Tiêu đề gốc: Exit Liquidity Machines

Tác giả gốc: Pine Analytics

Bản dịch gốc: GaryMa Wu cho biết blockchain

Tóm tắt

Báo cáo này điều tra một mô hình khai thác token meme phổ biến và được phối hợp chặt chẽ trên Solana: những người triển khai token chuyển SOL đến "ví bắn tỉa" để cho phép những ví này mua token trong cùng một khối khi token được ra mắt. Bằng cách tập trung vào chuỗi tài trợ rõ ràng và có thể chứng minh giữa những người triển khai và những người bắn tỉa, chúng tôi đã khóa chặt một tập hợp các hành vi trích xuất có độ tin cậy cao.

Phân tích của chúng tôi cho thấy chiến lược này không phải là một hiện tượng biệt lập hay một hành vi biên tế - chỉ riêng trong tháng qua, hơn 15.000 SOL lợi nhuận đã thực hiện đã được trích xuất từ hơn 15.000 đợt phát hành mã thông báo theo cách này, liên quan đến hơn 4.600 ví sniping và hơn 10.400 đơn vị triển khai. Những ví này chứng minh tỷ lệ thành công cao bất thường (87% lợi nhuận sniping), thoát sạch và mô hình hoạt động có cấu trúc.

Những phát hiện chính:

· Sniping do đơn vị triển khai tài trợ là có hệ thống, có lợi nhuận và thường tự động hóa, với hoạt động sniping tập trung nhiều nhất vào giờ làm việc tại Hoa Kỳ.

· Cấu trúc canh tác nhiều ví rất phổ biến, thường sử dụng ví tạm thời và thoát phối hợp để mô phỏng nhu cầu thực tế.

· Các kỹ thuật che giấu ngày càng tăng, chẳng hạn như chuỗi tài trợ nhiều bước nhảy và giao dịch bắn tỉa nhiều chữ ký, được sử dụng để tránh bị phát hiện.

· Bất chấp những hạn chế của mình, bộ lọc tài trợ một bước nhảy của chúng tôi vẫn nắm bắt được những ví dụ rõ ràng nhất, có thể lặp lại về hành vi của "người trong cuộc" ở quy mô lớn.

· Báo cáo này trình bày một tập hợp các phương pháp thực hành có thể thực hiện được để giúp các nhóm giao thức và giao diện người dùng xác định, đánh dấu và phản hồi loại hoạt động này theo thời gian thực — bao gồm theo dõi mức độ tập trung vị trí ban đầu, gắn thẻ ví liên quan đến người triển khai và cung cấp cảnh báo giao diện người dùng trong quá trình ra mắt có rủi ro cao.

Mặc dù phân tích của chúng tôi chỉ bao gồm một tập hợp con của hoạt động bắn tỉa cùng khối, nhưng quy mô, cấu trúc và lợi nhuận của nó cho thấy rằng việc ra mắt mã thông báo Solana đang bị một mạng lưới phối hợp thao túng tích cực và các biện pháp phòng thủ hiện tại là vô cùng không đủ.

Phương pháp

Phân tích này bắt đầu với một mục tiêu rõ ràng: xác định các hành vi trên Solana cho thấy việc khai thác token meme được phối hợp, cụ thể là khi người triển khai tài trợ cho các ví sniping trong cùng một khối với lần ra mắt token. Chúng tôi chia nhỏ vấn đề thành các giai đoạn sau:

1. Lọc để chặn Same-Block Sniping

Đầu tiên, chúng tôi lọc ra các ví đã bị chặn trong cùng một khối sau khi triển khai. Điều này là do: Solana không có mempool toàn cầu; địa chỉ của mã thông báo phải được biết trước khi xuất hiện trên giao diện công khai; và thời gian cực kỳ ngắn giữa triển khai và tương tác DEX đầu tiên. Hành vi này hầu như không thể xảy ra một cách tự nhiên, vì vậy "chặn same-block sniping" trở thành bộ lọc có độ tin cậy cao để xác định các hoạt động thông đồng hoặc đặc quyền tiềm ẩn.

2. Xác định ví liên quan đến người triển khai

Để phân biệt giữa những người bắn tỉa có kỹ năng cao và những "người trong cuộc" được phối hợp, chúng tôi đã theo dõi các lần chuyển SOL giữa người triển khai và người bắn tỉa trước khi mã thông báo hoạt động và chỉ đánh dấu các ví đáp ứng các điều kiện sau: trực tiếp nhận SOL từ người triển khai; trực tiếp gửi SOL cho người triển khai. Chỉ những ví có chuyển khoản trực tiếp trước khi hoạt động mới được đưa vào tập dữ liệu cuối cùng.

