Tác giả gốc: Pine Analytics
Bản dịch gốc: GaryMa Wu nói về blockchain
bản tóm tắt
Báo cáo này điều tra một mô hình khai thác token meme rộng rãi và được phối hợp chặt chẽ trên Solana: những người triển khai token chuyển SOL đến “ví bắn tỉa”, cho phép họ mua token trong cùng một khối khi token được niêm yết. Bằng cách tập trung vào các chuỗi tài trợ rõ ràng, có thể chứng minh được giữa những người triển khai và những người bắn tỉa, chúng tôi xác định một tập hợp các hành vi khai thác có độ tin cậy cao.
Phân tích của chúng tôi cho thấy chiến lược này không phải là một hiện tượng biệt lập hay một hoạt động bên lề — chỉ riêng trong tháng qua, hơn 15.000 SOL trong lợi nhuận thực tế đã được trích xuất từ hơn 15.000 đợt phát hành mã thông báo theo cách này, liên quan đến hơn 4.600 ví sniping và hơn 10.400 người triển khai. Những ví này thể hiện tỷ lệ thành công cao bất thường (87% lợi nhuận sniping), thoát sạch và mô hình hoạt động có cấu trúc.
Những phát hiện chính:
Hoạt động do bên triển khai tài trợ mang tính hệ thống, có lợi nhuận và thường được tự động hóa, trong đó hoạt động này tập trung nhiều nhất vào giờ làm việc tại Hoa Kỳ.
Cấu trúc canh tác đa ví rất phổ biến, thường sử dụng ví tạm thời và lối thoát được phối hợp để mô phỏng nhu cầu thực tế.
· Các phương pháp che giấu liên tục được nâng cấp, chẳng hạn như chuỗi tài trợ đa bước và giao dịch theo dõi đa chữ ký, để tránh bị phát hiện.
Bất chấp những hạn chế của nó, bộ lọc tài trợ một bước của chúng tôi vẫn nắm bắt được những ví dụ rõ ràng nhất và có thể lặp lại nhất về hành vi của “người trong cuộc” ở quy mô lớn.
Báo cáo này đề xuất một bộ phương pháp thực hành có thể thực hiện được để giúp các nhóm giao thức và bộ phận giao diện xác định, đánh dấu và phản hồi các hoạt động như vậy theo thời gian thực — bao gồm theo dõi mức độ tập trung vị trí sớm, gắn thẻ ví liên quan đến đơn vị triển khai và đưa ra cảnh báo giao diện cho người dùng về các đợt phát hành có rủi ro cao.
Mặc dù phân tích của chúng tôi chỉ bao gồm một tập hợp con các hoạt động tấn công cùng khối, nhưng quy mô, cấu trúc và lợi nhuận của chúng cho thấy việc phát hành mã thông báo Solana đang bị một mạng lưới phối hợp thao túng tích cực và các biện pháp phòng thủ hiện tại là không đủ.
Phương pháp luận
Phân tích này bắt đầu với một mục tiêu rõ ràng: xác định các hành vi trên Solana cho thấy việc khai thác token meme được phối hợp, cụ thể là khi những người triển khai đang tài trợ cho các ví bị hack trên cùng một khối với lần ra mắt token. Chúng tôi chia vấn đề thành các giai đoạn sau:
1. Lọc cùng một khối bắn tỉa
Đầu tiên, chúng tôi lọc các ví đã bị cắt trong cùng một khối sau khi triển khai. Do: Solana không có mempool toàn cầu; địa chỉ của các mã thông báo phải được biết trước khi chúng xuất hiện trên giao diện công khai; và thời gian cực kỳ ngắn giữa triển khai và tương tác DEX đầu tiên. Hành vi này hầu như không thể xảy ra một cách tự nhiên, vì vậy cắt cùng khối trở thành bộ lọc có độ tin cậy cao để xác định thông đồng tiềm ẩn hoặc hoạt động đặc quyền.
2. Xác định ví được liên kết với người triển khai
Để phân biệt giữa những tay bắn tỉa có kỹ năng cao và những người trong cuộc được phối hợp, chúng tôi đã theo dõi các giao dịch chuyển SOL giữa những người triển khai và những tay bắn tỉa trước khi token được đưa vào hoạt động và chỉ đánh dấu những ví đáp ứng các điều kiện sau: nhận trực tiếp SOL từ những người triển khai; gửi trực tiếp SOL cho những người triển khai. Chỉ những ví có giao dịch chuyển trực tiếp trước khi ra mắt mới được đưa vào tập dữ liệu cuối cùng.
