退出流动性机器：揭秘Pumpfun代币发行的内部狙击套利

原文作者：Pine Analytics

原文编译：GaryMa 吴说区块链

本报告调查了 Solana 上一种普遍且高度协同的 meme 代币刷农（farming）模式：代币部署者向 “狙击钱包（sniper wallets）” 转入 SOL，使这些钱包能够在代币上线的同一区块内买入该代币。通过聚焦部署者与狙击者之间清晰、可证明的资金链，我们锁定了一组高置信度的抽取式行为。

我们的分析显示，这种策略既不是偶发现象，也不是边缘行为 — — 仅在过去一个月内，就通过这种方式从 15, 000 多次代币发行中提取了超过 15, 000 SOL 的已实现利润，涉及 4, 600 多个狙击钱包和 10, 400 多个部署者。这些钱包表现出异常高的成功率（87% 的狙击获利）、干净利落的退出方式以及结构化的操作模式。

关键发现：

· 部署者资助的狙击具备系统性、盈利性且通常自动化，狙击活动在美国工作时间内最为集中。

· 多钱包刷农结构十分常见，经常使用临时钱包与协同退出来模拟真实需求。

· 混淆手段不断升级，例如多跳资金链和多签名狙击交易，以逃避检测。

· 虽有局限，我们的一跳资金过滤器仍能抓取最清晰、可重复的大规模“内部人”行为案例。

· 本报告提出了一套可操作的启发式方法，帮助协议团队和前端实时识别、标记并应对此类活动 — — 包括追踪早期持仓集中度、给部署者关联钱包打标签，并在高风险发行中向用户发出前端警告。

尽管我们的分析仅覆盖了同区块狙击行为的一个子集，但其规模、结构和盈利性表明：Solana 代币发行正受到协同网络的积极操控，而现有防御措施远远不足。

本分析以一个明确目标为起点：识别 Solana 上表明协同 meme 代币刷农的行为，尤其是部署者在代币上线同区块为狙击钱包提供资金的情况。我们将问题分为以下阶段：

我们首先筛选在部署后同一区块即被狙击的钱包。由于：Solana 没有全局 mempool；要在代币出现在公共前端之前知晓其地址；以及部署与首次 DEX 交互之间的时间极短。这种行为几乎不可能是自然发生，因此“同区块狙击”成为识别潜在串通或特权活动的高置信度过滤器。

为区分技术高超的狙击者与协同“内部人”，我们追踪了代币上线前部署者与狙击者之间的 SOL 转账，仅标记满足以下条件的钱包：直接从部署者接收 SOL；直接向部署者发送 SOL。只有在上线前存在直接转账的钱包才被纳入最终数据集。

针对每个狙击钱包，我们映射其在被狙击代币上的交易活动，具体计算：买入该代币花费的 SOL 总额；在 DEX 卖出所得的 SOL 总额；已实现净利润（而非名义收益）。这样可精确归因每次狙击从部署者处抽取的利润。

我们从多个维度分析此类活动的规模：独立部署者与狙击钱包数量；确认的协同同区块狙击次数；狙击利润分布；部署者每人发行的代币数量；狙击钱包跨代币复用情况。

为了解这些操作如何进行，我们按 UTC 小时对狙击活动分组。结果显示：活动集中在特定时间窗口；在 UTC 深夜时段显著下降；这表明与其说是全球化、持续的自动化，不如说是与美国对齐的 cron 任务或人工执行窗口。

最后，我们研究部署者关联钱包在卖出被狙击代币时的行为：测量首笔买入到最终卖出之间的时间（持仓时长）；统计每个钱包退出所用的独立卖出交易数量。由此分辨钱包是选择快速清仓还是渐进式抛售，并考察退出速度与盈利性的关联。

我们首先衡量了 pump.fun 发行中同区块狙击的规模，结果令人震惊：超过 50 % 的代币在创建区块就被狙击 — — 同区块狙击已从边缘案例变成主导发行模式。

在 Solana 上，同区块参与通常需要：预签交易；链下协调；或部署者与买家共用基础设施。

并非所有同区块狙击都同样恶意，至少存在两类角色：“撒网试运气”机器人 — — 测试启发式或小额投机；协同内部人 — — 包括部署者为自己的买家提供资金。

为减少误报并突出真正的协同行为，我们在最终指标中加入了严格过滤：仅统计上线前部署者与狙击钱包间存在直接 SOL 转账的狙击。这使我们能自信地锁定：由部署者直接控制的钱包；在部署者指挥下行事的钱包；拥有内部渠道的钱包。

部署者钱包 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE 向 3 个不同钱包共计发送 1.2 SOL，然后部署名为 SOL > BNB 的代币。3 个获资钱包在代币创建的同一区块内即完成抢购，抢在更广泛市场可见之前。随后，它们快速卖出获利，执行了协调一致的闪电退出。这是通过预资狙击钱包刷农代币的教科书式示例，被我们的资金链方法直接捕获。尽管手法简单，却在数千次发行中大规模上演。

