क्रिप्टोकरेंसी और डिसेंट्रलाइज़्ड वित्त की मुख्य धारणा साझा नियंत्रण और बेहतर सुरक्षा है। ये केंद्रीकृत अथॉरिटी के अधीन काम करने से और उपयोगकर्ताओं की पहचान को उजागर करने से बचकर, सुरक्षित प्रथाओं को लागू करके उपयोगकर्ताओं के बीच शक्ति का वितरण करते हैं।
हालाँकि, अवैध गतिविधियों और साइबर धोखाधड़ी के लिए धोखेबाजों ने इन बुनियादी बातों का फायदा उठाया है। ब्रीच और हैक किया जाना ही क्रिप्टो की प्रमुख चिंताएं हैं, जहां हैकर क्रिप्टो वॉलेट से धन को गायब कर देते हैं या धन ट्रांसफर को हाईजैक कर उसे अपने खातों में डाल लेते हैं।
एक रिपोर्ट के अनुसार 2022 में विभिन्न पिग बुचरिंग स्कैम्स, ब्रिज अटैक्स, रिग पुल्स या नवीनतम सैंडविच अटैक्स के माध्यम से क्रिप्टो हैकर्स द्वारा $3.8 बिलियन मूल्य की क्रिप्टो की चोरी की गई।
आज, हम एक खतरनाक हैकिंग रणनीति के बारे में चर्चा करेंगे जिसके बारे में 2018 में विटालिक ब्यूटिरिन ने चेतावनी दी थी: DeFi सैंडविच अटैक्स।
मुख्य बातें
- सैंडविच अटैक्स एक तरह की ब्लॉकचेन धोखाधड़ी है, जिसमें धोखेबाज़ अपने लाभ के लिए बाजार की गतिशीलता और एसेट्स के संतुलन में हेरफेर करते हैं।
- एक सैंडविच अटैक में एक पेंडिंग लेनदेन की फ्रंट-रनिंग करके और दूसरे लेनदेन की बैक-रनिंग करके स्लिपेज उप्तन्न की जाती है और इस तरह धोखेबाज़ों द्वारा लाभ कमाया जाता है।
- DeFi सैंडविच घोटाला DeXes का लाभ उठाता है, जो बाजार और लिक्विडिटी पूल को संतुलित करने के लिए AMM तंत्र का उपयोग करता है।
सैंडविचिंग होती क्या है?
क्रिप्टो सैंडविच अटैक में एक ही लेनदेन को दो दुर्भावनापूर्ण लेनदेन के साथ घेर लिया जाता है, जिसका उद्देश्य किसी भी पीड़ित व्यापारी को उनको हो रहे लाभ से दूर रखना होता है।
यह हमला ब्लॉकचेन के मेमपूल में पेंडिंग लेनदेन का पता लगाकर, एक खरीदारी को उसके आगे और एक को उसके पीछे रखकर किया जाता है। इन्हें फ्रंट-रनिंग और बैक-रनिंग कहा जाता है, जबकि बीच में पीड़ित का लेन-देन होता है, और इस प्रक्रिया को सैंडविचिंग” कहा जाता है।
इस हमले का उद्देश्य बाजार की गतिशीलता में हेरफेर करना है, विशेष रूप से डिसेंट्रलाइज़्ड एक्सचेंजों और DeFi प्लेटफार्मों के माध्यम से। इस तरह, सैंडविच हमले में कोड का उल्लंघन करने या ब्लॉकचेन सिस्टम में घुसपैठ करने जैसी हैकिंग शामिल नहीं है, बल्कि यह बाजार में किए गए हेरफेर पर निर्भर करता है।
हमलावर (फ्रंट रन) मूल लेनदेन के सत्यापन से पहले उसी टोकन/क्रिप्टो को खरीदता है, जिससे उस कॉइन का मूल्य बढ़ जाता है, इस कारण पीड़ित व्यापारी का लेनदेन उच्च कीमत पर संसाधित हो जाता है, और फिर हमलावर (बैक रन) टोकन को अधिक कीमत पर बेचता है और इस तरह मूल्य में आया अंतर हमलावर का लाभ होता है।
क्रिप्टो सैंडविच अटैक कैसे होता है?