3. Liên kết việc bắn tỉa với lợi nhuận token
Đối với mỗi ví sniping, chúng tôi lập bản đồ các hoạt động giao dịch của ví đó trên token sniped, cụ thể là tính toán: tổng số tiền SOL đã chi để mua token; tổng số tiền SOL được bán trên DEX; và lợi nhuận ròng đã thực hiện (không phải lợi nhuận danh nghĩa). Điều này cho phép chúng tôi phân bổ chính xác lợi nhuận được trích xuất từ người triển khai mỗi sniping.
4. Đo kích thước và hành vi ví
Chúng tôi phân tích quy mô của các hoạt động như vậy từ nhiều khía cạnh: số lượng đơn vị triển khai độc lập và ví bắn tỉa; số lượng hoạt động bắn tỉa cùng khối được phối hợp đã xác nhận; sự phân bổ lợi nhuận từ hoạt động bắn tỉa; số lượng mã thông báo do mỗi đơn vị triển khai phát hành; và việc tái sử dụng ví bắn tỉa trên nhiều mã thông báo.
5. Dấu vết hoạt động của máy móc
Để hiểu cách thức hoạt động của các hoạt động này, chúng tôi đã nhóm hoạt động bắn tỉa theo giờ UTC. Kết quả cho thấy sự tập trung hoạt động trong một số khung thời gian nhất định, với sự sụt giảm đáng kể vào cuối giờ UTC buổi tối, cho thấy đây là một công việc cron hoặc cửa sổ thực hiện thủ công được căn chỉnh theo Hoa Kỳ hơn là một quá trình tự động hóa đang diễn ra trên toàn cầu.
6. Phân tích hành vi thoát
Cuối cùng, chúng tôi nghiên cứu hành vi của các ví liên kết với người triển khai khi bán các token mục tiêu: đo thời gian giữa lần mua đầu tiên và lần bán cuối cùng (thời gian nắm giữ); đếm số lượng giao dịch bán độc lập được mỗi ví sử dụng để thoát. Điều này cho phép chúng tôi phân biệt ví chọn thanh lý nhanh hay bán dần và kiểm tra mối tương quan giữa tốc độ thoát và lợi nhuận.
Tập trung vào các mối đe dọa rõ ràng nhất
Đầu tiên, chúng tôi đo lường quy mô của việc cắt giảm cùng khối trong đợt phát hành pump.fun và kết quả thật đáng kinh ngạc: hơn 50% mã thông báo đã bị cắt giảm trong khối tạo — việc cắt giảm cùng khối đã chuyển từ trường hợp ngoại lệ sang mô hình phát hành chủ đạo.
Trên Solana, việc tham gia cùng một khối thường yêu cầu: giao dịch được ký trước; phối hợp ngoài chuỗi; hoặc người triển khai và người mua chia sẻ cơ sở hạ tầng.
Không phải mọi hành vi bắn tỉa cùng khối đều có ác ý như nhau và có ít nhất hai loại tác nhân: bot gieo lưới — thử nghiệm các phương pháp tiếp cận hoặc đầu cơ quy mô nhỏ; và những người trong cuộc được phối hợp — bao gồm những người triển khai tự tài trợ cho người mua của họ.
Để giảm các kết quả dương tính giả và làm nổi bật hành vi phối hợp thực sự, chúng tôi đã thêm bộ lọc nghiêm ngặt vào chỉ báo cuối cùng: chỉ tính các giao dịch bắn tỉa với các giao dịch SOL trực tiếp giữa người triển khai và ví bắn tỉa trước khi khởi chạy. Điều này cho phép chúng tôi tự tin khóa: các ví do người triển khai trực tiếp kiểm soát; các ví hoạt động theo lệnh của người triển khai; các ví có kênh nội bộ.
Nghiên cứu tình huống 1: Tài trợ trực tiếp
Ví triển khai 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE đã gửi tổng cộng 1,2 SOL đến 3 ví khác nhau, sau đó triển khai một mã thông báo có tên là SOL > BNB. 3 ví được tài trợ đã mua các mã thông báo trong cùng một khối mà chúng được tạo ra, trước khi chúng được thị trường rộng lớn hơn nhìn thấy. Sau đó, họ nhanh chóng bán lợi nhuận của mình, thực hiện một lệnh thoát nhanh được phối hợp. Đây là một ví dụ điển hình về việc khai thác mã thông báo thông qua các ví sniping được tài trợ trước và được phương pháp chuỗi tài trợ của chúng tôi nắm bắt trực tiếp. Mặc dù kỹ thuật này đơn giản, nhưng nó được thực hiện ở quy mô lớn trên hàng nghìn lần phát hành.
Nghiên cứu tình huống 2: Tài trợ đa chặng
Ví GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA được liên kết với nhiều token sniping. Thực thể này không trực tiếp bơm tiền vào ví sniping mà thay vào đó chuyển SOL qua 5-7 lớp ví trung chuyển đến ví sniping cuối cùng, do đó hoàn tất sniping trong cùng một khối.
