Báo cáo này điều tra một mô hình khai thác token meme rộng rãi và được phối hợp chặt chẽ trên Solana : những người triển khai token chuyển SOL đến “ví bắn tỉa”, cho phép họ mua vào token trong cùng một khối khi token ra mắt . Bằng cách tập trung vào Chuỗi tiền rõ ràng và có thể chứng minh được giữa những người triển khai và những người bắn tỉa, chúng tôi xác định một tập hợp các hành vi khai thác có độ tin cậy cao.
Phân tích của chúng tôi cho thấy chiến lược này không phải là một hiện tượng biệt lập hay một hành vi biên - chỉ riêng trong tháng qua, hơn 15.000 SOL lợi nhuận thực tế đã được rút từ hơn 15.000 đợt phát hành mã thông báo theo cách này, liên quan đến hơn 4.600 ví sniping và hơn 10.400 người triển khai. Những ví này cho thấy tỷ lệ thành công cao bất thường (87% lợi nhuận sniping), phương pháp thoát sạch và mô hình hoạt động có cấu trúc.
Những phát hiện chính:
- Hoạt động do bên triển khai tài trợ mang tính hệ thống, có lợi nhuận và thường được tự động hóa, trong đó hoạt động này tập trung nhiều nhất vào giờ làm việc tại Hoa Kỳ.
- Cấu trúc canh tác đa ví rất phổ biến và các ví tạm thời cùng lối thoát được phối hợp thường được sử dụng để mô phỏng nhu cầu thực tế.
- Các phương pháp che giấu liên tục được nâng cấp, chẳng hạn như Chuỗi tài trợ đa bước và giao dịch theo dõi đa chữ ký, để tránh bị phát hiện.
- Bất chấp những hạn chế của nó, bộ lọc tài trợ một bước của chúng tôi vẫn nắm bắt được những ví dụ rõ ràng nhất và có thể lặp lại nhất về hành vi "nội gián" trên quy mô lớn.
- Báo cáo này đề xuất một bộ phương pháp có thể thực hiện được để giúp đội ngũ giao thức và giao diện người dùng xác định, đánh dấu và phản hồi các hoạt động như vậy theo thời gian thực — bao gồm theo dõi mức độ tập trung vị thế giữ sớm, gắn thẻ ví liên quan đến đơn vị triển khai và đưa ra cảnh báo giao diện người dùng về các đợt phát hành có rủi ro cao.
Mặc dù phân tích của chúng tôi chỉ bao gồm một tập hợp con các hoạt động tấn công cùng khối, nhưng quy mô, cấu trúc và lợi nhuận của chúng cho thấy rằng việc phát hành token Solana đang bị một mạng lưới phối hợp thao túng tích cực và các biện pháp phòng thủ hiện tại hoàn toàn không đủ.
Phương pháp luận
Phân tích này bắt đầu với một mục tiêu rõ ràng: xác định các hành vi trên Solana cho thấy việc khai thác token meme được phối hợp, cụ thể là khi những người triển khai tài trợ cho các ví bị hack trong cùng một khối với ra mắt token . Chúng tôi chia vấn đề thành các giai đoạn sau:
1. Lọc cùng một khối bắn tỉa
Đầu tiên, chúng tôi sàng lọc các ví đã bị cắt trong cùng một khối sau khi triển khai. Do: Solana không có mempool toàn cầu; địa chỉ của token phải được biết trước khi chúng xuất hiện trên giao diện công khai; và thời gian cực kỳ ngắn giữa triển khai và tương tác DEX đầu tiên. Hành vi này hầu như không thể xảy ra một cách tự nhiên, vì vậy "cắt cùng khối" trở thành bộ lọc có độ tin cậy cao để xác định thông đồng tiềm ẩn hoặc hoạt động có đặc quyền.
2. Xác định ví được liên kết với người triển khai
Để phân biệt giữa những tay bắn tỉa có kỹ năng cao và những "người trong cuộc" được phối hợp, chúng tôi đã theo dõi các giao dịch chuyển SOL giữa những người triển khai và những tay bắn tỉa trước khi token ra mắt và chỉ đánh dấu những ví đáp ứng các điều kiện sau: nhận trực tiếp SOL từ những người triển khai; gửi trực tiếp SOL cho những người triển khai. Chỉ những ví có giao dịch chuyển trực tiếp trước khi ra mắt mới được đưa vào dữ liệu cuối cùng.
