Resumo Executivo

Este relatório investiga um padrão generalizado e coordenado de cultivo de memecoin na Solana, onde os criadores de tokens financiam carteiras de atiradores que compram seus tokens no mesmo bloco em que o token é lançado. Isolamos um subconjunto de comportamento extrativo de alta confiança, concentrando-nos em links de financiamento claros e comprováveis entre os criadores e os atiradores.

Nossa análise revela que essa tática não é rara ou de nicho - somente no último mês, mais de 15.000 SOL de lucro realizado foram extraídos por meio desse método, em mais de 15.000 lançamentos envolvendo 4.600+ carteiras de sniper e 10.400+ implantadores. Essas carteiras demonstram taxas de sucesso excepcionalmente altas (87% dos snipes foram lucrativos), saídas limpas e padrões operacionais estruturados.

Principais descobertas incluem:

• O sniping financiado pelo implantador é sistemático, lucrativo e muitas vezes automatizado, com a atividade de sniping agrupada durante o horário comercial dos EUA.
• Estruturas de fazenda de várias carteiras são comuns, muitas vezes usando carteiras temporárias e saídas coordenadas para simular a demanda real.
• Táticas de obfuscação, como cadeias de financiamento de vários saltos e transações de sniping de vários signatários, são cada vez mais usadas para evitar detecção.
• Apesar de suas limitações, nosso filtro de financiamento de um salto traz à tona os exemplos mais claros e repetíveis de atividade no estilo insider em grande escala.

Este relatório também propõe um conjunto de heurísticas acionáveis que podem ajudar as equipes de protocolo e interfaces a identificar, sinalizar e responder a essa classe de atividade em tempo real — incluindo o rastreamento da concentração inicial de detentores, rotulando carteiras vinculadas ao implementador e emitindo avisos de interface para lançamentos de alto risco.

Embora nossa análise capture apenas um subconjunto de todo o comportamento de sniping no mesmo bloco, a escala, estrutura e lucratividade desses padrões sugerem que os lançamentos de tokens na Solana estão sendo ativamente manipulados por redes de atores coordenados - e as defesas atuais são insuficientes.

Metodologia

Esta análise começou com um objetivo focado: identificar carteiras e comportamentos indicativos de agricultura coordenada de memecoin na Solana — particularmente casos em que os criadores de tokens financiam carteiras de sniping no mesmo bloco em que o token é lançado.

Dividimos o problema em várias etapas:

1. Filtragem para Snipes no Mesmo Bloco

Nós primeiro isolamos tokens que foram sniped no mesmo bloco em que foram implantados. Esse comportamento é extremamente improvável de ser orgânico devido a:

• A falta de um mempool global na Solana
• Consciência necessária do token antes que ele apareça em um frontend público
• Restrições de tempo entre a implementação do token e a primeira interação com a DEX

Mesmos-block snipes foram usados como um filtro de alto sinal para detectar possíveis colusões ou atividades privilegiadas.

2. Identificação de Carteiras Vinculadas ao Implementador

Para distinguir entre atiradores de elite e insiders coordenados, rastreamos transferências de SOL entre os implementadores e atiradores antes de cada lançamento de token. Marcamos carteiras que:

• Recebi SOL diretamente do deployer
• Enviado SOL para o implementador

Apenas carteiras com transferências pré-snipe diretas entre sniper e deployer foram incluídas no conjunto de dados final.

3. Vinculando Snipes ao Lucro do Token

Mapeamos a atividade de negociação de cada carteira de sniper para os tokens que eles sniparam. Especificamente, calculamos:

• Quantidade total de SOL gasta adquirindo o token
• Quantia total de SOL recebida da venda na DEXs
• Lucro realizado líquido, não apenas ganhos nominais

Isso nos permitiu atribuir lucro exato extraído de cada snipe vinculado ao deployer.

4. Escala de Medição e Comportamento da Carteira

Analisamos o escopo desta atividade em vários eixos:

• Número de implementadores exclusivos e carteiras de atirador
• Número total de lances simultâneos colusivos confirmados no mesmo bloco
• Distribuição dos lucros do sniper
• Número de tokens lançados por implementador
• Reutilização de carteiras de atirador em vários tokens

5. Rastreamento da Atividade do Bot

Para entender como essas operações estavam sendo realizadas, agrupamos a atividade de sniping por hora do dia (UTC). Isso revelou padrões fortes de horário do dia:

• Atividade concentrada em janelas de tempo específicas
• Quedas durante as horas da madrugada UTC
• Sugerindo trabalhos cron alinhados com os EUA ou janelas de execução manual, em vez de automação global ou contínua.

