示了 Solana 鏈上一個長期存在、系統化、高利潤的代幣搶跑策略:由部署者資助的同區塊狙擊。通過追蹤部署者轉出的 SOL 與狙擊錢包之間的直接資金路徑,我們成功提取出一組具有“內幕行爲”特徵的錢包,這些錢包利用 Solana 的高吞吐能力進行協同套利。
雖然我們的方法只能捕捉所有同區塊狙擊活動的一部分,但其所呈現出的行爲模式與頻率已毫無疑問:這不是偶發的投機操作,而是具備優先資源、標準化執行系統和明確套利意圖的操作者。他們的操作頻率和規模表明,“聯動式 meme 幣農耕”早已不再是邊緣策略,而是一種被廣泛執行、每週成千上萬次復制的標準劇本。
這種行爲之所以值得警惕,主要有三方面原因:
- 扭曲早期市場信號,使代幣看起來更“熱門”;
- 讓散戶淪爲出貨對象,成爲被抽取價值的一環;
- 動搖人們對公開發幣流程的信任,尤其是在 pump.fun 這類追求速度和易用性的發型平台上更是如此。
遏制這類行爲,不能僅靠事後防御。必須借助更好的啓發式規則、前端預警機制、協議級防護,以及持續追蹤這些協作型操作者的行動。工具已有,關鍵在於:整個生態是否願意真正應用它們。
本報告僅是起點,我們提供了一個可靠、可復現的識別模型,用於定位最明顯的協作型狙擊行爲。但真正的挑戰,是識別那些被隱藏、持續進化的策略——並在鏈上構建一種獎勵透明、而非獎勵掠奪的文化。
聲明:
- 本文轉載自 [Pine Analytics]。所有版權歸原作者所有 [Pine Analytics]。若對本次轉載有異議,請聯系 Gate Learn 團隊,他們會及時處理。
- 免責聲明:本文所表達的觀點和意見僅代表作者個人觀點,不構成任何投資建議。
- Gate Learn 團隊將文章翻譯成其他語言。除非另有說明,否則禁止復制、分發或抄襲翻譯文章。
Articles connexes
Moonshot是什麼?關於Moonshot,您需要知道的一切
Peanut松鼠是什麼?關於PNUT的一切你需要知道
退出流動性機器
摘要
本報告揭示了一種在 Solana 鏈上普遍存在且協調性極高的 meme 幣套利模式:代幣部署者爲狙擊錢包提供 SOL 資金,使其在代幣發布的同一區塊內完成買入操作。我們通過聚焦部署者與狙擊錢包之間明確且可驗證的資金流動,鎖定了一個可信度極高的可提取套利行爲子集。
研究發現,這種戰術不僅並非邊緣現象,甚至在過去一個月內已實現超過 15,000 SOL 的實際利潤,涉及超過 15,000 個代幣上線、4,600+ 個狙擊錢包以及 10,400+ 個部署者。這些錢包展現出異常高的成功率(87% 的狙擊操作實現盈利)、幹淨利落的退出方式,以及高度結構化的運營模式。
重要發現:
- 部署者資助的狙擊行爲具有系統性、強盈利性,且往往實現自動化,並集中在美國工作時段內。
- 多錢包協作的“農耕結構”廣泛存在,常通過一次性錢包和協調退出行爲僞造真實需求。
- 使用多跳資金鏈條和多籤名交易等混淆技術,以逃避溯源與檢測。
- 盡管存在一定局限性,我們基於“單跳資金鏈”篩選出的樣本,仍代表了最具可重復性和明確性的“內幕風格”套利活動。
本報告同時提出一系列可操作的啓發式檢測規則,幫助協議團隊和前端工具實時識別並響應此類行爲,包括追蹤早期持有者集中度、標記部署者相關錢包、爲高風險項目提供前端警示等。
雖然我們的分析僅涵蓋部分“同區塊狙擊”行爲,但從其規模、組織性與盈利能力來看,Solana 上的代幣上線正面臨着協同網路的系統性操縱,而當前防御機制遠遠不足。
分析方法
本研究的初衷在於識別 Solana 鏈上具有協同性的 meme 幣“農耕”行爲,尤其是部署者在代幣上線前即爲狙擊錢包提供資金的情況。