3. Liên kết việc bắn tỉa với lợi nhuận token
Đối với mỗi ví sniping, chúng tôi lập bản đồ các hoạt động giao dịch của ví đó trên token sniped, cụ thể là tính toán: tổng số tiền SOL đã chi để mua vào token; tổng số tiền SOL được bán trên DEX; và lợi nhuận ròng đã thực hiện (không phải lợi nhuận danh nghĩa). Điều này cho phép chúng tôi phân bổ chính xác lợi nhuận được trích xuất từ người triển khai lần sniping.
4. Đo kích thước và hành vi ví
Chúng tôi phân tích quy mô của các hoạt động như vậy từ nhiều khía cạnh: số lượng đơn vị triển khai độc lập và ví bắn tỉa; số lượng hoạt động bắn tỉa cùng khối được phối hợp đã xác nhận; sự phân bổ lợi nhuận từ hoạt động bắn tỉa; số lượng token do mỗi đơn vị triển khai phát hành; và việc tái sử dụng ví bắn tỉa trên token.
5. Dấu vết hoạt động của máy móc
Để hiểu cách thức hoạt động của các hoạt động này, chúng tôi đã nhóm hoạt động bắn tỉa theo giờ UTC. Kết quả cho thấy hoạt động tập trung vào các khung thời gian cụ thể, với giảm đáng kể vào cuối giờ UTC buổi tối, cho thấy rằng đây là một nhiệm vụ cron hoặc cửa sổ thực hiện thủ công được căn chỉnh theo Hoa Kỳ hơn là tự động hóa liên tục trên toàn cầu.
6. Phân tích hành vi thoát
Cuối cùng, chúng tôi nghiên cứu hành vi của các ví liên kết với người triển khai khi bán token mục tiêu: đo thời gian giữa mua vào đầu tiên và lần bán cuối cùng (thời gian vị thế giữ); đếm số lượng giao dịch bán độc lập được mỗi ví sử dụng để thoát. Điều này cho phép chúng tôi phân biệt ví chọn thanh lý nhanh hay bán dần và kiểm tra mối tương quan giữa tốc độ thoát và lợi nhuận.
Tập trung vào các mối đe dọa rõ ràng nhất
Đầu tiên, chúng tôi đo lường quy mô của việc cắt giảm cùng khối trong đợt phát hành pump.fun và kết quả thật đáng kinh ngạc: hơn 50% token đã bị cắt giảm trong khối tạo — việc cắt giảm cùng khối đã chuyển từ trường hợp ngoại lệ sang mô hình phát hành chủ đạo.
Trên Solana , việc tham gia cùng một khối thường yêu cầu: giao dịch được ký trước; phối hợp ngoài Chuỗi; hoặc người triển khai và người mua chia sẻ cơ sở hạ tầng.
Không phải mọi hành vi bắn tỉa cùng khối đều có ác ý như nhau và có ít nhất hai loại nhân vật: bot "gieo lưới" — thử nghiệm các phương pháp tiếp cận hoặc đầu cơ quy mô nhỏ; và những người trong cuộc được phối hợp — bao gồm những người triển khai tự tài trợ cho người mua của họ.
Để giảm các kết quả dương tính giả và làm nổi bật hành vi phối hợp thực sự, chúng tôi đã thêm bộ lọc nghiêm ngặt vào chỉ báo cuối cùng: chỉ tính các giao dịch bắn tỉa với các giao dịch SOL trực tiếp giữa người triển khai và ví bắn tỉa trước khi ra mắt. Điều này cho phép chúng tôi tự tin khóa: ví do người triển khai trực tiếp kiểm soát; ví hoạt động theo lệnh của người triển khai; ví có kênh nội bộ.
Nghiên cứu tình huống 1: Tài trợ trực tiếp
Ví triển khai 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE đã gửi tổng cộng 1,2 SOL đến 3 ví khác nhau, sau đó triển khai token có tên là SOL > BNB. 3 ví được tài trợ đã mua token trong cùng một khối mà chúng được tạo ra, trước khi chúng được thị trường rộng lớn hơn nhìn thấy. Sau đó, họ nhanh chóng bán lợi nhuận của mình, thực hiện một lệnh thoát nhanh được phối hợp. Đây là một ví dụ điển hình về việc khai thác token thông qua các ví sniping được tài trợ trước và được phương pháp Chuỗi tài trợ của chúng tôi nắm bắt trực tiếp. Mặc dù kỹ thuật này đơn giản, nhưng nó được thực hiện ở quy mô lớn trên hàng nghìn lần phát hành.
Nghiên cứu tình huống 2: Tài trợ đa chặng
Ví GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA được liên kết với nhiều token sniping. Thực thể này không trực tiếp tài trợ cho ví sniping mà thay vào đó chuyển SOL qua 5-7 lớp ví trung chuyển đến ví sniping cuối cùng, do đó hoàn tất sniping trong cùng một khối.