3. Liên kết hoạt động sniping với lợi nhuận từ token

Đối với mỗi ví sniping, chúng tôi lập bản đồ hoạt động giao dịch của ví đó trên token bị sniped, cụ thể là tính toán: tổng số tiền SOL đã chi để mua token; tổng số tiền SOL thu được từ việc bán trên DEX; và lợi nhuận ròng đã thực hiện (không phải lợi nhuận danh nghĩa). Điều này cho phép phân bổ chính xác lợi nhuận trích xuất từ đơn vị triển khai cho mỗi lần sniping.

4. Đo lường quy mô và hành vi của ví

Chúng tôi phân tích quy mô của các hoạt động như vậy từ nhiều chiều: số lượng đơn vị triển khai độc lập và ví sniping; số lượng sniping cùng khối được phối hợp đã xác nhận; sự phân bổ lợi nhuận sniping; số lượng token do mỗi đơn vị triển khai phát hành; và việc tái sử dụng ví sniping trên các token.

5. Dấu vết hoạt động của máy

Để hiểu cách thức thực hiện các hoạt động này, chúng tôi nhóm các hoạt động sniping theo giờ UTC. Kết quả cho thấy: hoạt động tập trung vào các khung thời gian cụ thể, với mức giảm đáng kể vào đêm muộn theo giờ UTC, cho thấy một công việc cron hoặc cửa sổ thực hiện thủ công được căn chỉnh theo Hoa Kỳ thay vì tự động hóa liên tục trên toàn cầu.

6. Phân tích hành vi thoát

Cuối cùng, chúng tôi kiểm tra hành vi của các ví liên kết với bên triển khai khi bán token mục tiêu: đo thời gian giữa lần mua đầu tiên và lần bán cuối cùng (thời gian nắm giữ); và đếm số lượng giao dịch bán duy nhất được mỗi ví sử dụng để thoát. Điều này cho phép chúng tôi phân biệt xem ví có chọn thanh lý nhanh chóng hay bán dần dần không và kiểm tra mối tương quan giữa tốc độ thoát và lợi nhuận.

Tập trung vào mối đe dọa rõ ràng nhất

Đầu tiên, chúng tôi đo lường quy mô của việc cắt xén cùng khối trong đợt phát hành pump.fun và kết quả thật đáng kinh ngạc: hơn 50% mã thông báo đã bị cắt xén trong khối tạo - việc cắt xén cùng khối đã chuyển từ trường hợp ngoại lệ sang mô hình phát hành chiếm ưu thế.

Trên Solana, việc tham gia cùng khối thường yêu cầu: giao dịch được ký trước; phối hợp ngoài chuỗi; hoặc cơ sở hạ tầng được chia sẻ giữa bên triển khai và bên mua. Không phải tất cả các vụ tấn công cùng khối đều có tính chất độc hại như nhau và có ít nhất hai loại tác nhân: bot "cast-the-net" - thử nghiệm các phương pháp tìm kiếm hoặc suy đoán nhỏ; và những người trong cuộc được phối hợp - bao gồm cả bên triển khai tài trợ cho người mua của chính họ.

Để giảm các kết quả dương tính giả và làm nổi bật hành vi được phối hợp thực sự, chúng tôi đã thêm một bộ lọc nghiêm ngặt vào số liệu cuối cùng của mình: chỉ tính các vụ tấn công bằng cách chuyển SOL trực tiếp giữa bên triển khai và ví tấn công trước khi ra mắt. Điều này cho phép chúng tôi tự tin nhắm mục tiêu: ví do bên triển khai trực tiếp kiểm soát; ví hoạt động theo lệnh của bên triển khai; ví có kênh nội bộ.

Nghiên cứu tình huống 1: Tài trợ trực tiếp

Ví triển khai 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE gửi 1,2 SOL đến 3 ví khác nhau, sau đó triển khai một mã thông báo có tên là SOL > BNB. 3 ví được tài trợ mua các mã thông báo trong cùng một khối mà chúng được tạo ra, trước khi chúng được thị trường rộng lớn hơn nhìn thấy. Sau đó, họ nhanh chóng bán lợi nhuận của mình, thực hiện một lệnh thoát nhanh được phối hợp. Đây là một ví dụ điển hình về việc khai thác mã thông báo thông qua ví sniping được tài trợ trước, được phương pháp chuỗi tài trợ của chúng tôi thu thập trực tiếp. Mặc dù đơn giản, nhưng nó được thực hiện ở quy mô lớn trên hàng nghìn lần phát hành.

Nghiên cứu tình huống 2: Tài trợ đa bước

Ví GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA đã liên kết với nhiều mã thông báo sniping. Thay vì tài trợ trực tiếp cho ví sniping, thực thể đã chuyển SOL qua 5–7 lớp ví chuyển tiếp đến ví sniping cuối cùng, hoàn tất sniping trong cùng một khối.