Các phương pháp hiện tại của chúng tôi chỉ phát hiện một số giao dịch ban đầu của bên triển khai, nhưng không thể nắm bắt toàn bộ chuỗi ví bắn tỉa cuối cùng. Các ví chuyển tiếp này thường là sử dụng một lần và chỉ được sử dụng để chuyển SOL, khiến chúng khó liên kết thông qua các truy vấn đơn giản. Khoảng cách này không phải là lỗi thiết kế, mà là sự đánh đổi trong tài nguyên máy tính - việc theo dõi các đường dẫn quỹ nhiều bước nhảy trong dữ liệu quy mô lớn là khả thi, nhưng chi phí rất lớn. Do đó, việc triển khai hiện tại ưu tiên các liên kết trực tiếp, có độ tin cậy cao để duy trì tính rõ ràng và khả năng tái tạo.
Chúng tôi đã sử dụng công cụ trực quan hóa của Arkham để hiển thị chuỗi tiền dài hơn này, hiển thị đồ họa cách tiền chảy từ ví ban đầu đến ví shell và cuối cùng đến ví của người triển khai. Điều này làm nổi bật sự phức tạp của việc che giấu nguồn tiền và cũng chỉ ra cách cải thiện các phương pháp phát hiện trong tương lai.
Tại sao lại tập trung vào “ví tiền trực tiếp tài trợ và cắt xén trên cùng một khối”
Trong phần còn lại của bài viết này, chúng tôi chỉ nghiên cứu các ví tiền trực tiếp nhận tiền từ người triển khai trước khi hoạt động và bị cắt trong cùng một khối. Lý do như sau: chúng đóng góp lợi nhuận đáng kể; chúng có ít phương pháp che giấu nhất; chúng đại diện cho tập hợp con độc hại hoạt động nhiều nhất; và việc nghiên cứu chúng cung cấp khuôn khổ heuristic rõ ràng nhất để phát hiện và giảm thiểu các chiến lược trích xuất tiên tiến hơn.
Phát hiện
Tập trung vào tập hợp con của “same-block sniping + chuỗi tài trợ trực tiếp”, chúng tôi tiết lộ một hành vi phối hợp trên chuỗi rộng rãi, có cấu trúc và có lợi nhuận cao. Dữ liệu sau đây bao gồm ngày 15 tháng 3 cho đến nay:
1. Việc bắn tỉa cùng một khối và được tài trợ bởi người triển khai là rất phổ biến và có hệ thống
a. Trong tháng qua, đã xác nhận rằng hơn 15.000 token đã được các ví được tài trợ trực tiếp lấy đi tại khối ra mắt;
b. Liên quan đến hơn 4.600 ví bắn tỉa và hơn 10.400 người triển khai;
c. Chiếm khoảng 1,75% tổng lượng phát hành của pump.fun.
2. Hành vi này có lợi nhuận trên quy mô lớn
a. Trực tiếp lấy tiền từ ví sniper và đạt được lợi nhuận ròng > 15.000 SOL;
b. Tỷ lệ thành công của việc bắn tỉa là 87% và rất ít giao dịch thất bại;
c. Thu nhập điển hình của một ví là 1-100 SOL, và một số ít vượt quá 500 SOL.
3. Triển khai và bắn tỉa lặp đi lặp lại vào các mạng lưới trang trại mục tiêu
a. Nhiều đơn vị triển khai sử dụng ví mới để tạo hàng chục đến hàng trăm mã thông báo theo từng đợt;
b. Một số ví bắn tỉa thực hiện hàng trăm lần bắn tỉa mỗi ngày;
c. Có thể quan sát thấy cấu trúc “trục và nan hoa”: một ví cấp tiền cho nhiều ví cắt, tất cả đều cắt cùng một mã thông báo.
4. Sniping trình bày một mô hình thời gian lấy con người làm trung tâm
a. Hoạt động đạt đỉnh điểm từ UTC 14:00 – 23:00; gần như dừng lại từ UTC 00:00 – 08:00;
b. Phù hợp với giờ làm việc của Hoa Kỳ, nghĩa là nó được kích hoạt theo thời gian thủ công/cron, thay vì hoàn toàn tự động 24 giờ một ngày trên toàn thế giới.
5. Ví một lần và giao dịch đa chữ ký gây nhầm lẫn về quyền sở hữu
a. Người triển khai bơm tiền vào nhiều ví cùng lúc và ký cùng một giao dịch để đánh cắp;
b. Những ví bị đốt này sẽ không còn ký bất kỳ giao dịch nào nữa;
c. Người triển khai chia giao dịch mua ban đầu thành 2-4 ví để che giấu nhu cầu thực sự.
