Topics DeFi

什麼是加密貨幣三明治攻擊以及如何防範

中級
DeFi
2024年9月30日

去中心化交易所 (DEX) 為加密貨幣交易者提供瞭眾多機會和獨特優勢。與此同時,這些平台通常會吸引惡意行為者,意圖造成傷害,以犧牲毫無戒心的交易者為代價賺取收益。雖然在討論去中心化交易平台上的獨特威脅時經常提到地毯拉力快速藉貸攻擊,但另一種惡意攻擊 - 三明治攻擊 - 受到的關注要少得多。

在最標準的三明治攻擊形式中,具有邪惡動機的交易者在區塊鏈上識彆待處理的兌換交易,並在目標交易之前和之後下達兩份訂單,以操縱資産價格。罪魁禍首的目標是在預期價格上漲前買入資産,然後在價格上漲後迅速賣齣。攻擊的受害者最終以虛高的價格購買資産,然後在價格暴跌時無助地觀看。

三明治攻擊雖然比去中心化金融 (DeFi) 領域的其他安全漏洞公開程度更低,但對於成為這些漏洞受害者的交易者來說,這種攻擊仍然是毀滅性的。如果交易者不知道自己受到此類攻擊,可能會很快損失大量資金並被淘汰,尤其是在攻擊階段主動下單時。

好消息是,交易者可以采取多種措施,最大限度地降低攻擊者早餐三明治“儲值”的可能性。在本文中,我們將詳細介紹三明治攻擊、其兩個主要品種以及避免它們的主要方式。

關鍵要點

  • 三明治攻擊是 DEX 平台的一種常見漏洞,攻擊者會圍繞受害者的兌換訂單進行兩筆(一種變化是三筆)交易,意圖操縱資産價格和收益,以犧牲受害者的利益為代價。

  • 保護自己免受三明治攻擊的主要方式包括控制可接受的滑點率、使用更大的兌換池、支付更高的礦工費以及使用中心化交易平台 (CEX)。

EN_2409-T35020_Learn_Read_to_Earn_728x90.png

什麼是加密貨幣三明治攻擊?

三明治攻擊是一種在 DEX 平台進行的惡意交易,攻擊者透過這種交易識彆待處理的兌換操作,並在目標交易之前和之後分彆下單,以操縱資産價格。 惡意交易者透過同時進行前輪和後輪交易來“拋齣”未決交易,因此得名。他們的目標是以較低的價格買入毫無戒心的交易者選擇的資産,然後在其迴頭交易後立即賣齣。

由於三明治攻擊,受害者以與預期執行價格相比上漲的價格買入資産。迴溯交易後,資産價格下跌,受害人的資産價值低於他們支付的資産價值。根據受害者的交易量和活動,三明治攻擊或一係列三明治攻擊造成的損失可能會造成毀滅性損失。這些攻擊在 DEX 上非常常見,盡管其覆蓋率低於其他形式的漏洞利用,例如快速藉貸攻擊。

三明治攻擊可視為套利交易的一種形式然而,與其他形式的套利不同,這些攻擊會直接傷害成為其受害者的交易者。三明治攻擊者故意操縱受害者交易前後的價格,以賺取收益,費用由受害者承擔。因此,除瞭惡意操縱市場外,這些攻擊也不例外,在 DeFi 社區受到廣泛譴責。

從技術上講,由於區塊鏈的公開性質,去中心化交易平台可能會發生夾心攻擊。每個公共區塊鏈都會將其待處理交易保留在 Mempool 區域,在交易最終寫入區塊鏈的永久記錄分類賬之前,Mempool 是等待交易的空間。攻擊者正在積極尋找能夠為這些漏洞提供良好潛力的交易。

三明治攻擊如何運作?

讓我們來思考一下在實踐中典型的三明治攻擊是如何發生的。 

假設交易者決定在基於自動做市商 (AMM) 的 DEX 上下單,將 USDT 兌換ETH一名三明治攻擊者將受害者的交易置於待處理列錶中,並迅速下達 ETH 買單,試圖先執行自己的前綫交易。由於區塊鏈技術的性質,攻擊者可以透過多種方式實現這一目標(例如,支付更高的礦工費來提高自己的交易優先級)。透過先執行自己的交易,攻擊者可以利用 ETH 的更低價格。由於買入訂單,ETH 在交易池中的價格會上漲。

因此,當受害者將 USDT 兌換為 ETH 的訂單透過時,實際執行價格與預期價格不同,ETH 現在成本更高,因此受害者以虛高的價格獲得資産。罪魁禍首還安排瞭另一筆交易,將在受害者交易後迅速執行。在這筆迴頭交易中,罪魁禍首以上漲的價格賣齣 ETH,並瓜分收益。由於賣齣交易,ETH 的價格下跌,受害者現在擁有的資産價值低於他們支付的資産價值。