分析過程分爲六大階段:
1. 篩選“同區塊狙擊”行爲
我們首先定位在部署區塊內即被買入的代幣。這類行爲基本不可能自然發生,原因包括:
- Solana 不存在全局內存池(mempool)
- 代幣未上線前無法通過前端公開發現
- 部署到首次 DEX 交互間時間極短
因此,“同區塊狙擊”成爲識別潛在內部協作或特權行爲的高信號篩選器。
2. 建立“部署者-錢包”資金鏈
爲區分純技術型狙擊與協作型狙擊,我們追蹤部署者與狙擊錢包之間的 SOL 轉帳,篩選出:
- 狙擊錢包在上線前收到部署者 SOL
- 或將 SOL 轉回給部署者
我們僅保留上線前存在直接 SOL 轉帳關係的錢包進入最終數據集。
3. 計算套利利潤
針對每個狙擊錢包,我們記錄其在對應代幣的買賣行爲,包括:
- 買入時花費的 SOL
- 賣出所得 SOL(基於鏈上 DEX 交易)
- 實現利潤(而非僅浮盈)
從而精準評估每一次“部署者資助型狙擊”的利潤提取情況。
4. 量化規模及錢包行爲
分析指標包括:
- 獨立部署者與狙擊錢包數量
- 可確認的“同區塊協作狙擊”數量
- 狙擊者錢包盈利分布
- 每個部署者上線的代幣數
- 狙擊錢包的重復利用頻率
5. Bot 活動足跡
爲了理解這些操作是如何進行的,我們按 UTC 小時將狙擊活動進行了分組分析,結果揭示出明顯的時間分布模式:
- 活動集中在特定時間段
- 在 UTC 深夜時段出現顯著下滑
- 這暗示了這些操作可能是通過符合美國時間的定時任務(cron jobs)或人工執行窗口完成的,而不是全球範圍內或持續自動化進行的操作。
6. 退出行爲分析
最後,我們分析了與部署者相關的錢包是如何退出其狙擊所得的代幣頭寸的——包括持有時間的長短,以及清倉過程中使用的交易次數。
- 我們測量了從首次買入到最終賣出的時間間隔(即持有時長);
- 我們統計了每個錢包對每個代幣所進行的獨立賣出交易(交換)次數。
這些數據幫助我們判斷這些錢包是選擇迅速清倉,還是採取更爲緩慢的賣出策略,以及退出速度與盈利能力之間的關係有多大。
瞄準最明顯的威脅
我們從 pump.fun 平台入手,評估“同區塊狙擊”的實際規模,結果震驚:超過 50% 的代幣上線即在創建區塊內被狙擊,此時代幣尚未出現在任何公開 RPC 或前端界面中。
同區塊狙擊早已不是什麼罕見的邊緣行爲,它已經成爲當前主流的代幣發行模式。
這種行爲本身就值得警惕。在 Solana 上,實現同區塊搶跑通常意味着:
- 提前籤名的交易
- 鏈下協調或共享基礎設施
- 與部署者的直接協作
但重要的是,我們觀察到,並非所有的同區塊狙擊行爲都具有同等的惡意性。至少可以分爲兩類參與者:
- 撒網型Bot:可能在測試策略或進行小額試探;
- 協作型內部者:部署者資助自己的買家
爲排除誤判,我們採用最嚴格的篩選條件:僅記錄上線前存在部署者向狙擊錢包直接轉帳SOL 的事件。
這類錢包幾乎可以確認:
- 由部署者控制,或
- 受部署者指令行動,或
- 享有內幕交易權限
案例一:直接資助型狙擊(被成功檢測)
在這個案例中,部署者錢包 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE 向三個不同的錢包發送了總計 1.2 SOL。你可以在 Arkham 上查看該實體的詳細信息。隨後,該地址部署了一個名爲 SOL>BNB 的代幣。所有三個收到資助的錢包在代幣創建的同一個區塊內完成了狙擊,成功在該代幣向公衆市場開放之前率先入場。
