원저자: Pine Analytics
원문: GaryMa Wu가 블록체인에 대해 이야기합니다
요약
본 보고서는 솔라나에서 광범위하고 고도로 조직화된 밈 토큰 파밍 패턴을 조사합니다. 토큰 배포자는 SOL을 스나이퍼 지갑으로 전송하여 토큰이 상장되는 즉시 동일한 블록에서 토큰을 구매할 수 있도록 합니다. 배포자와 스나이퍼 간의 명확하고 증명 가능한 자금 조달 체인에 초점을 맞춤으로써, 신뢰도가 높은 일련의 추출 행위를 파악합니다.
저희 분석에 따르면 이러한 전략은 고립된 현상도 아니고 비주류 활동도 아닙니다. 지난 한 달 동안만 해도 4,600개 이상의 스나이핑 지갑과 10,400개 이상의 배포자가 참여한 15,000건 이상의 토큰 발행을 통해 15,000 SOL 이상의 실현 수익이 발생했습니다. 이러한 지갑들은 매우 높은 성공률(스나이핑 수익의 87%), 깔끔한 엑시트, 그리고 체계적인 운영 모델을 보여줍니다.
주요 결과:
배치자가 지원하는 저격은 체계적이고 수익성이 높으며 종종 자동화되어 있으며, 저격 활동은 미국 영업 시간에 가장 집중되어 있습니다.
다중 지갑 채굴 구조는 매우 일반적이며, 실제 수요를 시뮬레이션하기 위해 임시 지갑과 조정된 출구를 사용하는 경우가 많습니다.
· 탐지를 피하기 위해 다중 홉 자금 조달 체인, 다중 서명 스나이핑 거래 등 난독화 방법이 끊임없이 업그레이드되고 있습니다.
이러한 한계에도 불구하고, 우리의 단일 펀딩 필터는 여전히 대규모의 내부자 행동에 대한 가장 명확하고 반복 가능한 사례를 포착합니다.
이 보고서는 프로토콜 팀과 프런트엔드가 이러한 활동을 실시간으로 식별, 표시하고 대응하는 데 도움이 되는 일련의 실행 가능한 휴리스틱을 제안합니다. 여기에는 초기 포지션 집중 추적, 배포자 관련 지갑 태그 지정, 고위험 발행에 대한 프런트엔드 경고 발행 등이 포함됩니다.
저희의 분석은 동일 블록에 대한 공격 활동의 일부만을 다루고 있지만, 그 규모, 구조, 수익성을 보면 Solana 토큰 발행이 조정된 네트워크에 의해 적극적으로 조작되고 있으며 기존 방어 수단으로는 불충분하다는 것을 알 수 있습니다.
방법론
이 분석은 명확한 목표를 가지고 시작되었습니다. 솔라나에서 조직적인 밈 토큰 파밍을 시사하는 행동을 파악하는 것, 특히 배포자가 토큰 출시와 동일한 블록에서 해킹된 지갑에 자금을 지원하는 행위를 파악하는 것입니다. 문제를 다음과 같은 단계로 구분했습니다.
1. 동일한 블록 스나이핑 필터링
배포 후 동일 블록에서 스나이핑된 지갑을 먼저 필터링합니다. 그 이유는 다음과 같습니다. Solana에는 글로벌 메모리 풀이 없고, 토큰 주소는 공개 프런트엔드에 표시되기 전에 미리 알려져야 하며, 배포 후 첫 DEX 상호작용까지 걸리는 시간이 매우 짧기 때문입니다. 이러한 동작은 자연적으로 발생하기 거의 불가능하기 때문에 동일 블록 스나이핑은 잠재적 공모 또는 특권 행위를 식별하는 신뢰도 높은 필터가 됩니다.
2. 배포자와 연결된 지갑을 식별합니다.
고도로 숙련된 저격수와 조직적인 내부자를 구분하기 위해 토큰 출시 전 배포자와 저격수 간의 SOL 전송을 추적하고, 다음 조건을 충족하는 지갑만 표시했습니다. 배포자로부터 SOL을 직접 수신한 지갑, 배포자에게 SOL을 직접 전송한 지갑. 출시 전 직접 전송된 지갑만 최종 데이터 세트에 포함했습니다.
