作者：PineAnalytics

编译：GaryMa吴说区块链

摘要

本报告调查了Solana上一种普遍且高度协同的meme代币刷农（farming）模式：代币部署者向“狙击钱包（sniperwallets）”转入SOL，使这些钱包能够在代币上线的同一区块内买入该代币。通过聚焦部署者与狙击者之间清晰、可证明的资金链，我们锁定了一组高置信度的抽取式行为。

我们的分析显示，这种策略既不是偶发现象，也不是边缘行为 — —仅在过去一个月内，就通过这种方式从15,000多次代币发行中提取了超过15,000SOL的已实现利润，涉及4,600多个狙击钱包和10,400多个部署者。这些钱包表现出异常高的成功率（87%的狙击获利）、干净利落的退出方式以及结构化的操作模式。

关键发现：

部署者资助的狙击具备系统性、盈利性且通常自动化，狙击活动在美国工作时间内最为集中。多钱包刷农结构十分常见，经常使用临时钱包与协同退出来模拟真实需求。混淆手段不断升级，例如多跳资金链和多签名狙击交易，以逃避检测。虽有局限，我们的一跳资金过滤器仍能抓取最清晰、可重复的大规模“内部人”行为案例。本报告提出了一套可操作的启发式方法，帮助协议团队和前端实时识别、标记并应对此类活动 — —包括追踪早期持仓集中度、给部署者关联钱包打标签，并在高风险发行中向用户发出前端警告。

尽管我们的分析仅覆盖了同区块狙击行为的一个子集，但其规模、结构和盈利性表明：Solana代币发行正受到协同网络的积极操控，而现有防御措施远远不足。

方法论

本分析以一个明确目标为起点：识别Solana上表明协同meme代币刷农的行为，尤其是部署者在代币上线同区块为狙击钱包提供资金的情况。我们将问题分为以下阶段：

1.筛选同区块狙击

我们首先筛选在部署后同一区块即被狙击的钱包。由于：Solana没有全局mempool；要在代币出现在公共前端之前知晓其地址；以及部署与首次DEX交互之间的时间极短。这种行为几乎不可能是自然发生，因此“同区块狙击”成为识别潜在串通或特权活动的高置信度过滤器。

2.识别与部署者关联的钱包

为区分技术高超的狙击者与协同“内部人”，我们追踪了代币上线前部署者与狙击者之间的SOL转账，仅标记满足以下条件的钱包：直接从部署者接收SOL；直接向部署者发送SOL。只有在上线前存在直接转账的钱包才被纳入最终数据集。

3.将狙击与代币利润关联

针对每个狙击钱包，我们映射其在被狙击代币上的交易活动，具体计算：买入该代币花费的SOL总额；在DEX卖出所得的SOL总额；已实现净利润（而非名义收益）。这样可精确归因每次狙击从部署者处抽取的利润。

4.衡量规模与钱包行为

我们从多个维度分析此类活动的规模：独立部署者与狙击钱包数量；确认的协同同区块狙击次数；狙击利润分布；部署者每人发行的代币数量；狙击钱包跨代币复用情况。

5.机器活动痕迹

为了解这些操作如何进行，我们按UTC小时对狙击活动分组。结果显示：活动集中在特定时间窗口；在UTC深夜时段显著下降；这表明与其说是全球化、持续的自动化，不如说是与美国对齐的cron任务或人工执行窗口。

6.退出行为分析

最后，我们研究部署者关联钱包在卖出被狙击代币时的行为：测量首笔买入到最终卖出之间的时间（持仓时长）；统计每个钱包退出所用的独立卖出交易数量。由此分辨钱包是选择快速清仓还是渐进式抛售，并考察退出速度与盈利性的关联。

聚焦最清晰的威胁

我们首先衡量了pump.fun发行中同区块狙击的规模，结果令人震惊：超过50%的代币在创建区块就被狙击 — —同区块狙击已从边缘案例变成主导发行模式。

在Solana上，同区块参与通常需要：预签交易；链下协调；或部署者与买家共用基础设施。

并非所有同区块狙击都同样恶意，至少存在两类角色：“撒网试运气”机器人 — —测试启发式或小额投机；协同内部人 — —包括部署者为自己的买家提供资金。

为减少误报并突出真正的协同行为，我们在最终指标中加入了严格过滤：仅统计上线前部署者与狙击钱包间存在直接SOL转账的狙击。这使我们能自信地锁定：由部署者直接控制的钱包；在部署者指挥下行事的钱包；拥有内部渠道的钱包。

