摘要

本报告揭示了一种在 Solana 链上普遍存在且协调性极高的 meme 币套利模式：代币部署者为狙击钱包提供 SOL 资金，使其在代币发布的同一区块内完成买入操作。我们通过聚焦部署者与狙击钱包之间明确且可验证的资金流动，锁定了一个可信度极高的可提取套利行为子集。

研究发现，这种战术不仅并非边缘现象，甚至在过去一个月内已实现超过 15,000 SOL 的实际利润，涉及超过 15,000 个代币上线、4,600+ 个狙击钱包以及 10,400+ 个部署者。这些钱包展现出异常高的成功率（87% 的狙击操作实现盈利）、干净利落的退出方式，以及高度结构化的运营模式。

重要发现：

• 部署者资助的狙击行为具有系统性、强盈利性，且往往实现自动化，并集中在美国工作时段内。

• 多钱包协作的“农耕结构”广泛存在，常通过一次性钱包和协调退出行为伪造真实需求。

• 使用多跳资金链条和多签名交易等混淆技术，以逃避溯源与检测。

• 尽管存在一定局限性，我们基于“单跳资金链”筛选出的样本，仍代表了最具可重复性和明确性的“内幕风格”套利活动。

本报告同时提出一系列可操作的启发式检测规则，帮助协议团队和前端工具实时识别并响应此类行为，包括追踪早期持有者集中度、标记部署者相关钱包、为高风险项目提供前端警示等。

虽然我们的分析仅涵盖部分“同区块狙击”行为，但从其规模、组织性与盈利能力来看，Solana 上的代币上线正面临着协同网络的系统性操纵，而当前防御机制远远不足。

分析方法

本研究的初衷在于识别 Solana 链上具有协同性的 meme 币“农耕”行为，尤其是部署者在代币上线前即为狙击钱包提供资金的情况。

分析过程分为六大阶段：

1. 筛选“同区块狙击”行为

我们首先定位在部署区块内即被买入的代币。这类行为基本不可能自然发生，原因包括：

• Solana 不存在全局内存池（mempool）

• 代币未上线前无法通过前端公开发现

• 部署到首次 DEX 交互间时间极短

因此，“同区块狙击”成为识别潜在内部协作或特权行为的高信号筛选器。

2. 建立“部署者-钱包”资金链

为区分纯技术型狙击与协作型狙击，我们追踪部署者与狙击钱包之间的 SOL 转账，筛选出：

• 狙击钱包在上线前收到部署者 SOL

• 或将 SOL 转回给部署者

我们仅保留上线前存在直接 SOL 转账关系的钱包进入最终数据集。

3. 计算套利利润

针对每个狙击钱包，我们记录其在对应代币的买卖行为，包括：

• 买入时花费的 SOL

• 卖出所得 SOL（基于链上 DEX 交易）

• 实现利润（而非仅浮盈）

从而精准评估每一次“部署者资助型狙击”的利润提取情况。

4. 量化规模及钱包行为

分析指标包括：

• 独立部署者与狙击钱包数量

• 可确认的“同区块协作狙击”数量

• 狙击者钱包盈利分布

• 每个部署者上线的代币数

• 狙击钱包的重复利用频率

5. Bot 活动足迹

为了理解这些操作是如何进行的，我们按 UTC 小时将狙击活动进行了分组分析，结果揭示出明显的时间分布模式：

• 活动集中在特定时间段

• 在 UTC 深夜时段出现显著下滑

• 这暗示了这些操作可能是通过符合美国时间的定时任务（cron jobs）或人工执行窗口完成的，而不是全球范围内或持续自动化进行的操作。

6. 退出行为分析

最后，我们分析了与部署者相关的钱包是如何退出其狙击所得的代币头寸的——包括持有时间的长短，以及清仓过程中使用的交易次数。

• 我们测量了从首次买入到最终卖出的时间间隔（即持有时长）；

• 我们统计了每个钱包对每个代币所进行的独立卖出交易（交换）次数。

这些数据帮助我们判断这些钱包是选择迅速清仓，还是采取更为缓慢的卖出策略，以及退出速度与盈利能力之间的关系有多大。

瞄准最明显的威胁

我们从 pump.fun 平台入手，评估“同区块狙击”的实际规模，结果震惊：超过 50% 的代币上线即在创建区块内被狙击，此时代币尚未出现在任何公开 RPC 或前端界面中。