這些錢包隨後迅速賣出所獲得的份額獲利,執行了一個快速且協調的退出操作。這是一個典型的通過預先資助的狙擊錢包進行“代幣耕種”的案例,並且被我們的基於資助路徑的檢測方法直接捕捉。盡管這種操作方式看似簡單,但實際上正在成千上萬次代幣發射中被大規模執行。
案例二:多跳混淆型狙擊(未被當前檢測邏輯捕捉)
在這個案例中,錢包 GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA 被發現與多個代幣狙擊錢包有關。不同於直接向狙擊錢包轉帳,該實體會通過一系列中間錢包(通常多達 5 到 7 層)間接轉移 SOL,最終再由最後一個錢包在代幣創建的同一區塊內完成狙擊。
我們的現有檢測方法主要依賴“直接資助”路徑,雖然能夠識別部分初始轉帳,但無法完整還原整個多跳轉帳鏈條。這些中間錢包通常只使用一次,僅作爲 SOL 的“跳板”,因此很難通過常規查詢方式建立關聯。
這類模式的“漏網”並非設計缺陷,而是一種計算資源上的權衡。在技術上,我們可以通過時間限制追蹤多跳轉帳路徑,但在大規模數據分析場景下會消耗大量資源。因此,我們當前的實現更側重於高置信度、可復現的“直接關聯”路徑。
爲了可視化這條更復雜的資金流路徑,我們使用了 Arkham 的可視化工具,圖形化展示了資金從最初資助錢包,經由一系列空殼錢包,最終流向狙擊錢包的全過程。這一圖示強調了狙擊者爲掩蓋資金來源所採用的復雜手法,也指出了我們未來檢測策略中有待優化的方向。
我們爲何聚焦於“直接資助 + 同區塊狙擊”的錢包
在接下裏的內容中,我們專門關注同區塊狙擊,其中錢包在發布之前從部署者那裏獲得了直接資金。這些錢包帶來了可觀的利潤,使用最少的混淆,並且代表了惡意活動中最可操作的子集。研究它們爲檢測和緩解更先進的提取策略所需的啓發提供了一個清晰的窗口。
調查發現
我們聚焦於“在同一區塊內完成狙擊,且狙擊錢包在上線前曾直接收到部署者轉入的 SOL”這一特定類型,深入分析後揭示出一種廣泛存在、結構化明確、且極具盈利性的鏈上協同模式。雖然這個過濾條件僅覆蓋了所有狙擊行爲的一部分,但它展現了該高置信度子集中幾個關鍵的規律。以下數據涵蓋了 3 月 15 日至今的鏈上活動。
1. 同區塊的部署者資助狙擊行爲十分普遍且高度系統化
我們識別出 超過 15,000 個代幣在上線的同一區塊內就被直接資助過的狙擊錢包狙擊。這些代幣涉及:
- 超過 4,600 個狙擊錢包
- 超過 10,400 個獨立部署者地址
這類行爲並非個別事件,而是 pump.fun 上約 1.75% 上線活動的組成部分。
2. 這種操作在規模化執行下非常賺錢
在過去一個月中,這類“部署者資助 + 同區塊狙擊”的錢包從鏈上交換行爲中共計實現超過 15,000 SOL 的淨利潤。這些錢包展現出:
- 高成功率(87% 的狙擊行爲最終盈利)
- 執行幹淨利落,幾乎無失敗交易
- 單錢包利潤區間大多在 1–100 SOL 之間,部分極端案例甚至超過 500 SOL
3. 重復的部署者與狙擊者,揭示出“刷量網路”的存在
- 許多部署者使用新錢包反復創建幾十甚至上百個代幣
- 某些狙擊錢包在一天內就執行了數百次狙擊
- 存在“中心輻射式”結構:一個錢包爲多個狙擊錢包提供資金,這些錢包統一行動、狙擊同一代幣
這一切表明,背後可能存在一個多錢包協作的“代幣耕種網路”,其目標是制造虛假早期需求,同時將控制權和利潤集中在少數人手中。
4. 狙擊行爲呈現明顯的人爲時間規律
從時間分布上看,狙擊活動主要集中在協調世界時(UTC)14:00–23:00,而 00:00–08:00 幾乎沒有活動。
這一規律:
- 與美國工作時間高度吻合