Các phương pháp hiện tại của chúng tôi chỉ phát hiện một số giao dịch chuyển tiền ban đầu của bên triển khai, nhưng không thể nắm bắt toàn bộ chuỗi đến ví sniping cuối cùng. Các ví chuyển tiếp này thường "sử dụng một lần" và chỉ được sử dụng để chuyển SOL, khiến chúng khó có thể liên kết thông qua các truy vấn đơn giản. Khoảng cách này không phải là lỗi thiết kế, mà là sự đánh đổi về tài nguyên tính toán - theo dõi các đường dẫn tài trợ đa bước nhảy trong dữ liệu quy mô lớn là khả thi, nhưng tốn kém. Do đó, việc triển khai hiện tại ưu tiên các liên kết trực tiếp, có độ tin cậy cao để duy trì tính rõ ràng và khả năng tái tạo.

Chúng tôi đã sử dụng công cụ trực quan hóa của Arkham để hiển thị chuỗi tiền dài hơn này, hiển thị đồ họa cách tiền chảy từ ví ban đầu đến ví shell đến ví triển khai cuối cùng. Điều này làm nổi bật sự phức tạp của việc che giấu nguồn tiền và cũng chỉ ra cách cải thiện các phương pháp phát hiện trong tương lai.

Tại sao lại tập trung vào "ví được tài trợ trực tiếp và bị cắt trong cùng một khối"

Trong phần còn lại của bài viết này, chúng tôi chỉ nghiên cứu các ví bị cắt trực tiếp nhận tiền từ người triển khai trước khi trực tuyến và bị cắt trong cùng một khối. Lý do như sau: chúng đóng góp lợi nhuận đáng kể; chúng có ít phương pháp che giấu nhất; chúng đại diện cho tập hợp con độc hại hoạt động nhiều nhất; nghiên cứu chúng có thể cung cấp khuôn khổ tìm kiếm rõ ràng nhất để phát hiện và giảm thiểu các chiến lược trích xuất tiên tiến hơn.

Phát hiện

Tập trung vào tập hợp con của "chuỗi bị cắt cùng khối + tài trợ trực tiếp", chúng tôi phát hiện ra một hành vi phối hợp trên chuỗi rộng rãi, có cấu trúc và có lợi nhuận cao. Tất cả dữ liệu sau bao gồm từ ngày 15 tháng 3 đến nay:

1. Việc bắn tỉa trên cùng một khối và được tài trợ bởi đơn vị triển khai rất phổ biến và có hệ thống

a. Trong tháng qua, đã xác nhận rằng hơn 15.000 mã thông báo đã bị bắn tỉa bởi các ví được tài trợ trực tiếp trong khối niêm yết;

b. Liên quan đến hơn 4.600 ví bắn tỉa và hơn 10.400 đơn vị triển khai;

c. Chiếm khoảng 1,75% lượng phát hành của pump.fun.

2. Hành vi này có lợi nhuận trên quy mô lớn

a. Ví bắn tỉa được tài trợ trực tiếp đã đạt được lợi nhuận ròng là > 15.000 SOL;

b. Tỷ lệ bắn tỉa thành công là 87% và có rất ít giao dịch không thành công;

c. Thu nhập điển hình của một ví đơn là 1-100 SOL và một số ít vượt quá 500 SOL.

3. Triển khai và bắn tỉa lặp đi lặp lại hướng đến mạng lưới khai thác bụi rậm

a. Nhiều người triển khai sử dụng ví mới để tạo hàng loạt hàng chục đến hàng trăm mã thông báo;

b. Một số ví bắn tỉa thực hiện hàng trăm lần bắn tỉa trong một ngày;

c. Một cấu trúc "trục và nan hoa" được quan sát thấy: một ví bơm tiền vào nhiều ví bắn tỉa, tất cả đều bắn tỉa cùng một mã thông báo.

4. Bắn tỉa cho thấy một mô hình thời gian lấy con người làm trung tâm

a. Đỉnh điểm của hoạt động là UTC 14:00–23:00; UTC 00:00–08:00 gần như không tồn tại;

b. Nó trùng với giờ làm việc của Hoa Kỳ, cho thấy rằng nó được kích hoạt theo thời gian thủ công/cron, thay vì tự động hoàn toàn trong 24 giờ toàn cầu.

5. Ví dùng một lần và giao dịch đa chữ ký gây nhầm lẫn về quyền sở hữu

a. Người triển khai đồng thời cấp vốn cho nhiều ví và ký cùng một giao dịch để đánh cắp;

b. Những ví bị đốt này sẽ không còn ký bất kỳ giao dịch nào nữa;

c. Người triển khai chia giao dịch mua ban đầu thành 2-4 ví để che giấu nhu cầu thực sự.

