加密货币和去中心化金融建立在共享控制和促进安全的概念之上。他们努力在用户之间分配权力,避免在中心化的权力机构运作,并通过不披露用户身份来实现安全操作。
然而,非法行为者利用这些基本原则进行非法活动和网络欺诈。违规和黑客攻击是加密货币的主要问题,黑客从加密货币钱包中挪用资金,或劫持汇款并将其转移到自己手中。
据报道,2022年,加密货币黑客通过各种杀猪骗局、桥牌攻击、拉地毯或最新的三明治攻击,偷走了价值 38 亿美元的加密货币。
今天,我们将了解Vitalik Buterin在2018年警告我们的一种危险的黑客策略:DeFi 三明治攻击。
主要内容
- 三明治攻击是区块链欺诈,操纵市场动态和资产平衡以获取利益。
- 三明治攻击的方法是,先进行挂单交易,造成滑点,然后再反向进行另一笔交易,并从中获利。
- DeFi 三明治骗局利用采取 AMM 机制的 DeXes 来平衡市场和流动性池。
什么是三明治行为?
加密货币三明治攻击需要用两个恶意交易包围一个交易,目的是使受害者的交易失去任何利润。
这种攻击是通过在区块链的内存池中定位一个待处理的交易,并在其之前进行一次购买,在其之后进行另一次购买来实现的。这被称为抢先交易和后置交易,这两者同时将受害者的交易“夹在中间”。
这种攻击的目的是操纵市场动态,特别是通过去中心化交易所和 DeFi 平台进行操纵。因此,三明治攻击中没有破解代码或渗透区块链系统的黑客行为,而是进行市场操纵。
攻击者(抢先交易)在原始交易经受验证之前购买相同的代币/加密货币,这会导致货币的价值增加,受害者的交易会以更高的价格处理,然后攻击者(后置交易)再以更高价格出售代币,并将差额作为利润。
加密货币的三明治攻击是如何发生的?
内存池是区块链的待处理交易列表。基本上,这表示验证节点(矿工)由于某些原因还没有拿起并验证它,煤气费不够高是其中的一个原因。
一些用户的目标是在购买加密货币时消耗最低的燃气费,因此他们在内存池中进行交易,希望在费用下降时交易能顺利进行。
但是,内存池是公开共享的,任何人都可以看到待处理列表。攻击者可以定位目标交易,并以更高的交易成本提前运作新交易,以激励矿工首先验证它。
这使得购买价格更高,并提高了预期的执行价格,这使得加密货币欺诈的绝望受害者收到的货币更少,因为在意外的价格滑点出现后,交易价格变得更加昂贵。
之后,第二层三明治出现了,以新的更高价格重新执行销售订单,并获得了一些利润。
三明治行为的背后金融考量
这种类型的攻击不同于闪电贷款攻击或拉地毯攻击。但是,它的目标是以牺牲无辜的加密货币用户为代价获得经济利益。
由于进行这些交易需要一定的成本,要成功实施三明治攻击并不容易。骗子必须为两次购买支付交易成本,此外,这样的市场操纵会使价格小幅变化。
因此,攻击者更有可能在找到有利的漏洞或仔细搜索内存池以找到正确的突破点之前多次重复此技巧。
DeFi 三明治攻击的类型
三明治攻击很难预测,而且随时可能发生,因为去中心化的交易所吸引了很多的用户。因为平台上有大量的用户,所以的 DeFi 中可能会通过两种方式被三明治攻击。
流动性接受者与接受者
在这种情况下,流动性接受者会相互攻击,找到一笔金额可观的待处理交易,从而为抢先下单和后置下单操作带来经济收益。
这种三明治攻击利用了自动做市商的标准(即流动性池进行自我调整),以应对不断变化的需求和供应动态。
因此,后续交易的目的是操纵资产价格,使最初的购买过程处于不利地位,这样受害者最终获得的货币/代币较少。
但是,无法保证矿工会首先挑中恶意交易,并在受害者之前对其进行验证,因此三明治攻击有可能失败。
流动性提供者与接受者
另一种类型的三明治攻击是流动性提供者攻击市场参与者,利用他们改变市场流动性的能力,导致意外的滑点率。
这种方法与前面提到的 “接受者与接受者 “三明治攻击类似。不过,这里的恶意行为者在操纵流动性时多了一个步骤。
首先,他们从市场中移除流动性,从而使受害者遭遇意外价格滑点,受害者的交易价格现在与预期的执行价格不同。
受害者的交易完成后,他们重新添加流动性,恢复到最初的池平衡,然后与原始用户的操作相反操作,从差价中赚钱。
市场动态引发三明治攻击
三明治攻击是通过利用 Uniswap 和 PancakeSwap 等自动化做市商交易所执行的,因为它们的机制涉及在供需变化后重新平衡流动性池。
因此,三明治攻击更有可能发生在这些平台上,并利用市场动态。如非如此,滑点就不会发生,三明治攻击也毫无价值。
让三明治攻击起作用的另一个因素是价格滑点,当实际执行价格与期望价格不同时就会发生这种情况。
当市场流动性急剧变化或资产平衡因供应水平变化而波动时,就会发生这种事件。
避免加密货币的三明治攻击
不幸的是,DeFi 中的三明治攻击发生时无法躲避,因为它们是在目标猎物等待交易后几秒钟内完成的。此外,欺诈者可以继续进行三明治攻击而不会产生任何影响。
但是,您可以采取一些预防措施,例如通过确保低滑点或在提供最小滑点保险的平台进行交易。这些平台部署了特殊的机制来减少三明治攻击的机会。
您可以采取的另一个步骤是支付更高的交易成本,这样验证节点就能更快地处理您的购入。
总结
去中心化金融中的三明治攻击利用市场动态,用两个恶意交易包围待处理交易。这种方法会导致市场失衡和意外的滑点率。
DeFi 三明治攻击旨在提升受害者的交易价格,然后将其逆转以获得经济利益。这些攻击发生在市场中的流动性接受者之间,或者从流动性提供者到接受者之间施加。
这种 AMM 欺诈的目标是去中心化的交换平台和协议,因为它们吸引了大量用户,增加了潜在三明治攻击受害者数量。