6. Análise do Comportamento de Saída

Finalmente, examinamos como as carteiras vinculadas ao implantador saíram de suas posições de token sniped, tanto em termos de duração de retenção quanto de número de negociações usadas para desfazer sua posição.

• Medimos o tempo decorrido entre a primeira compra e a venda final (duração da retenção).
• Contamos o número de transações de venda distintas (trocas) por carteira por token.

Isso nos ajudou a identificar se as carteiras buscavam uma liquidação rápida ou estratégias de venda mais graduais, e em que medida a velocidade de saída estava correlacionada com a lucratividade.

Mirando as Ameaças Mais Claras

Como primeiro passo, medimos a escala de sniping no mesmo bloco em todapump.funlançamentos. O que encontramos foi impressionante: mais de 50% dos tokens são agora sniped no bloco exato em que são criados - antes que pudessem ser razoavelmente descobertos via RPCs públicos ou frontends. O sniping no mesmo bloco não é mais um caso raro; é o padrão de lançamento dominante.

Esse comportamento é inerentemente suspeito. Na Solana, a participação no mesmo bloco geralmente requer:

• Transações pré-assinadas
• Coordenação fora da cadeia
• Ou uma infraestrutura compartilhada entre o implementador e o comprador

Mas é importante observar que nem todo sniper de mesmo bloco é igualmente malicioso. Existem pelo menos duas categorias de agentes:

• Bots de spray-and-pray, provavelmente testando heurísticas ou pulverizando
• Insiders coordenados, incluindo financiadores que financiam seus próprios compradores

Para reduzir falsos positivos e destacar verdadeira coordenação, introduzimos um filtro rigoroso em nossas métricas finais de atividade: Incluímos apenas snipes onde houve uma transferência SOL direta entre o implementador e a carteira de sniping antes do lançamento do token.

Esta abordagem nos permite identificar com confiança carteiras que são:

• Controlado diretamente pelo implementador
• Atuando sob a direção do implantador
• Privilegiado com acesso interno

Estudo de caso 1: Financiamento Direto (Capturado pela Nossa Metodologia)

Neste caso, a carteira do implementador 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE enviou 1,2 SOL entre três carteiras separadas. Você podever a entidade no Arkham aqui. Em seguida, implantou um token chamado SOL>BNB. As três carteiras financiadas sniparam o token no mesmo bloco em que foi criado, garantindo acesso antecipado antes que fosse visível para o mercado mais amplo.

Essas carteiras venderam rapidamente suas alocações para obter lucro, executando saídas rápidas e coordenadas. Este é um exemplo clássico de agricultura de tokens via carteiras de sniper pré-financiadas e foi diretamente capturado pelo nosso método de detecção baseado em financiamento. Apesar de sua simplicidade, este tipo de operação está sendo executado em escala em milhares de lançamentos.

Estudo de Caso 2: Financiamento Multi-Hop (Perdido por Nossa Metodologia)

Neste caso, a carteira GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA foi associada a vários token snipers. Em vez de financiar diretamente carteiras sniper, esta entidade encaminha SOL através de uma série de carteiras intermediárias - frequentemente 5 a 7 saltos de profundidade - antes que a carteira final execute o snipe no mesmo bloco.

Nossa metodologia atual, que se concentra em links de financiamento direto, foi capaz de detectar algumas das transferências iniciais do implantador, mas não capturou toda a cadeia que levou aos snipers finais. Essas carteiras intermediárias geralmente são usadas apenas uma vez, servindo apenas para passar por SOL, tornando-as desafiadoras de vincular através de consultas diretas.

Este padrão não foi ignorado devido a limitações de design, mas foi uma compensação computacional. Rastrear caminhos de financiamento através de vários saltos com restrições temporais é tecnicamente viável, mas intensivo em recursos em escala. Como resultado, nossa implementação atual prioriza links diretos de alta confiança para clareza e reprodutibilidade.

Para visualizar esta cadeia de financiamento maior, utilizamosFerramenta Visualizer do Arkham, que representa graficamente o fluxo de fundos da carteira de financiamento inicial através da cadeia de carteiras shell até a carteira de implantação final. Este auxílio visual destaca os métodos sofisticados empregados para obscurecer a origem dos fundos e destaca áreas para futuros aprimoramentos em nossas metodologias de detecção.