3. 스나이핑과 토큰 수익의 연결
각 스나이핑 지갑에 대해, 스나이핑된 토큰에 대한 거래 활동을 매핑합니다. 구체적으로는 토큰 구매에 사용된 SOL 총액, DEX에서 판매된 SOL 총액, 그리고 실현된 순이익(명목 이익 아님)을 계산합니다. 이를 통해 각 스나이핑 배포자로부터 얻은 수익을 정확하게 파악할 수 있습니다.
4. 지갑 크기 및 동작 측정
우리는 이러한 활동의 규모를 여러 측면에서 분석합니다. 독립적인 배포자와 스나이퍼 지갑의 수, 확인된 공동의 동일 블록 스나이핑의 수, 스나이핑 수익의 분배, 각 배포자가 발행한 토큰의 수, 토큰 간 스나이퍼 지갑의 재사용 등입니다.
5. 기계 활동의 흔적
이러한 작업의 작동 방식을 이해하기 위해 UTC 시간별로 스나이핑 활동을 분류했습니다. 결과는 특정 시간대에 활동이 집중되는 것을 보여주며, 늦은 저녁 UTC 시간대에는 활동이 크게 감소하는 것을 보여줍니다. 이는 이 작업이 전 세계적으로 지속적으로 자동화된 것이라기보다는 미국에 맞춰진 크론 작업 또는 수동 실행 시간대에 더 가깝다는 것을 시사합니다.
6. 출구 행동 분석
마지막으로, 배포자와 연결된 지갑에서 목표 토큰을 판매할 때의 행동을 연구합니다. 첫 구매와 최종 판매 사이의 시간(보류 시간)을 측정하고, 각 지갑에서 종료를 위해 사용된 독립적인 판매 거래 수를 집계합니다. 이를 통해 지갑이 빠르게 청산할지, 점진적으로 판매할지를 구분하고, 종료 속도와 수익성 간의 상관관계를 분석합니다.
가장 명확한 위협에 집중하세요
우리는 먼저 pump.fun 발행에서 동일 블록 스나이핑의 규모를 측정했고 그 결과는 충격적이었습니다. 50%가 넘는 토큰이 생성 블록에서 스나이핑되었습니다. 동일 블록 스나이핑은 주변 사례에서 주요 발행 패턴으로 바뀌었습니다.
솔라나에서는 동일 블록에 참여하려면 일반적으로 다음이 필요합니다. 사전 서명된 거래, 오프체인 조정, 배포자와 구매자가 인프라를 공유합니다.
모든 동일 블록에 대한 저격이 똑같이 악의적인 것은 아니며, 최소한 두 가지 유형의 행위자가 있습니다. 그물 던지기 봇 - 휴리스틱이나 소규모 추측을 테스트하는 행위자, 그리고 조정된 내부자 - 자체 구매자에게 자금을 지원하는 배포자를 포함합니다.
오탐(false positive)을 줄이고 실제로 조율된 행동을 강조하기 위해 최종 지표에 엄격한 필터링을 추가했습니다. 즉, 배포자와 스나이핑 지갑 간에 발사 전 직접 SOL 전송이 이루어진 스나이핑만 집계됩니다. 이를 통해 배포자가 직접 제어하는 지갑, 배포자의 명령에 따라 작동하는 지갑, 내부 채널을 사용하는 지갑을 확실하게 잠글 수 있습니다.
사례 연구 1: 직접 자금 조달
배포자 지갑 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE는 총 1.2 SOL을 3개의 다른 지갑으로 전송한 후, SOL > BNB라는 토큰을 배포했습니다. 자금을 지원받은 3개의 지갑은 생성된 동일한 블록에서 토큰을 구매하여 시장에 공개된 후, 즉시 수익을 매도하고 공동으로 플래시 엑싯(flash exit)을 실행했습니다. 이는 사전 자금 지원을 받은 스나이핑 지갑을 통해 토큰을 획득하는 전형적인 사례이며, 저희의 자금 조달 체인 방식을 통해 직접 확인할 수 있습니다. 이 기법은 간단하지만, 수천 건의 발행을 통해 대규모로 실행됩니다.
사례 연구 2: 멀티홉 펀딩
GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA 지갑은 여러 토큰 스나이핑과 연관되었습니다. 해당 주체는 스나이핑 지갑에 직접 자금을 주입하지 않고, 5~7개 계층의 트랜짓 지갑을 통해 SOL을 최종 스나이핑 지갑으로 전송하여 동일한 블록에서 스나이핑을 완료했습니다.