- 暗示這些 bot 要麼由人工觸發、要麼定時腳本調度
- 進一步佐證:這是一種中心化、精心策劃的行動
5. 一次性錢包 + 多籤交易用以混淆歸屬關係(部署者行爲示例)
我們發現了大量如下行爲模式:
- 部署者向多個錢包轉帳,由這些錢包在同一筆交易中聯合完成籤名與狙擊
- 這些錢包隨後再也沒有籤署過任何交易(典型的一次性錢包)
- 部署者將初始代幣買入拆分到 2–4 個錢包中,以模擬“真實用戶需求”
這類行爲並非單純的交易操作,而是有意爲之的歸屬關係僞裝手法。
退出行爲
在前文關於“部署者資助、同區塊狙擊”的核心發現基礎上,我們進一步研究了這些錢包在獲取代幣後是如何退出頭寸的。雖然識別誰在搶跑、何時狙擊非常關鍵,但若能了解代幣持有時長及其拋售的激進程度,將有助於更全面理解這一套套利策略的運作邏輯。
我們從兩個行爲維度切入分析數據:
- 退出時長:指錢包首次購買代幣(即狙擊)與其最後一次出售該代幣之間的時間間隔;
- 交換次數:指錢包爲退出該代幣頭寸而進行的獨立賣出交易次數。
這兩個指標反映出狙擊錢包的風險偏好以及其執行策略的復雜程度:這些錢包是一次性清倉?還是分批賣出?每種做法又是如何影響其盈利表現的?
數據揭示的行爲模式
退出速度:
超過 55% 的狙擊交易在1 分鍾內完成全部退出,近 85% 的退出行爲在 5 分鍾內完成;
- 其中超過 11% 的狙擊在15 秒內就完全退出。
賣出行爲的簡潔性:
超過 90% 的搶跑錢包僅通過 1~2 次交換就完成了代幣清倉;
很少有錢包採用漸進式賣出或分階段退出的策略;
- 那些進行了更多次賣出的錢包,平均盈利略高。
盈利趨勢:
最賺錢的羣體是在 1 分鍾內完成退出的錢包,其次是在 5 分鍾內退出的;
- 雖然持有時間更長、賣出次數更多的狙擊交易平均每次的盈利更高,但這類操作本身並不常見,整體對總利潤的貢獻也較低。
我們的解讀
以上行爲特徵強烈暗示:這是一種高度自動化、以套利爲導向的行爲。大多數與部署者有關聯的錢包,並不像傳統交易者,甚至不像投機者,而更像是執行型機器人:
- 第一時間入場;
- 迅速拋售;
- 全部退出。
大多數錢包通過單筆交易退出,說明其並無意與市場博弈,也沒有進行高點測試、分批止盈或順應行情波動。他們的目的是搶跑市場需求,快速砸盤。
雖然有少部分錢包採取了更復雜的退出方式,例如分批賣出或延遲清倉,但這類行爲僅帶來邊際性的盈利提升,且佔比極小,屬於特例而非主流。
結論非常明確:
“部署者資助型的狙擊行爲”不是交易行爲,而是自動化、低風險的提取式操作。退出越快,成功率越高。這類退出模式進一步佐證:同區塊狙擊不是偶然機會主義行爲,而是有組織、有節奏、有利潤導向的系統工程。
可採取的行動建議
以下建議適用於協議團隊、前端開發者和研究人員,幫助他們識別和應對具有“抽取性”或“協作型”特徵的代幣發行模式。通過將這些行爲轉化爲啓發式規則、過濾器與風險提示,可幫助用戶規避風險並提升整體透明度。
顯示早期綁定曲線行爲
多數代幣信息面板只顯示當前持倉集中度,然而真正的風險信號往往出現在前 20~50 個區塊內。若早期僅有少數錢包迅速買入大部分供應、快速退出但仍保留高比例持倉,這通常意味着結構性抽取行爲。
前端應優先呈現以下早期指標,幫助交易者更快察覺異常:
- 前 10 個區塊內的 SOL 總買入量;
- 支付給 Jito 和優先打包的費用;
- 前 x 大錢包的交易量佔比;
- 狙擊錢包當前餘額。
通過顯示“成本基本集中區”“訂單簿壓縮現象”“退出行爲”等指標(無需歸屬錢包身分),用戶可更快識別出潛在“出貨局”而非等着被出貨。
基於錢包行爲與發行結構的分層風險提示系統