Por que nos concentramos em snipers financiados diretamente no mesmo bloco

Para o restante deste documento, focamos exclusivamente em snipes no mesmo bloco, onde a carteira recebeu financiamento direto do implantador antes do lançamento. Essas carteiras são responsáveis por lucros substanciais, usam mínima ofuscação e representam o subconjunto mais acionável da atividade maliciosa. Estudá-las oferece uma janela clara para as heurísticas necessárias para detectar e mitigar estratégias de extração mais avançadas.

Resultados

Concentrando-se especificamente em snipes do mesmo bloco em que a carteira de sniping tinha um link de transferência SOL direto para o implementador, nossa investigação descobriu um padrão generalizado, estruturado e altamente lucrativo de coordenação on-chain. Embora este filtro capture apenas um subconjunto de toda a atividade de sniping, revela vários padrões-chave deste subconjunto de alta confiança. Todos os dados desta seção refletem a atividade observada entre 15 de março e o presente.

1. Mesmo bloco, sniping financiado pelo desenvolvedor é comum e sistemático

Identificamos mais de 15.000 tokens em que o lançamento foi imediatamente sniped por uma carteira que havia trocado diretamente SOL com o implante antes do lançamento no último mês. Este padrão:

• Envolvidas 4.600+ carteiras de atirador
• Foi executado por mais de 10.400 implementadores únicos

Estes não são incidentes isolados - este comportamento representa cerca de 1,75% da atividade de lançamento empump.fun.

2. Esse Comportamento É Lucrativo em Escala

Carteiras envolvidas em sniping financiado pelo deployer no mesmo bloco extrairam mais de 15.000 SOL em lucro líquido realizado no último mês, com base na atividade de troca na cadeia rastreada. Essas carteiras demonstraram consistentemente altas taxas de sucesso (87% das trocas de tokens de snipes foram lucrativas), execução limpa com transações falhadas minimas, e faixas de lucro tipicamente entre 1-100 SOL por carteira - com alguns valores atípicos excedendo 500 SOL.

3. Repetir Deployers e Snipers Apontam para Redes de Agricultura

• Muitos implementadores criaram dezenas a centenas de tokens usando carteiras novas
• Certas carteiras de franco-atiradores executaram centenas de snipes, muitas vezes em um único dia
• Observamos estruturas de hub-and-spoke, onde uma carteira financiou várias carteiras sniper que agiram todas no mesmo token

Isso sugere a presença de operações de fazenda de várias carteiras construídas para simular a demanda inicial distribuída enquanto retêm o controle centralizado e o lucro.

4. O sniping segue padrões de tempo centrados no ser humano

Uma análise do horário do dia revelou que a atividade de sniping está concentrada entre as 14:00 e as 23:00 UTC, com pouca atividade das 00:00 às 08:00 UTC.

Este padrão:

• Alinha com o horário de trabalho dos EUA
• Sugere que os bots são iniciados manualmente ou cronometrados
• Refirma que esta é uma operação centralizada e deliberada.

5. Carteiras One-Shot e Transações de Múltiplos Signatários Ofuscam a Propriedade (Exemplo do Implementador)

Encontramos inúmeros casos onde:

• Os implantadores financiaram várias carteiras que todas assinaram e deram o lance na mesma transação
• Essas carteiras nunca assinaram outra transação novamente (carteiras descartáveis)
• Os implementadores dividem as compras iniciais de tokens entre 2 a 4 carteiras para simular a demanda real

Esses padrões revelam ocultação deliberada de propriedade, não negociação.

Comportamento de Saída

Baseando-se nos resultados principais em torno do sniping financiado pelo deployer no mesmo bloco, buscamos compreender melhor como essas carteiras realmente encerram suas posições uma vez que os tokens são adquiridos. Embora identificar quem snipa e quando seja crucial, entender por quanto tempo os tokens são mantidos e com que agressividade são vendidos adiciona uma camada mais rica de contexto às mecânicas desta estratégia extrativa.

Para fazer isso, dividimos os dados ao longo de duas dimensões comportamentais:

• Tempo de Saída: A duração entre a primeira compra de token de uma carteira (snipe) e a venda final desse token.
• Contagem de Trocas: O número de transações de venda distintas (trocas) que uma carteira usou para sair da posição.

Juntos, essas métricas nos dão insights tanto sobre o apetite ao risco das carteiras sniper quanto sobre a complexidade de suas estratégias de execução. Essas carteiras estão despejando tudo em uma única transação? Estão programando saídas ao longo do tempo? E como cada abordagem afeta a lucratividade?