案例研究1：直接资助

部署者钱包8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE向3个不同钱包共计发送1.2SOL，然后部署名为SOL>BNB的代币。3个获资钱包在代币创建的同一区块内即完成抢购，抢在更广泛市场可见之前。随后，它们快速卖出获利，执行了协调一致的闪电退出。这是通过预资狙击钱包刷农代币的教科书式示例，被我们的资金链方法直接捕获。尽管手法简单，却在数千次发行中大规模上演。

案例研究2：多跳资助

钱包GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA与多次代币狙击相关。该实体并未直接为狙击钱包注资，而是将SOL通过5–7层中转钱包再到最终狙击钱包，从而在同区块完成狙击。

我们的现有方法只检测到部署者的一些初步转账，却未能抓全向最终狙击钱包的整条链。这些中继钱包通常“一次性使用”，仅用于传递SOL，使其难以通过简单查询关联。此缺口并非设计缺陷，而是出于计算资源权衡 — —在大规模数据中追踪多跳资金路径虽然可行，但开销巨大。因此当前实现优先选择高置信度、直连链路以保持清晰与可复现性。

我们借助Arkham的可视化工具展示了这条更长的资金链，图形化呈现了资金如何从初始钱包经壳钱包一路流向最终部署者钱包。这突出显示了资金来源混淆的复杂程度，也为未来完善检测方法指明了方向。

为什么聚焦“直接资助且同区块狙击的钱包”

在本文余下部分，我们仅研究上线前直接获得部署者资金、并在同一区块内狙击的狙击钱包。原因如下：它们贡献了可观利润；混淆手段最少；代表最具操作性的恶意子集；研究它们能为侦测并缓解更高级的抽取策略提供最清晰的启发式框架。

发现

聚焦于“同区块狙击+直接资金链”这一子集，我们揭示了一种广泛、结构化且高度盈利的链上协同行为。以下全部数据涵盖3月15日至今：

1.同区块且部署者资助的狙击十分常见且系统化

a.过去一个月确认15,000+个代币在上线区块即被直接获资钱包狙击；

b.涉及4,600+个狙击钱包、10,400+名部署者；

c.占pump.fun发行量约1.75%。

2.该行为大规模盈利

a.直接获资狙击钱包已实现净利润>15,000SOL；

b.狙击成功率87%，失败交易极少；

c.单钱包典型收益1–100SOL，少数超500SOL。

3.重复部署与狙击指向刷农网络

a.许多部署者使用新钱包批量创建数十到数百代币；

b.某些狙击钱包在一天内执行数百次狙击；

c.观察到“中心-辐射”结构：一个钱包为多个狙击钱包注资，所有狙击同一代币。

4.狙击呈现以人为中心的时间模式

a.活跃高峰在UTC14:00–23:00；UTC00:00–08:00几乎停摆；

b.与美国工作时间契合，说明为人工/cron定时触发，而非全球24小时全自动。

5.一次性钱包与多签交易混淆所有权

a.部署者为数个钱包同时注资并在同一交易里签名狙击；

b.这些烧钱包此后不再签任何交易；

c.部署者把初始买入拆到2–4个钱包，伪装真实需求。

退出行为

为深入了解这些钱包如何退出，我们按两大行为维度拆解数据：

1.退出速度（ExitTiming） — —从首买到最终卖出的时间；

2.卖出笔数（SwapCount） — —退出所用独立卖出交易数量。

数据结论

1.退出速度

a.55%的狙击在1分钟内全部卖完；

b.85%在5分钟内清仓；

c.11%在15秒内完成。

2.卖出笔数

a.超过90%的狙击钱包只用1–2笔卖单退出；

b.极少采用渐进式抛售。

3.盈利趋势

a.最赚钱的是