Phương pháp hiện tại của chúng tôi chỉ phát hiện một số giao dịch ban đầu của bên triển khai, nhưng không thể nắm bắt toàn bộ Chuỗi ví bắn tỉa cuối cùng. Các ví chuyển tiếp này thường là "sử dụng một lần" và chỉ được sử dụng để chuyển SOL, khiến chúng khó liên kết thông qua các truy vấn đơn giản. Khoảng cách này không phải là lỗi thiết kế, mà là sự đánh đổi trong tài nguyên máy tính - việc theo dõi các đường dẫn quỹ nhiều bước nhảy trong dữ liệu quy mô lớn là khả thi, nhưng chi phí rất lớn. Do đó, việc triển khai hiện tại ưu tiên Chuỗi trực tiếp, có độ tin cậy cao để duy trì tính rõ ràng và khả năng tái tạo.
Chúng tôi đã sử dụng công cụ trực quan hóa của Arkham để hiển thị Chuỗi tiền dài hơn này, hiển thị đồ họa cách tiền chảy từ ví ban đầu đến ví shell và cuối cùng đến ví của người triển khai. Điều này làm nổi bật sự phức tạp của việc che giấu nguồn tiền và cũng chỉ ra hướng hoàn thiện trong tương lai của phương pháp phát hiện.
Tại sao lại tập trung vào “ví tiền trực tiếp tài trợ và cắt xén trên cùng một khối”
Trong phần còn lại của bài viết này, chúng tôi chỉ nghiên cứu các ví tiền trực tiếp nhận tiền từ người triển khai trước khi ra mắt và bị cắt trong cùng một khối. Lý do như sau: chúng đóng góp lợi nhuận đáng kể; chúng có ít phương pháp che giấu nhất; chúng đại diện cho tập hợp con độc hại hoạt động nhiều nhất; và việc nghiên cứu chúng cung cấp khuôn khổ heuristic rõ ràng nhất để phát hiện và giảm thiểu các chiến lược trích xuất tiên tiến hơn.
Phát hiện
Tập trung vào tập hợp con của “same-block sniping + direct funding Chuỗi”, chúng tôi tiết lộ một hành vi phối hợp Chuỗi rộng rãi, có cấu trúc và có lợi nhuận cao. Dữ liệu sau đây bao gồm từ ngày 15 tháng 3 đến nay:
1. Việc bắn tỉa cùng một khối và được tài trợ bởi người triển khai là rất phổ biến và có hệ thống
a. Trong tháng qua, đã xác nhận rằng hơn 15.000 token đã được các ví được tài trợ trực tiếp lấy đi tại khối ra mắt;
b. Liên quan đến hơn 4.600 ví bắn tỉa và hơn 10.400 người triển khai;
c. Chiếm khoảng 1,75% tổng lượng phát hành của pump.fun.
2. Hành vi này có lợi nhuận trên quy mô lớn
a. Trực tiếp lấy tiền từ ví sniper và đạt được lợi nhuận ròng > 15.000 SOL;
b. Tỷ lệ thành công của việc bắn tỉa là 87% và rất ít giao dịch thất bại;
c. Lợi nhuận điển hình của một ví là 1-100 SOL, và một số ít vượt quá 500 SOL.
3. Triển khai và bắn tỉa lặp đi lặp lại vào các mạng lưới trang trại mục tiêu
a. Nhiều đơn vị triển khai sử dụng ví mới để tạo hàng loạt hàng chục đến hàng trăm token;
b. Một số ví bắn tỉa thực hiện hàng trăm lần bắn tỉa mỗi ngày;
c. Có thể quan sát thấy cấu trúc “trục và nan hoa”: một ví cấp vốn cho nhiều ví cắt, tất cả đều cắt cùng một token.
4. Sniping trình bày một mô hình thời gian lấy con người làm trung tâm
a. Hoạt động cao điểm diễn ra từ 14:00–23:00 UTC; hầu như không có hoạt động nào diễn ra từ 00:00–08:00 UTC;
b. Phù hợp với giờ làm việc của Hoa Kỳ, nghĩa là nó được kích hoạt theo thời gian thủ công/cron, thay vì hoàn toàn tự động 24 giờ một ngày trên toàn thế giới.
5. Ví một lần và giao dịch đa chữ ký gây nhầm lẫn về quyền sở hữu
a. Người triển khai bơm tiền vào nhiều ví cùng lúc và ký cùng một giao dịch để đánh cắp;
b. Những ví bị đốt này sẽ không còn ký bất kỳ giao dịch nào nữa;
c. Người triển khai chia giao mua vào ban đầu thành 2–4 ví để che giấu nhu cầu thực sự.