前端應建立多層次風險標識系統,綜合考慮錢包歷史行爲和發行結構,從而幫助用戶規避成爲“接盤俠”。
對重復違規者設立強風險警示:
對於存在歷史同區塊狙擊行爲的錢包,尤其是與部署者有直接或間接資金關聯的,應給予永久性高風險標籤;這些錢包一旦參與新幣,前端應彈窗強警告,甚至默認禁用交互按鈕(需手動確認);這些地址已經在多個項目中反復抽取價值,不應視作“普通交易者”。
針對結構性風險設立輕度提示
若某個代幣出現同區塊狙擊、早期持倉高度集中,或訂單簿異常壓縮(例如:前 10 個區塊內交易量佔比超過 50%,前三大錢包持有超過 80% 的代幣供應量),則應給予輕度但可見的提示標籤。用戶可將鼠標懸停在標籤上查看具體觸發的風險信號(如:“首區塊即被狙擊”、“頭部錢包 30 秒內清倉”、“早期買入者來自重復出資錢包”等),幫助其在決策前獲得更多上下文信息。
這套系統並不試圖“證明惡意”,而是揭示重復性抽取行爲與不公平的發行結構,讓普通用戶無需解析合約或追蹤鏈上流動,也能識別潛在風險。
構建靜態標籤之外的框架
靜態錢包標記已無法應對復雜對手——攻擊者會迅速更換錢包、僞裝成散戶、制造“看起來像真實交易者”的行爲。
因此檢測系統必須走向動態識別框架,持續更新,適應對手策略變化。
不再依賴硬編碼標籤,引入基於行爲的信任分數:如錢包年齡、跨應用行爲、過往賣出方式、持有周期、與已知提取者的聚合度。這種機制會獎勵那些願意花成本建立信任的錢包(如長期持倉、有交互歷史),懲罰低成本、高頻、抽取性操作的錢包。
通過提升“幹淨行爲”的成本門檻,平台可壓縮批量薅羊毛的空間——哪怕不做到完美識別,也足以降低風險敞口。
結語
本報告揭示了 Solana 鏈上一個長期存在、系統化、高利潤的代幣搶跑策略:由部署者資助的同區塊狙擊。通過追蹤部署者轉出的 SOL 與狙擊錢包之間的直接資金路徑,我們成功提取出一組具有“內幕行爲”特徵的錢包,這些錢包利用 Solana 的高吞吐能力進行協同套利。
雖然我們的方法只能捕捉所有同區塊狙擊活動的一部分,但其所呈現出的行爲模式與頻率已毫無疑問:這不是偶發的投機操作,而是具備優先資源、標準化執行系統和明確套利意圖的操作者。他們的操作頻率和規模表明,“聯動式 meme 幣農耕”早已不再是邊緣策略,而是一種被廣泛執行、每週成千上萬次復制的標準劇本。
這種行爲之所以值得警惕,主要有三方面原因:
- 扭曲早期市場信號,使代幣看起來更“熱門”;
- 讓散戶淪爲出貨對象,成爲被抽取價值的一環;
- 動搖人們對公開發幣流程的信任,尤其是在 pump.fun 這類追求速度和易用性的發型平台上更是如此。
遏制這類行爲,不能僅靠事後防御。必須借助更好的啓發式規則、前端預警機制、協議級防護,以及持續追蹤這些協作型操作者的行動。工具已有,關鍵在於:整個生態是否願意真正應用它們。
本報告僅是起點,我們提供了一個可靠、可復現的識別模型,用於定位最明顯的協作型狙擊行爲。但真正的挑戰,是識別那些被隱藏、持續進化的策略——並在鏈上構建一種獎勵透明、而非獎勵掠奪的文化。
聲明:
- 本文轉載自 [Pine Analytics]。所有版權歸原作者所有 [Pine Analytics]。若對本次轉載有異議,請聯系 Gate Learn 團隊,他們會及時處理。
- 免責聲明:本文所表達的觀點和意見僅代表作者個人觀點,不構成任何投資建議。
- Gate Learn 團隊將文章翻譯成其他語言。除非另有說明,否則禁止復制、分發或抄襲翻譯文章。
Articles connexes
Moonshot是什麼?關於Moonshot,您需要知道的一切