钱包 GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA 与多次代币狙击相关。该实体并未直接为狙击钱包注资，而是将 SOL 通过 5 – 7 层中转钱包再到最终狙击钱包，从而在同区块完成狙击。

我们的现有方法只检测到部署者的一些初步转账，却未能抓全向最终狙击钱包的整条链。这些中继钱包通常“一次性使用”，仅用于传递 SOL，使其难以通过简单查询关联。此缺口并非设计缺陷，而是出于计算资源权衡 — — 在大规模数据中追踪多跳资金路径虽然可行，但开销巨大。因此当前实现优先选择高置信度、直连链路以保持清晰与可复现性。

我们借助 Arkham 的可视化工具展示了这条更长的资金链，图形化呈现了资金如何从初始钱包经壳钱包一路流向最终部署者钱包。这突出显示了资金来源混淆的复杂程度，也为未来完善检测方法指明了方向。

为什么聚焦“直接资助且同区块狙击的钱包”

在本文余下部分，我们仅研究上线前直接获得部署者资金、并在同一区块内狙击的狙击钱包。原因如下：它们贡献了可观利润；混淆手段最少；代表最具操作性的恶意子集；研究它们能为侦测并缓解更高级的抽取策略提供最清晰的启发式框架。

聚焦于“同区块狙击 直接资金链”这一子集，我们揭示了一种广泛、结构化且高度盈利的链上协同行为。以下全部数据涵盖 3 月 15 日至今：

a. 过去一个月确认 15, 000 个代币在上线区块即被直接获资钱包狙击；

b. 涉及 4, 600 个狙击钱包、 10, 400 名部署者；

c. 占 pump.fun 发行量约 1.75 %。

a. 直接获资狙击钱包已实现净利润 > 15, 000 SOL；

b. 狙击成功率 87 %，失败交易极少；

c. 单钱包典型收益 1 – 100 SOL，少数超 500 SOL。

a. 许多部署者使用新钱包批量创建数十到数百代币；

b. 某些狙击钱包在一天内执行数百次狙击；

c. 观察到“中心-辐射”结构：一个钱包为多个狙击钱包注资，所有狙击同一代币。

a. 活跃高峰在 UTC 14: 00 – 23: 00 ；UTC 00: 00 – 08: 00 几乎停摆；

b. 与美国工作时间契合，说明为人工/cron 定时触发，而非全球 24 小时全自动。

a. 部署者为数个钱包同时注资并在同一交易里签名狙击；

b. 这些烧钱包此后不再签任何交易；

c. 部署者把初始买入拆到 2 – 4 个钱包，伪装真实需求。

为深入了解这些钱包如何退出，我们按两大行为维度拆解数据：

1. 退出速度（Exit Timing） — — 从首买到最终卖出的时间；

2. 卖出笔数（Swap Count） — — 退出所用独立卖出交易数量。

1. 退出速度

a. 55 % 的狙击在 1 分钟内全部卖完；

b. 85 % 在 5 分钟内清仓；

c. 11 % 在 15 秒内完成。

2. 卖出笔数

a. 超过 90 % 的狙击钱包只用 1 – 2 笔卖单退出；

b. 极少采用渐进式抛售。

3. 盈利趋势

a. 最赚钱的是 < 1 分钟退出的钱包，其次 < 5 分钟；

b. 更长持有或多次卖出虽平均单次利润略高，但数量极少，对总利润贡献有限。

解释

这些模式表明：部署者资助的狙击并非交易行为，而是自动化、低风险抽取策略：

· 抢先买入 → 快速卖出 → 完全退出。

· 单笔卖出代表毫不关心价格波动，仅利用先机 dump。

· 少数更复杂的退出策略只是例外，非主流模式。

可操作洞见

下列建议旨在帮助协议团队、前端开发者及研究者识别并应对抽取式或协同代币发行模式，通过将观察到的行为转化为启发式、过滤器与警示，提高用户透明度并降低风险。

本报告揭示了一种持续、结构化且高利润的 Solana 代币发行抽取策略：部署者资助的同区块狙击。通过追踪部署者向狙击钱包的直接 SOL 转账，我们锁定了一批内部人风格的行为，利用 Solana 的高吞吐架构进行协同抽取。

虽然本方法只捕获了同区块狙击的一部分，但其规模与模式表明：这不是零散投机，而是拥有特权位置、可重复系统和明确意图的运营者。该策略的重要性体现在：

1. 扭曲早期市场信号，让代币看似更具吸引力或竞争力；

2. 危及散户 — — 他们在不知情的情况下成为退出流动性；

3. 削弱开放式代币发行的信任，尤其在追求速度与易用性的 pump.fun 等平台。

要缓解此问题，需要的不只是被动防御，还包括更佳的启发式、前端预警、协议级护栏，以及持续映射与监控协同行为的努力。检测工具已存在 — — 问题在于生态是否愿意真正加以应用。

本报告迈出了第一步：提供了一个可靠、可复现的过滤器，用以锁定最明显的协同行为。但这仅是开始。真正的挑战在于侦测高度混淆、不断演化的策略，并打造一个链上文化，奖励透明而非抽取。