Hành vi thoát
Để hiểu sâu hơn về cách các ví này thoát ra, chúng tôi chia dữ liệu thành hai chiều hành vi:
1. Thời điểm thoát — thời gian từ lần mua đầu tiên đến lần bán cuối cùng;
2. Số lượng swap — số lượng giao dịch bán riêng biệt được sử dụng để thoát.
Kết luận dữ liệu
1. Tốc độ thoát
a. 55% lính bắn tỉa đã được bán hết trong vòng 1 phút;
b. 85% vị trí được xóa trong vòng 5 phút;
c. 11% hoàn thành trong vòng 15 giây.
2. Số lượng bán hàng
a. Hơn 90% ví sniper thoát ra chỉ với 1-2 lệnh bán;
b. Bán dần dần ít khi được sử dụng.
3. Xu hướng lợi nhuận
a. Những ví có lợi nhuận cao nhất là những ví rút tiền trong vòng < 1 phút, tiếp theo là những ví rút tiền trong vòng < 5 phút;
b. Mặc dù lợi nhuận lần bình từ việc nắm giữ lâu hơn hoặc bán lần cao hơn một chút, nhưng con số này cực kỳ nhỏ và đóng góp vào tổng lợi nhuận là có hạn.
giải thích
Các mô hình này cho thấy rằng hoạt động khai thác do bên triển khai tài trợ không phải là hoạt động giao dịch mà là chiến lược khai thác tự động, rủi ro thấp:
· Mua vào trước → bán nhanh → thoát hoàn toàn.
Bán một lần có nghĩa là không quan tâm đến biến động giá và chỉ tận dụng cơ hội để bán tháo.
Một số chiến lược thoát hiểm phức tạp hơn là ngoại lệ, không phải là xu hướng chính.
Thông tin chi tiết có thể hành động
Các khuyến nghị sau đây nhằm giúp đội ngũ giao thức, nhà phát triển giao diện người dùng và nhà nghiên cứu xác định và phản hồi các mô hình phát hành token khai thác hoặc cộng tác bằng cách chuyển đổi các hành vi quan sát được thành phương pháp tiếp cận, bộ lọc và cảnh báo để tăng tính minh bạch cho người dùng và giảm rủi ro.
kết luận
Báo cáo này tiết lộ một chiến lược trích xuất phát hành token Solana bền bỉ, có cấu trúc và có lợi nhuận cao: khai thác cùng một khối do bên triển khai tài trợ. Bằng cách theo dõi các giao dịch SOL trực tiếp từ bên triển khai đến ví khai thác, chúng tôi xác định một nhóm các hành vi theo kiểu nội gián khai thác kiến trúc thông lượng cao của Solana để khai thác phối hợp.
Mặc dù phương pháp này chỉ nắm bắt được một phần của việc bắn tỉa cùng một khối, nhưng quy mô và mô hình của nó cho thấy đây không phải là sự đầu cơ phân tán, mà là một nhà điều hành có vị trí đặc quyền, một hệ thống có thể lặp lại và ý định rõ ràng. Tầm quan trọng của chiến lược này được phản ánh trong:
1. Làm sai lệch các tín hiệu ban đầu của thị trường để làm cho token có vẻ hấp dẫn hơn hoặc cạnh tranh hơn;
2. Gây nguy hiểm cho nhà đầu tư bán lẻ — họ trở thành thanh khoản thoát ra mà không hề hay biết;
3. Làm suy yếu lòng tin vào việc phát hành token mở, đặc biệt là trên các nền tảng như pump.fun chú trọng vào tốc độ và tính dễ sử dụng.
Để giảm thiểu vấn đề này, không chỉ cần các biện pháp phòng thủ thụ động, mà còn cần các phương pháp tìm kiếm tốt hơn, cảnh báo sớm, các rào cản ở cấp độ giao thức và các nỗ lực liên tục để lập bản đồ và giám sát hành vi hợp tác. Các công cụ phát hiện hiện có — câu hỏi đặt ra là liệu hệ sinh thái có thực sự sẵn sàng áp dụng chúng hay không.
Báo cáo này thực hiện bước đầu tiên: cung cấp bộ lọc đáng tin cậy, có thể tái tạo để nhắm mục tiêu vào các hành vi phối hợp rõ ràng nhất. Nhưng đây chỉ là khởi đầu. Thách thức thực sự nằm ở việc phát hiện các chiến lược đang phát triển, bị che giấu cao độ và xây dựng một nền văn hóa trên Chuỗi thưởng cho tính minh bạch thay vì trích xuất.