O que os dados mostram

Velocidade de saída:

Mais de 55% dos snipes são totalmente saídos em menos de um minuto, e quase 85% são saídos dentro de cinco minutos.

• Uma parte significativa — mais de 11% — é concluída em 15 segundos ou menos.

Simplicidade do Evento de Venda:

Em mais de 90% dos casos, as carteiras de sniper vendem seus tokens em apenas um ou dois eventos de troca.

Muito poucas carteiras usam saídas graduais ou estratégias de venda escalonadas.

• Carteiras com um número maior de trocas geralmente veem lucros marginalmente maiores.

Tendências de Rentabilidade:

O grupo mais lucrativo de longe são as carteiras que saem em menos de um minuto, seguidas pelas que saem em menos de cinco.

• Embora snipes mais longos e ativos - aqueles que envolvem durações de retenção prolongadas ou múltiplos eventos de venda - tendam a mostrar uma lucratividade média mais alta por evento, eles são usados com muito menos frequência. Como resultado, eles contribuem apenas com uma pequena parte do lucro total extraído.

Como Interpretamos Isso

Esses padrões apontam para uma estratégia altamente automatizada e extrativa. A maioria das carteiras vinculadas ao implementador não está se comportando como traders ou mesmo participantes especulativos. Em vez disso, elas se comportam como bots de execução:

• Entrar primeiro.
• Venda rápido.
• Sair completamente.

O fato de que a maioria das saídas acontece em uma única transação sugere um mínimo de intenção de se envolver com a ação de preço ou dinâmicas de mercado. Essas carteiras não estão testando máximas, fazendo médias ou se adaptando à volatilidade - elas estão antecipando a demanda e despejando nela o mais rapidamente possível.

Embora alguns carteiras mostrem um comportamento de saída mais complexo - usando várias vendas ou períodos de retenção mais longos - seus retornos são apenas ligeiramente melhores e representam uma parcela muito pequena da atividade. Estes são as exceções, não o modelo.

Por fim, os dados pintam um quadro claro: o sniping financiado pelo deployer não se trata de negociação, mas sim de extração automatizada e de baixo risco. Quanto mais rápido for a saída, maior será a taxa de sucesso. Esse comportamento de saída reforça a ideia de que o sniping no mesmo bloco não é apenas oportunista; é arquitetado para velocidade, precisão e lucro.

Percepções Acionáveis

As seguintes recomendações foram elaboradas para ajudar equipes de protocolo, construtores de frontend e pesquisadores a identificar e responder a padrões de lançamentos de tokens extrativos ou coordenados. Ao traduzir comportamentos observados em heurísticas, filtros e avisos, essas percepções podem reduzir o risco e melhorar a transparência para os usuários finais.

Exibir Comportamento Inicial da Curva de Ligação

A maioria dos painéis de tokens se concentra na concentração atual de detentores, mas alguns dos sinais de risco mais claros surgem nos primeiros 20-50 blocos de negociação. Quando um pequeno número de carteiras compra a maior parte do suprimento no início, sai rapidamente e ainda detém uma participação dominante, isso aponta para um lançamento estruturalmente extrativo. Em vez de sinalizar tokens diretamente, os front-ends devem apresentar métricas da fase inicial que ajudem os traders a construir intuição: SOL total comprado nos primeiros 10 blocos, Jito e taxas de prioridade pagas para licitar, porcentagem do volume por x principais carteiras e o saldo atual desses primeiros snipers. Ao destacar a clusterização da base de custos, comportamento comprimido do livro de ordens e padrões de saída, sem a necessidade de atribuição, essas heurísticas nos front-ends de aplicativos permitem que os usuários identifiquem quando algo está errado antes de se tornar uma liquidez de saída.

Marcação de Risco Baseada no Comportamento da Carteira e Estrutura de Lançamento

Os front-ends devem adotar um sistema de rotulagem de risco escalonado que reflita tanto o comportamento anterior da carteira quanto a dinâmica suspeita de lançamento, ajudando os usuários a evitar a liquidez de saída.

Sinais de Risco Difícil para Reincidentes

Carteiras com histórico de sniping no mesmo bloco, especialmente quando vinculadas a implementadores por meio de fluxos de financiamento diretos ou multi-hop, devem carregar um marcador persistente de alto risco. Se essas carteiras interagirem com um novo token, o frontend deve exibir um aviso forte que seja difícil de ignorar (por exemplo, confirmação modal, desativado por padrão). Estas são carteiras que repetidamente extrairam valor de usuários em múltiplos lançamentos e não devem ser tratadas como participantes limpos.