同区块狙击早已不是什么罕见的边缘行为，它已经成为当前主流的代币发行模式。

这种行为本身就值得警惕。在 Solana 上，实现同区块抢跑通常意味着：

• 提前签名的交易
• 链下协调或共享基础设施
• 与部署者的直接协作

但重要的是，我们观察到，并非所有的同区块狙击行为都具有同等的恶意性。至少可以分为两类参与者：

• 撒网型Bot：可能在测试策略或进行小额试探；
• 协作型内部者：部署者资助自己的买家

为排除误判，我们采用最严格的筛选条件：仅记录上线前存在部署者向狙击钱包直接转账SOL 的事件。

这类钱包几乎可以确认：

• 由部署者控制，或
• 受部署者指令行动，或
• 享有内幕交易权限

案例一：直接资助型狙击（被成功检测）

在这个案例中，部署者钱包 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE 向三个不同的钱包发送了总计 1.2 SOL。你可以在 Arkham 上查看该实体的详细信息。随后，该地址部署了一个名为 SOL>BNB 的代币。所有三个收到资助的钱包在代币创建的同一个区块内完成了狙击，成功在该代币向公众市场开放之前率先入场。

这些钱包随后迅速卖出所获得的份额获利，执行了一个快速且协调的退出操作。这是一个典型的通过预先资助的狙击钱包进行“代币耕种”的案例，并且被我们的基于资助路径的检测方法直接捕捉。尽管这种操作方式看似简单，但实际上正在成千上万次代币发射中被大规模执行。

案例二：多跳混淆型狙击（未被当前检测逻辑捕捉）

在这个案例中，钱包 GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA 被发现与多个代币狙击钱包有关。不同于直接向狙击钱包转账，该实体会通过一系列中间钱包（通常多达 5 到 7 层）间接转移 SOL，最终再由最后一个钱包在代币创建的同一区块内完成狙击。

我们的现有检测方法主要依赖“直接资助”路径，虽然能够识别部分初始转账，但无法完整还原整个多跳转账链条。这些中间钱包通常只使用一次，仅作为 SOL 的“跳板”，因此很难通过常规查询方式建立关联。

这类模式的“漏网”并非设计缺陷，而是一种计算资源上的权衡。在技术上，我们可以通过时间限制追踪多跳转账路径，但在大规模数据分析场景下会消耗大量资源。因此，我们当前的实现更侧重于高置信度、可复现的“直接关联”路径。

为了可视化这条更复杂的资金流路径，我们使用了 Arkham 的可视化工具，图形化展示了资金从最初资助钱包，经由一系列空壳钱包，最终流向狙击钱包的全过程。这一图示强调了狙击者为掩盖资金来源所采用的复杂手法，也指出了我们未来检测策略中有待优化的方向。

我们为何聚焦于“直接资助 + 同区块狙击”的钱包

在接下里的内容中，我们专门关注同区块狙击，其中钱包在发布之前从部署者那里获得了直接资金。这些钱包带来了可观的利润，使用最少的混淆，并且代表了恶意活动中最可操作的子集。研究它们为检测和缓解更先进的提取策略所需的启发提供了一个清晰的窗口。

调查发现

我们聚焦于“在同一区块内完成狙击，且狙击钱包在上线前曾直接收到部署者转入的 SOL”这一特定类型，深入分析后揭示出一种广泛存在、结构化明确、且极具盈利性的链上协同模式。虽然这个过滤条件仅覆盖了所有狙击行为的一部分，但它展现了该高置信度子集中几个关键的规律。以下数据涵盖了 3 月 15 日至今的链上活动。

