原文標題:Exit Liquidity Machines
原文作者:Pine Analytics
原文編譯:GaryMa 吳說區塊鏈
我們的分析顯示,這種策略既不是偶發現象,也不是邊緣行為 — —僅在過去一個月內,就通過這種方式從 15,000 多次代幣發行中提取了超過 15,000 SOL 的已實現利潤,涉及 4,600 多個部署者和多個狙擊錢包。這些錢包表現出異常高的成功率(87% 的狙擊獲利)、乾淨的退出方式以及結構化的操作模式。
· 部署者資助的狙擊具備系統性、盈利性且通常自動化,狙擊活動在美國工作時間內最為集中。
· 多錢包刷農結構十分常見,經常使用臨時錢包與協同退出來模擬真實需求。
· 混淆手段不斷升級,例如多跳資金鍊和多重簽名狙擊交易,以逃避檢測。
· 雖有局限,我們的一跳資金過濾器仍能抓取最清晰、可重複的大規模「內部人」行為案例。
· 本報告提出了一套可操作的啟發式方法,幫助協議團隊和前端即時識別、標記並應對此類活動 — —包括追蹤早期持倉集中度、給部署者關聯錢包打標籤,並在高風險發行中向用戶發出前端警告。
儘管我們的分析僅涵蓋了同區塊狙擊行為的一個子集,但其規模、結構和盈利性表明:Solana 代幣發行正受到協同網絡的積極操控,而現有防禦措施遠遠不足。
本分析以一個明確目標為起點:辨識 Solana 上顯示協同 meme 代幣刷農的行為,尤其是部署者在代幣上線同區塊為狙擊錢包提供資金的情況。我們將問題分為以下階段:
我們先篩選部署後同一區塊即被狙擊的錢包。由於:Solana 沒有全域 mempool;要在代幣出現在公共前端之前知曉其地址;以及部署與首次 DEX 互動之間的時間極短。這種行為幾乎不可能是自然發生,因此「同區塊狙擊」成為識別潛在串通或特權活動的高置信度過濾器。
為區分技術高超的狙擊者與協同“內部人”,我們追踪了代幣上線前部署者與狙擊者之間的 SOL 轉賬,僅滿足以下條件的錢包:直接從部署者到部署者;只有在上線前存在直接轉帳的錢包才被納入最終資料集。
針對每個狙擊錢包,我們將其在被狙擊代幣上的交易活動,具體計算:買入該代幣花費的 SOL 總額;在 DEX 中賣出所得的 SOL 收益總額;這樣可精確歸因每次狙擊從部署者抽取的利潤。
我們從多個維度分析此類活動的規模:獨立部署者與狙擊錢包數量;確認的協同同區塊狙擊次數;狙擊利潤分佈;部署者每人發行的代幣數量;狙擊錢包跨代幣數量;狙擊錢包情況。
為了解這些操作如何進行,我們將狙擊活動按 UTC 小時分組。結果顯示:活動集中在特定時間窗口;在 UTC 深夜時段顯著下降;這表明與其說是全球化、持續的自動化,不如說是與美國對齊的 cron 任務或人工執行窗口。
最後,我們研究部署者關聯錢包在賣出被狙擊代幣時的行為:測量首筆買入到最終賣出之間的時間(持倉時長);統計每個錢包退出所用的獨立賣出交易數量。由此分辨錢包是選擇快速清倉或漸進式拋售,並檢視退出速度與獲利性的關聯。
我們首先衡量了 pump.fun 發行中同區塊狙擊的規模,結果令人震驚:超過 50 %的代幣在創建區塊就被狙擊 — —同區塊狙擊已從邊緣案例變成主導發行模式。
在 Solana 上,同區塊參與通常需要:預簽交易;鏈下協調;或部署者與買家共用基礎設施。並非所有同區塊狙擊都同樣惡意,至少存在兩類角色:「撒網試運氣」機器人 — —測試啟發式或小額投機;協同內部人 — —包括部署者為自己的買家提供資金。
為減少誤報並突出真正的協同行為,我們在最終指標中加入了嚴格過濾:僅統計上線前部署者與狙擊錢包間存在直接 SOL 轉賬的狙擊。這使我們能自信地鎖定:由部署者直接控制的錢包;在部署者指揮下行事的錢包;擁有內部管道的錢包。
部署者錢包 8qUXz3xyx7dtctmjQnXZDWKsWSVfFnnwwwwwLE. SOL,然後部署名為 SOL > BNB 的代幣。 3 個獲資錢包在代幣創建的同一區塊內即完成搶購,搶在更廣泛市場可見之前。隨後,它們快速賣出獲利,執行了協調一致的閃電退出。這是透過預資狙擊錢包刷農代幣的教科書式範例,並被我們的資金鏈方法直接捕獲。儘管手法簡單,卻在數千次發行中大規模上演。
錢包 GQZLghNrW9NjmJf8gy8iQ4xTJFWugNxZLghNqD35555p該實體並未直接為狙擊錢包注資,而是將 SOL 通過 5–7 層中轉錢包再到最終狙擊錢包,在同區塊完成狙擊。