Avisos suaves para indicadores vermelhos estruturais

Tokens que exibem sniping no primeiro bloco, alta concentração de holders iniciais ou comportamento comprimido no livro de pedidos inicial (por exemplo, 50% do volume nos primeiros 10 blocos, os 3 principais wallets detêm 80% do fornecimento) devem receber um rótulo de advertência leve e passível de ser visualizado. Os usuários podem passar o mouse para ver as heurísticas específicas acionadas (por exemplo, "snipado no mesmo bloco", "principal wallet saiu em menos de 30s", "compras iniciais de wallets financiados repetidamente"), fornecendo-lhes contexto antes de tomar uma decisão.

Esse sistema não tenta provar intenção maliciosa - ele sinaliza comportamento extrativista repetido

e lançar padrões com óptica de equidade ruim, tornando mais fácil para os usuários comuns identificar configurações ruins sem precisar ler o contrato ou rastrear os fluxos de financiamento por conta própria.

Além da Clusterização Estática

A rotulagem estática de carteiras não é suficiente. Assim que as heurísticas se tornam públicas, os agentes maliciosos se adaptam - girando carteiras, imitando comportamentos de varejo e fabricando sinais de legitimidade. Para manter a eficácia, os sistemas de detecção devem avançar em direção a estruturas de marcação adaptativas que se atualizem continuamente à medida que os padrões dos atacantes mudam.

Em vez de rótulos codificados, as carteiras devem receber pontuações de confiança comportamental que reflitam padrões ao longo do tempo: idade da carteira, atividade entre aplicativos, comportamento de venda anterior, duração da retenção e agrupamento com extratores conhecidos. Essas pontuações devem favorecer as carteiras que incorrem em custos reais para parecer confiáveis—capital, tempo ou profundidade de uso—enquanto penalizam as carteiras que exibem comportamentos extrativos de baixo esforço e alta frequência.

Ao tornar o caminho para a participação "limpa" mais cara e rastreável, as plataformas podem reduzir a viabilidade do spam em grande escala, mesmo sem atribuição perfeita.

Conclusão

As descobertas deste relatório destacam uma tática persistente, estruturada e lucrativa usada em lançamentos de tokens Solana: sniping financiado pelo implementador no mesmo bloco. Ao rastrear transferências diretas de SOL dos implementadores para os snipers, isolamos um subconjunto claro de comportamentos no estilo insider que exploram a arquitetura de alta taxa de transferência da Solana para extração coordenada.

Embora nossa metodologia capture apenas uma parte da atividade total de sniping no mesmo bloco, as carteiras e padrões que ela revela deixam poucas dúvidas - estes não são traders oportunistas; são operadores com posicionamento privilegiado, sistemas repetíveis e clara intenção. A escala e frequência dessa atividade mostram que a agricultura coordenada de memecoin não é uma tática de nicho - é um playbook normalizado, executado milhares de vezes por semana.

Isso importa por três razões:

• Isso distorce os sinais iniciais do mercado, fazendo com que os tokens pareçam mais desejáveis ou competitivos do que realmente são.
• Isso coloca em perigo os participantes varejistas, que servem inconscientemente como liquidez de saída para atores pré-financiados.
• Isso mina a confiança nos lançamentos abertos de tokens, especialmente em plataformas comopump.funque são otimizados para velocidade e acessibilidade.

Mitigar esse comportamento exigirá mais do que defesas reativas. Exige melhores heurísticas, avisos de frontend, salvaguardas em nível de protocolo e esforços contínuos para mapear e monitorar atores coordenados. As ferramentas de detecção existem — a questão é se o ecossistema opta por aplicá-las.

Este relatório oferece um primeiro passo: um filtro confiável e reprodutível que isola os casos mais evidentes de coordenação. Mas é apenas o começo. O verdadeiro desafio está em detectar estratégias obfuscadas e em evolução — e construir uma cultura on-chain que recompense a transparência sobre a extração.

Aviso Legal:

1. Este artigo é reproduzido a partir de [Análise Pine]. Todos os direitos autorais pertencem ao autor original [Análise Pine]. Se houver objeções a esta reimpressão, entre em contato com o Gate Aprenderequipe, e eles vão lidar com isso prontamente.
2. Aviso de responsabilidade: As visões e opiniões expressas neste artigo são exclusivamente do autor e não constituem nenhum conselho de investimento.
3. A equipe Gate Learn faz traduções do artigo para outros idiomas. Copiar, distribuir ou plagiar os artigos traduzidos é proibido, a menos que mencionado.