1. 同区块的部署者资助狙击行为十分普遍且高度系统化

我们识别出 超过 15,000 个代币在上线的同一区块内就被直接资助过的狙击钱包狙击。这些代币涉及：

• 超过 4,600 个狙击钱包

• 超过 10,400 个独立部署者地址

这类行为并非个别事件，而是 pump.fun 上约 1.75% 上线活动的组成部分。

2. 这种操作在规模化执行下非常赚钱

在过去一个月中，这类“部署者资助 + 同区块狙击”的钱包从链上交换行为中共计实现超过 15,000 SOL 的净利润。这些钱包展现出：

• 高成功率（87% 的狙击行为最终盈利）

• 执行干净利落，几乎无失败交易

• 单钱包利润区间大多在 1–100 SOL 之间，部分极端案例甚至超过 500 SOL

3. 重复的部署者与狙击者，揭示出“刷量网络”的存在

• 许多部署者使用新钱包反复创建几十甚至上百个代币

• 某些狙击钱包在一天内就执行了数百次狙击

• 存在“中心辐射式”结构：一个钱包为多个狙击钱包提供资金，这些钱包统一行动、狙击同一代币

这一切表明，背后可能存在一个多钱包协作的“代币耕种网络”，其目标是制造虚假早期需求，同时将控制权和利润集中在少数人手中。

4. 狙击行为呈现明显的人为时间规律

从时间分布上看，狙击活动主要集中在协调世界时（UTC）14:00–23:00，而 00:00–08:00 几乎没有活动。

这一规律：

• 与美国工作时间高度吻合

• 暗示这些 bot 要么由人工触发、要么定时脚本调度

• 进一步佐证：这是一种中心化、精心策划的行动

5. 一次性钱包 + 多签交易用以混淆归属关系（部署者行为示例）

我们发现了大量如下行为模式：

• 部署者向多个钱包转账，由这些钱包在同一笔交易中联合完成签名与狙击

• 这些钱包随后再也没有签署过任何交易（典型的一次性钱包）

• 部署者将初始代币买入拆分到 2–4 个钱包中，以模拟“真实用户需求”

这类行为并非单纯的交易操作，而是有意为之的归属关系伪装手法。

退出行为

在前文关于“部署者资助、同区块狙击”的核心发现基础上，我们进一步研究了这些钱包在获取代币后是如何退出头寸的。虽然识别谁在抢跑、何时狙击非常关键，但若能了解代币持有时长及其抛售的激进程度，将有助于更全面理解这一套套利策略的运作逻辑。

我们从两个行为维度切入分析数据：

• 退出时长：指钱包首次购买代币（即狙击）与其最后一次出售该代币之间的时间间隔；
• 交换次数：指钱包为退出该代币头寸而进行的独立卖出交易次数。

这两个指标反映出狙击钱包的风险偏好以及其执行策略的复杂程度：这些钱包是一次性清仓？还是分批卖出？每种做法又是如何影响其盈利表现的？

数据揭示的行为模式

退出速度：

超过 55% 的狙击交易在1 分钟内完成全部退出，近 85% 的退出行为在 5 分钟内完成；

• 其中超过 11% 的狙击在15 秒内就完全退出。

卖出行为的简洁性：

超过 90% 的抢跑钱包仅通过 1~2 次交换就完成了代币清仓；

很少有钱包采用渐进式卖出或分阶段退出的策略；

• 那些进行了更多次卖出的钱包，平均盈利略高。

盈利趋势：

最赚钱的群体是在 1 分钟内完成退出的钱包，其次是在 5 分钟内退出的；

• 虽然持有时间更长、卖出次数更多的狙击交易平均每次的盈利更高，但这类操作本身并不常见，整体对总利润的贡献也较低。

我们的解读

以上行为特征强烈暗示：这是一种高度自动化、以套利为导向的行为。大多数与部署者有关联的钱包，并不像传统交易者，甚至不像投机者，而更像是执行型机器人：

• 第一时间入场；

• 迅速抛售；

• 全部退出。

大多数钱包通过单笔交易退出，说明其并无意与市场博弈，也没有进行高点测试、分批止盈或顺应行情波动。他们的目的是抢跑市场需求，快速砸盘。

虽然有少部分钱包采取了更复杂的退出方式，例如分批卖出或延迟清仓，但这类行为仅带来边际性的盈利提升，且占比极小，属于特例而非主流。

结论非常明确：
“部署者资助型的狙击行为”不是交易行为，而是自动化、低风险的提取式操作。退出越快，成功率越高。这类退出模式进一步佐证：同区块狙击不是偶然机会主义行为，而是有组织、有节奏、有利润导向的系统工程。

可采取的行动建议

以下建议适用于协议团队、前端开发者和研究人员，帮助他们识别和应对具有“抽取性”或“协作型”特征的代币发行模式。通过将这些行为转化为启发式规则、过滤器与风险提示，可帮助用户规避风险并提升整体透明度。

显示早期绑定曲线行为

多数代币信息面板只显示当前持仓集中度，然而真正的风险信号往往出现在前 20~50 个区块内。若早期仅有少数钱包迅速买入大部分供应、快速退出但仍保留高比例持仓，这通常意味着结构性抽取行为。