我們的現有方法只偵測到部署者的一些初步轉賬,卻未能抓全向最終狙擊錢包的整個鏈。這些中繼錢包通常“一次性使用”,僅用於傳遞 SOL,使其難以通過簡單查詢關聯。此缺口並非設計缺陷,而是出於運算資源權衡 — —在大規模資料中追蹤多跳資金路徑雖然可行,但開銷龐大。因此目前實現優先選擇高置信度、直連鏈路以保持清晰與可複現性。
我們藉助 Arkham 的視覺化工具展示了這條更長的資金鏈,圖形化呈現了資金如何從初始錢包經殼錢包一路流向最終部署者錢包。這突顯了資金來源混淆的複雜程度,也為未來完善檢測方法指明了方向。
在本文餘下部分,我們僅研究上線前直接獲得部署者資金、並在同一區塊內狙擊的狙擊錢包。原因如下:它們貢獻了可觀利潤;混淆手段最少;代表最具操作性的惡意子集;研究它們能為偵測並緩解更高級的抽取策略提供最清晰的啟發式框架。
聚焦於「同區塊狙擊 + 直接資金鏈」這一子集,我們揭示了一種廣泛、結構化且高度盈利的鏈上協同行為。以下全部數據涵蓋 3 月 15 日至今:
a. 過去一個月確認 15,000+15,000個代幣在上線區塊即被直接獲資錢包狙擊;
b. 涉及 4,600+ 個狙擊錢包、10,400+ 名部署者;
c. 佔 pump.fun 發行量約 1.75 %。
a.直接獲資狙擊錢包已達到淨利 > 15,000 SOL;
c. 單錢包典型收益 1–100 SOL,少數超 500 SOL。
a. 許多部署者使用新錢包批量創建數十到數百個代幣;
觀察到「中心-輻射」結構:一個錢包為多個狙擊錢包注資,所有狙擊同一代幣。
a. 活躍高峰在 UTC 14:00–23:00;與美國工作時間契合,說明為人工/cron 定時觸發,而非全球 24 小時全自動。
a.部署者為數個錢包同時注資並在同一交易裡簽名狙擊;
b.部署燒燒者為數個錢包同時注資並在同一交易中簽名狙擊;
b. 部署者為數個錢包同時注資並在同一交易中簽署狙擊手
為深入了解這些錢包如何退出,我們以兩大行為維度拆解資料:
1. Timing) — —從首買到最終賣出的時間;
2. 賣出筆數(Swap Count) — —退出所用獨立賣出交易數量。
a. 55 % 的狙擊在 1 分鐘內全部賣完;
秒內完成。
a.超過 90 % 的狙擊錢包只用 1–2 筆賣單退出;
b. 極少採用漸進式拋售。
a. 最賺錢的是 < 1 分鐘退出的錢包,其次 < 5 分鐘;
b. 更長持有或多次賣出雖平均單次利潤略高,但數量極少,對總利潤貢獻。
這些模式顯示:部署者資助的狙擊並非交易行為,而是自動化、低風險抽取策略:
· 搶先買進 → 快速賣出 → 完全退出。
· 單筆賣出代表毫不關心價格波動,只利用先機 dump。
· 少數較複雜的退出策略只是例外,非主流模式。
下列建議旨在幫助協議團隊、前端開發者及研究者識別並應對抽取式或協同代幣發行模式,透過將觀察到的行為轉化為啟發式、過濾器與警告,提高用戶透明度並降低風險。
本報告揭示了一種持續、結構化且高利潤的 Solana 代幣發行策略:部署者資助的同區塊擊。 透過追蹤部署者向狙擊錢包的直接 SOL 轉賬,我們鎖定了一批內部人風格的行為,利用 Solana 的高吞吐架構進行協同抽取。雖然本方法只捕捉了同區塊狙擊的一部分,但其規模與模式表明:這不是零散投機,而是擁有特權位置、可重複系統和明確意圖的運營者。此策略的重要性體現在:
1. 扭曲早期市場訊號,讓代幣看似更具吸引力或競爭力;
2. 危及散戶 — —他們在削弱的情況下成為退出流動性;
— —他們在削弱的情況下成為退出流動性;
3. pump.fun 等平台。
要緩解此問題,需要的不只是被動防禦,還包括更佳的啟發式、前端預警、協議級護欄,以及持續映射與監控協同行為的努力。檢測工具已存在 — —問題在於生態是否願意真正加以應用。
本報告邁出了第一步:提供了一個可靠、可重複的過濾器,以鎖定最明顯的協同行為。但這只是開始。真正的挑戰在於偵測高度混淆、不斷演化的策略,並打造一個鏈上文化,獎勵透明而非抽取。
歡迎加入律動 BlockBeats 官方社群:
Telegram 訂閱群:https://t.me/theblockbeats
Telegram 交流群:https://t.me/BlockBeats_App
Twitter 官方帳號:https://twitter.com/BlockBeatsAsia