기존 방법은 배포자의 초기 전송 중 일부만 감지할 뿐, 최종 스나이퍼 지갑의 전체 체인을 포착하지 못합니다. 이러한 릴레이 지갑은 일반적으로 일회용이며 SOL 전송에만 사용되기 때문에 간단한 쿼리를 통해 연결하기가 어렵습니다. 이러한 차이는 설계 결함이 아니라 컴퓨팅 리소스의 상쇄 효과입니다. 대규모 데이터에서 다중 홉 자금 경로를 추적하는 것은 가능하지만 비용이 많이 듭니다. 따라서 현재 구현에서는 명확성과 재현성을 유지하기 위해 높은 신뢰도의 직접 연결을 우선시합니다.
Arkham의 시각화 도구를 사용하여 자금의 더 긴 체인을 보여주고, 자금이 초기 지갑에서 쉘 지갑, 그리고 최종적으로 배포자 지갑으로 어떻게 흘러갔는지 그래픽으로 보여줍니다. 이는 자금 출처 난독화의 복잡성을 강조하고 향후 탐지 방법 개선의 방향을 제시합니다.
동일한 블록에 직접 자금을 지원하고 저격하는 지갑에 집중하는 이유
이 글의 나머지 부분에서는 배포자로부터 직접 자금을 받고 동일한 블록에서 저격한 지갑만 연구합니다. 그 이유는 다음과 같습니다. 상당한 수익을 창출하고, 난독화 기법을 가장 적게 사용하며, 가장 많이 악의적인 하위 집합을 구성하고, 이러한 지갑을 연구하면 고급 추출 전략을 탐지하고 완화하는 데 가장 명확한 휴리스틱 프레임워크를 제공할 수 있기 때문입니다.
발견하다
동일 블록 스나이핑 + 직접 자금 조달 체인의 하위 집합에 초점을 맞춰, 광범위하고 체계적이며 수익성이 높은 온체인 조정 행동을 확인했습니다. 다음 데이터는 3월 15일까지의 데이터를 포함합니다.
1. 같은 블록에서 저격을 하고 배치자가 자금을 지원하는 것은 매우 흔하고 체계적입니다.
a. 지난달, 론칭 블록에서 자금이 조달된 지갑에서 15,000개 이상의 토큰이 직접 유출된 것으로 확인되었습니다.
b. 4,600개 이상의 저격 지갑과 10,400개 이상의 배치자가 참여함
c. pump.fun 총 발행량의 약 1.75%를 차지합니다.
2. 이 행동은 대규모로 수익성이 있습니다.
a. 스나이퍼 지갑에서 직접 자금을 조달하고 순수익 15,000 SOL 이상을 달성합니다.
b. 스나이핑 성공률은 87%이며, 실패한 거래는 매우 적습니다.
c. 단일 지갑의 일반적인 수입은 1~100 SOL이며, 500 SOL을 넘는 지갑도 있습니다.
3. 농장 네트워크를 타깃으로 한 반복 배치 및 저격
a. 많은 배포자는 새로운 지갑을 사용하여 수십에서 수백 개의 토큰을 일괄 생성합니다.
b. 일부 저격 지갑은 하루에 수백 건의 저격을 수행합니다.
c. 허브 앤 스포크 구조가 관찰됩니다. 즉, 하나의 지갑이 여러 개의 스나이핑 지갑에 자금을 지원하고, 모든 지갑이 동일한 토큰을 스나이핑합니다.
4. 스나이핑은 인간 중심의 시간 모델을 제시합니다.
a. 활동이 가장 활발한 시기는 UTC 14:00~23:00이며, UTC 00:00~08:00 사이에는 거의 활동이 멈춥니다.
b. 미국 근무 시간과 일치하므로 전 세계 24시간 완전 자동으로 작동하는 것이 아니라 수동/크론 타이밍으로 작동합니다.
5. 일회성 지갑과 다중 서명 거래는 소유권을 혼란스럽게 합니다.
a. 배포자는 동시에 여러 지갑에 자금을 주입하고 동일한 거래에 서명하여 스나이핑을 수행합니다.
b. 소각된 지갑은 더 이상 어떠한 거래에도 서명하지 않습니다.
c. 배포자는 실제 수요를 위장하기 위해 초기 구매 금액을 2~4개의 지갑으로 나눕니다.