Hành vi thoát
Để hiểu sâu hơn về cách các ví này thoát ra, chúng tôi chia dữ liệu thành hai chiều hành vi:
1. Thời điểm thoát — thời gian từ lần mua đầu tiên đến lần bán cuối cùng;
2. Số lượng hoán đổi — Số lượng giao dịch bán riêng biệt được sử dụng để thoát.
Kết luận dữ liệu
1. Tốc độ thoát
a. 55% lính bắn tỉa đã được bán hết trong vòng 1 phút;
b. 85% vị trí được xóa trong vòng 5 phút;
c. 11% hoàn thành trong vòng 15 giây.
2. Số lượng bán hàng
a. Hơn 90% ví sniper thoát ra chỉ với 1-2 lệnh bán;
b. Bán dần dần ít khi được sử dụng.
3. Xu hướng lợi nhuận
a. Những ví có lợi nhuận cao nhất là những ví rút tiền trong vòng < 1 phút, tiếp theo là những ví rút tiền trong vòng < 5 phút;
b. Mặc dù lợi nhuận trung bình từ việc nắm giữ lâu hơn hoặc bán nhiều lần cao hơn một chút, nhưng con số này cực kỳ nhỏ và đóng góp vào tổng lợi nhuận là có hạn.
giải thích
Các mô hình này cho thấy rằng hoạt động khai thác do bên triển khai tài trợ không phải là hoạt động giao dịch mà là chiến lược khai thác tự động, ít rủi ro:
· Mua trước → bán nhanh → thoát hoàn toàn.
Bán một lần có nghĩa là không quan tâm đến biến động giá, chỉ cần tận dụng cơ hội để bán tháo.
Một số chiến lược thoát hiểm phức tạp hơn là ngoại lệ, không phải là xu hướng chính.
Thông tin chi tiết có thể hành động
Các khuyến nghị sau đây nhằm giúp các nhóm giao thức, nhà phát triển giao diện người dùng và nhà nghiên cứu xác định và phản hồi các mô hình phát hành mã thông báo khai thác hoặc cộng tác bằng cách chuyển đổi các hành vi quan sát được thành phương pháp tiếp cận, bộ lọc và cảnh báo để tăng tính minh bạch cho người dùng và giảm rủi ro.
kết luận
Báo cáo này tiết lộ một chiến lược trích xuất phát hành token Solana bền bỉ, có cấu trúc và có lợi nhuận cao: khai thác cùng một khối do bên triển khai tài trợ. Bằng cách theo dõi các giao dịch SOL trực tiếp từ bên triển khai đến ví khai thác, chúng tôi xác định một nhóm các hành vi theo kiểu nội gián khai thác kiến trúc thông lượng cao của Solana để khai thác phối hợp.
Mặc dù phương pháp này chỉ nắm bắt được một phần của việc bắn tỉa cùng một khối, nhưng quy mô và mô hình của nó cho thấy đây không phải là sự đầu cơ phân tán, mà là một nhà điều hành có vị trí đặc quyền, một hệ thống có thể lặp lại và ý định rõ ràng. Tầm quan trọng của chiến lược này được phản ánh trong:
1. Làm sai lệch các tín hiệu ban đầu của thị trường để làm cho một mã thông báo có vẻ hấp dẫn hơn hoặc cạnh tranh hơn;
2. Gây nguy hiểm cho các nhà đầu tư bán lẻ — họ trở thành nguồn thanh khoản thoát ra mà không hề hay biết;
3. Làm suy yếu lòng tin vào việc phát hành mã thông báo mở, đặc biệt là trên các nền tảng như pump.fun chú trọng vào tốc độ và tính dễ sử dụng.
Để giảm thiểu vấn đề này, không chỉ cần các biện pháp phòng thủ thụ động, mà còn cần các phương pháp tìm kiếm tốt hơn, cảnh báo sớm, các rào cản ở cấp độ giao thức và các nỗ lực liên tục để lập bản đồ và giám sát hành vi hợp tác. Các công cụ phát hiện hiện có — câu hỏi đặt ra là liệu hệ sinh thái có thực sự sẵn sàng áp dụng chúng hay không.
Báo cáo này thực hiện bước đầu tiên: cung cấp bộ lọc đáng tin cậy, có thể tái tạo để nhắm mục tiêu vào các hành vi phối hợp rõ ràng nhất. Nhưng đây chỉ là khởi đầu. Thách thức thực sự nằm ở việc phát hiện các chiến lược đang phát triển, bị che giấu cao độ và xây dựng một nền văn hóa trên chuỗi thưởng cho tính minh bạch thay vì trích xuất.