三明治攻擊類型

流動性 Taker 與 Taker

三明治攻擊主要有兩種類型。最常見的場景是 Taker 與 Taker 場景。通常情況下,三明治攻擊者使用 AMM 流動性池進行攻擊。在 Taker 與 Taker 場景中,對資金池執行掉期操作,設置如上所述,惡意 Taker 試圖透過圍繞受害者訂單進行前輪交易和後輪交易來操縱資産價格。

流動性提供商與 Taker

攻擊者還以流動性提供商的身份修改瞭標準三明治攻擊在流動性 Taker 使用兩筆交易進行攻擊時,攻擊者在流動性提供商與 Taker 模式下執行三筆訂單。

在第一個訂單中,罪魁禍首將兌換資金池中的流動性作為一種先行方式,提高瞭受害者訂單的滑點率。 在第二筆交易中,他們透過添加流動性來恢復初始資金池餘額,從而執行迴程方式。最後,他們將目標資産兌換為原始資産的 ETH 和 USDT,以便將資金池中的資産餘額恢復到攻擊前的水平。

透過在 Taker 交易前移除流動性,流動性提供商無需支付佣金(通常由所有流動性提供商分擔)。這意味著由於滑點增加,持倉者必須支付更多手續費,而流動性提供商則保持佣金減免。

Skinny_Banner-1600x400.webp

防範三明治攻擊

一些 DEX 平台(例如 1inch )正在采取保護措施,透過引入在綫軸中不可見的交易來防範三明治攻擊。一些平台還保護用戶免受 MEV(最大可提取價值)機器人的攻擊,而 MEV 是一種經常用於三明治攻擊的機器人。但是,任何 DeFi 交易者也應自行采取預防措施,以最大限度地降低成為這些攻擊受害者的風險。下麵,我們列齣瞭一些主動方法,避免您的資金成為惡意攻擊中的多汁三明治。

設置低滑點

滑點率是指去中心化協議上掉期交易的預期成本與實際成本之間的差異。透過許多 DEX 平台,您可以為兌換交易設置可接受的滑點率。積極使用此選項,因為價格滑點在三明治攻擊中占主導地位(特彆是在流動性提供商與 Taker 變化中)。

使用更大的流動性資金池

流動性資金池越大,受三明治攻擊影響越小,資金就越充裕。您使用的資金池越小,三明治攻擊造成的價格波動就越明顯,更極端的價格波動將意味著一件非常令人不快的事情:這些攻擊造成的損失越大。 

但請注意,三明治攻擊者對 Uniswap (UNI) 和 SushiSwap (SUSHI) 等大型 DEX 最為活躍 因此,平台規模平台與特定資金池的流動性量的關係較小。三明治攻擊者喜歡大型 DEX 的低流動性資金池。因此,不要被平台龐大的行業足跡或聲譽所欺騙。密切關注您感興趣的資金池中通常可用的實際流動性水平。

DEX 聚閤商在多個流動性資金池之間分配單筆交易可能會有所幫助,這可以透過降低單個資金池成為目標的可能性來減輕三明治攻擊的影響。此外,由於 DEX 聚閤器旨在實現更高效的交易,因此使用 DEX 聚閤器時您更有可能降低滑點。

支付更高的礦工費

三明治攻擊者進行邪惡交易的主要方式之一是在區塊鏈上支付更高的礦工費。透過這樣做,他們通常會確保(盡管從不保證)在受害者交易前執行其前綫交易。您可以支付更高的礦工手續費,在執行惡意前綫訂單之前處理您的交易,從而降低您遭受這些攻擊的脆弱性。

使用集中交易所

包括 Bybit 在內的中心化交易所 (CEX) 不會受到夾層攻擊,因為此類攻擊是 DEX 獨有的。 雖然上述措施可能會最大限度地降低(但絕不會消除)此類攻擊的風險,但在 CEX 上進行交易是完全避免成為三明治攻擊者犧牲品的唯一可靠方式。

結語

三明治攻擊利用區塊鏈上交易訂單的固有異步性質。雖然與搶先藉貸攻擊相比不那麼引人注目,但它們在 DEX 和成本交易者中無處不在。幸運的是,有幾種方法可以最大限度地減少這些攻擊的潛在威脅。透過嚴格控制滑點率、使用更大的流動性資金池、支付更高的礦工費來提高訂單優先級,以及使用 CEX 平台,您可以顯著降低成為三明治攻擊受害者的風險。

#LearnWithBybit