종료 동작
이러한 지갑이 어떻게 생성되는지 더 깊이 이해하기 위해 데이터를 두 가지 행동 차원으로 분류합니다.
1. 종료 시점 - 첫 구매부터 최종 판매까지의 시간
2. 스왑 수 - 종료에 사용된 별도 매도 거래 수입니다.
데이터 결론
1. 출구 속도
a. 저격수의 55%가 1분 이내에 매진되었습니다.
b. 85%의 자리가 5분 이내에 정리되었습니다.
c. 11%가 15초 이내에 완료됨.
2. 판매 건수
a. 90% 이상의 스나이퍼 지갑은 1~2건의 매도 주문만으로 종료됩니다.
b. 점진적 판매는 거의 사용되지 않습니다.
3. 수익성 추세
a. 가장 수익성이 높은 지갑은 1분 이내에 돈을 인출하는 지갑이고, 그 다음은 5분 이내에 돈을 인출하는 지갑입니다.
b. 장기 보유 또는 여러 차례 매도 시 발생하는 평균 단일 이익은 약간 더 높지만, 그 숫자는 극히 적고 전체 이익에 대한 기여도도 제한적입니다.
설명하다
이러한 패턴은 배치자 자금 지원 저격이 거래 활동이 아니라 자동화되고 위험이 낮은 추출 전략임을 시사합니다.
· 먼저 매수 → 빠르게 매도 → 완전히 청산.
단일 매도란 가격 변동에 대한 걱정 없이, 덤핑 기회를 활용하는 것을 의미합니다.
몇 가지 좀 더 복잡한 출구 전략은 예외일 뿐, 주류는 아닙니다.
실행 가능한 통찰력
다음 권장 사항은 프로토콜 팀, 프런트엔드 개발자 및 연구자가 관찰된 동작을 휴리스틱, 필터 및 알림으로 변환하여 사용자 투명성을 높이고 위험을 줄임으로써 추출적 또는 협업적 토큰 발행 패턴을 식별하고 대응하는 데 도움이 되도록 의도되었습니다.
결론적으로
본 보고서는 지속적이고 체계적이며 수익성이 높은 솔라나 토큰 발행 추출 전략, 즉 배포자 자금으로 자금을 조달하는 동일 블록 스나이핑(sniping)을 보여줍니다. 배포자에서 스나이핑 지갑으로 직접 SOL을 전송하는 과정을 추적하여, 솔라나의 고처리량 아키텍처를 악용하여 공동으로 채굴하는 내부자 유형의 행위들을 파악합니다.
이 방법은 동일 블록 저격의 일부만을 포착하지만, 그 규모와 패턴을 보면 이것이 산발적인 추측이 아니라, 특권적 지위와 반복 가능한 시스템, 그리고 명확한 의도를 가진 운영자의 행동임을 알 수 있습니다. 이 전략의 중요성은 다음에서 드러납니다.
1. 토큰을 더 매력적이거나 경쟁력 있게 보이도록 초기 시장 신호를 왜곡합니다.
2. 개인 투자자를 위험에 빠뜨립니다. 개인 투자자는 자신도 모르게 출구 유동성을 얻게 됩니다.
3. 특히 속도와 사용 편의성을 추구하는 pump.fun과 같은 플랫폼에서 공개 토큰 발행에 대한 신뢰를 훼손합니다.
이 문제를 완화하려면 단순한 수동적인 방어책만으로는 부족합니다. 더 나은 휴리스틱, 조기 경보, 프로토콜 수준의 가드레일, 그리고 협업 행동을 매핑하고 모니터링하기 위한 지속적인 노력이 필요합니다. 탐지 도구는 존재하지만, 문제는 생태계가 실제로 이러한 도구를 적용할 의지가 있는지 여부입니다.
이 보고서는 첫걸음을 내딛습니다. 가장 명백한 조율된 행동을 포착할 수 있는 안정적이고 재현 가능한 필터를 제공하는 것입니다. 하지만 이는 시작에 불과합니다. 진정한 과제는 고도로 난독화되고 진화하는 전략을 탐지하고, 추출보다는 투명성을 중시하는 온체인 문화를 구축하는 것입니다.