前端应优先呈现以下早期指标，帮助交易者更快察觉异常：

• 前 10 个区块内的 SOL 总买入量；

• 支付给 Jito 和优先打包的费用；

• 前 x 大钱包的交易量占比；

• 狙击钱包当前余额。

通过显示“成本基本集中区”“订单簿压缩现象”“退出行为”等指标（无需归属钱包身份），用户可更快识别出潜在“出货局”而非等着被出货。

基于钱包行为与发行结构的分层风险提示系统

前端应建立多层次风险标识系统，综合考虑钱包历史行为和发行结构，从而帮助用户规避成为“接盘侠”。

对重复违规者设立强风险警示：

对于存在历史同区块狙击行为的钱包，尤其是与部署者有直接或间接资金关联的，应给予永久性高风险标签；这些钱包一旦参与新币，前端应弹窗强警告，甚至默认禁用交互按钮（需手动确认）；这些地址已经在多个项目中反复抽取价值，不应视作“普通交易者”。

针对结构性风险设立轻度提示

若某个代币出现同区块狙击、早期持仓高度集中，或订单簿异常压缩（例如：前 10 个区块内交易量占比超过 50%，前三大钱包持有超过 80% 的代币供应量），则应给予轻度但可见的提示标签。用户可将鼠标悬停在标签上查看具体触发的风险信号（如：“首区块即被狙击”、“头部钱包 30 秒内清仓”、“早期买入者来自重复出资钱包”等），帮助其在决策前获得更多上下文信息。

这套系统并不试图“证明恶意”，而是揭示重复性抽取行为与不公平的发行结构，让普通用户无需解析合约或追踪链上流动，也能识别潜在风险。

构建静态标签之外的框架

静态钱包标记已无法应对复杂对手——攻击者会迅速更换钱包、伪装成散户、制造“看起来像真实交易者”的行为。

因此检测系统必须走向动态识别框架，持续更新，适应对手策略变化。

不再依赖硬编码标签，引入基于行为的信任分数：如钱包年龄、跨应用行为、过往卖出方式、持有周期、与已知提取者的聚合度。这种机制会奖励那些愿意花成本建立信任的钱包（如长期持仓、有交互历史），惩罚低成本、高频、抽取性操作的钱包。

通过提升“干净行为”的成本门槛，平台可压缩批量薅羊毛的空间——哪怕不做到完美识别，也足以降低风险敞口。

结语

本报告揭示了 Solana 链上一个长期存在、系统化、高利润的代币抢跑策略：由部署者资助的同区块狙击。通过追踪部署者转出的 SOL 与狙击钱包之间的直接资金路径，我们成功提取出一组具有“内幕行为”特征的钱包，这些钱包利用 Solana 的高吞吐能力进行协同套利。

虽然我们的方法只能捕捉所有同区块狙击活动的一部分，但其所呈现出的行为模式与频率已毫无疑问：这不是偶发的投机操作，而是具备优先资源、标准化执行系统和明确套利意图的操作者。他们的操作频率和规模表明，“联动式 meme 币农耕”早已不再是边缘策略，而是一种被广泛执行、每周成千上万次复制的标准剧本。

这种行为之所以值得警惕，主要有三方面原因：

1. 扭曲早期市场信号，使代币看起来更“热门”；

2. 让散户沦为出货对象，成为被抽取价值的一环；

3. 动摇人们对公开发币流程的信任，尤其是在 pump.fun 这类追求速度和易用性的发型平台上更是如此。

遏制这类行为，不能仅靠事后防御。必须借助更好的启发式规则、前端预警机制、协议级防护，以及持续追踪这些协作型操作者的行动。工具已有，关键在于：整个生态是否愿意真正应用它们。

本报告仅是起点，我们提供了一个可靠、可复现的识别模型，用于定位最明显的协作型狙击行为。但真正的挑战，是识别那些被隐藏、持续进化的策略——并在链上构建一种奖励透明、而非奖励掠夺的文化。

声明：

1. 本文转载自 [Pine Analytics]。所有版权归原作者所有 [Pine Analytics]。若对本次转载有异议，请联系 Gate Learn 团队，他们会及时处理。
2. 免责声明：本文所表达的观点和意见仅代表作者个人观点，不构成任何投资建议。
3. Gate Learn 团队将文章翻译成其他语言。除非另有说明，否则禁止复制、分发或抄袭翻译文章。