Hành vi thoát

Để hiểu sâu hơn về cách các ví này thoát, chúng tôi chia nhỏ dữ liệu theo hai chiều hành vi chính:

1. Thời gian thoát - thời gian từ lần mua đầu tiên đến lần bán cuối cùng;

2. Swap Count — —số lượng giao dịch bán độc lập được sử dụng để thoát.

Kết luận về dữ liệu

1. Tốc độ thoát

a. 55% sniper đã bán hết trong vòng 1 phút;

b. 85% đã xóa vị thế của họ trong vòng 5 phút;

c. 11% đã hoàn thành trong vòng 15 giây.

2. Số lần bán

a. Hơn 90% ví sniper thoát chỉ với 1-2 lệnh bán;

b. Bán dần dần hiếm khi được sử dụng.

3. Xu hướng lợi nhuận

a. Ví có lợi nhuận cao nhất là ví có thời gian thoát < 1 phút, tiếp theo là < 5 phút;

b. Mặc dù lợi nhuận đơn lẻ trung bình của việc nắm giữ lâu hơn hoặc bán nhiều lần cao hơn một chút, nhưng con số này cực kỳ nhỏ và đóng góp vào tổng lợi nhuận là có hạn.

Giải thích

Các mô hình này cho thấy rằng việc bắn tỉa được tài trợ bởi người triển khai không phải là hành vi giao dịch mà là một chiến lược khai thác tự động, rủi ro thấp:

· Mua trước → bán nhanh → thoát hoàn toàn.

· Bán đơn lẻ có nghĩa là không quan tâm đến biến động giá, chỉ tận dụng cơ hội để bán tháo.

· Một số chiến lược thoát phức tạp hơn chỉ là ngoại lệ, không phải là mô hình chính thống.

Thông tin chi tiết có thể hành động

Các khuyến nghị sau đây nhằm giúp các nhóm giao thức, nhà phát triển giao diện người dùng và nhà nghiên cứu xác định và phản hồi các mô hình phát hành mã thông báo khai thác hoặc hợp tác, bằng cách chuyển đổi các hành vi quan sát được thành các phương pháp tiếp cận, bộ lọc và cảnh báo để tăng tính minh bạch cho người dùng và giảm rủi ro.

Kết luận

Báo cáo này tiết lộ một chiến lược trích xuất phát hành mã thông báo Solana bền bỉ, có cấu trúc và có lợi nhuận cao: chặt chém cùng khối do nhà triển khai tài trợ. Bằng cách theo dõi các giao dịch SOL trực tiếp từ nhà triển khai đến ví cắt xén, chúng tôi xác định được một nhóm hành vi theo kiểu nội gián khai thác kiến trúc thông lượng cao của Solana để trích xuất được phối hợp. Mặc dù phương pháp này chỉ nắm bắt được một phần của việc cắt xén cùng khối, nhưng quy mô và mô hình của nó cho thấy đây không phải là đầu cơ phân tán, mà là các nhà điều hành có vị thế đặc quyền, hệ thống có thể lặp lại và ý định rõ ràng. Chiến lược này rất quan trọng vì nó: 1. bóp méo các tín hiệu thị trường ban đầu, khiến mã thông báo có vẻ hấp dẫn hoặc cạnh tranh hơn; 2. gây nguy hiểm cho các nhà đầu tư bán lẻ — những người vô tình trở thành thanh khoản thoát; và 3. làm suy yếu niềm tin vào việc phát hành mã thông báo mở, đặc biệt là trên các nền tảng như pump.fun theo đuổi tốc độ và tính dễ sử dụng. Để giảm thiểu vấn đề này, cần nhiều hơn là các biện pháp phòng thủ thụ động, bao gồm các phương pháp tìm kiếm tốt hơn, cảnh báo sớm, các rào cản ở cấp độ giao thức và các nỗ lực liên tục để lập bản đồ và giám sát hành vi phối hợp. Các công cụ phát hiện hiện có — câu hỏi đặt ra là liệu hệ sinh thái có thực sự sẵn sàng áp dụng chúng hay không. Báo cáo này thực hiện bước đầu tiên: cung cấp bộ lọc đáng tin cậy, có thể tái tạo để nhắm mục tiêu vào hành vi phối hợp rõ ràng nhất. Nhưng đây chỉ là khởi đầu. Thách thức thực sự là phát hiện ra các chiến lược đang phát triển, bị che giấu cao độ và xây dựng một nền văn hóa trên chuỗi coi trọng tính minh bạch hơn là trích xuất.

Liên kết gốc