मेमपूल ब्लॉकचेन में पड़ी लंबित लेनदेन की सूची होती है। मूल रूप से, इसका मतलब है कि सत्यापन करने वाले नोड्स (माइनर्स) ने इसे अभी तक इसे नहीं उठाया है और कुछ कारणों से इसे मान्य नहीं किया है, जिसमें से एक कारण यह भी हो सकता है कि इनकी गैस फीस पर्याप्त नहीं है।
कुछ उपयोगकर्ता क्रिप्टोकरेंसी खरीदते समय सबसे कम गैस फीस देने का लक्ष्य रखते हैं, इसलिए वे अपने लेन-देन को मेमपूल में रखते हैं, और उम्मीद करते हैं कि शुल्क कम होने के बाद इसे सत्यापित किया जाएगा।
हालाँकि, इस मेमपूल को सार्वजनिक रूप से साझा किया जाता है, और कोई भी लेनदेन की इस लंबित सूची को देख सकता है। हमलावर एक लक्ष्य लेनदेन का पता लगा सकते हैं और माइनर्स को पहले इसे मान्य करने के लिए प्रेरित करने के लिए उच्च लेनदेन लागत पर एक फ्रंट-रन लेनदेन शुरू कर सकते हैं।
इस कारण खरीद मूल्य बढ़ जाता है और इससे अपेक्षित निष्पादन मूल्य भी बढ़ जाता है, जिससे क्रिप्टो धोखाधड़ी के शिकार शिकार हताश व्यक्ति को कम कॉइन्स मिलते हैं क्योंकि अप्रत्याशित मूल्य स्लिपेज के बाद लेनदेन अधिक महंगा हो जाता है।
बाद में, सैंडविच की दूसरी परत आती है, जो नए उच्च मूल्य पर सेल्ल आर्डर की बैक-रनिंग कर कुछ लाभ प्राप्त करती है।
सैंडविच के पीछे वित्तीय विचार
इस प्रकार का हमला फ्लैश लोन हमलों या रग पुल्स से अलग होता है। हालाँकि, इसका उद्देश्य एक निर्दोष क्रिप्टो उपयोगकर्ता की कीमत का फायदा उठाते हुए वित्तीय लाभ प्राप्त करना ही है।
लेनदेन के संचालन से जुड़ी लागतों के कारण एक सफल सैंडविच अटैक को अंजाम देना आसान नहीं है। घोटालेबाज को दो खरीदों के लिए लेनदेन लागत का भुगतान करना पड़ता है, और इसके अलावा इस बाजार हेरफेर के कारण कीमतों में बहुत कम बदलाव होता है।
इसलिए, लाभदायक उल्लंघन होने से पहले या सही कैच ढूंढने के लिए मेमपूल को ध्यान से खोजने के लिए हमलावरों द्वारा इस चाल को कई बार दोहराए जाने की संभावना अधिक होती है।
Jaredfromsubway नामक एथेरियम वॉलेट ने एथेरियम ब्लॉकचेन पर सैंडविच हमले करने के लिए बॉट्स का उपयोग कर लगभग 35 मिलियन डॉलर का मुनाफा कमाया।
DeFi सैंडविच हमलों के प्रकार
सैंडविच अटैक की भविष्यवाणी करना कठिन है और यह किसी भी समय हो सकता है क्योंकि डिसेंट्रलाइज़्ड एक्सचेंज अधिक उपयोगकर्ताओं को अपनी ओर आकर्षित करती हैं। प्लेटफ़ॉर्म पर बड़ी संख्या में उपयोगकर्ता के होने के कारण DeFi में दो तरह से सैंडविच हमले हो सकते हैं।
लिक्विडिटी टेकर बनाम टेकर
यह वह जगह है जहां लिक्विडिटी टेकर पर्याप्त राशि वाले लंबित लेनदेन का पता लगाकर एक-दूसरे पर हमला करते हैं, जिससे उन्हें फ्रंट और बैक रन से वित्तीय लाभ हो सकता है।
यह सैंडविच अटैक ऑटोमेटड मार्किट मेकर्स’ के मानकों का लाभ उठाता है जहां लिक्विडिटी पूल बदलती मांग और आपूर्ति की गतिशीलता से निपटने के लिए खुद को समायोजित करता है।
इसलिए, बाद के लेनदेन का उद्देश्य एसेट्स की कीमतों में हेरफेर करना और मूल खरीद प्रक्रिया को नुकसान पहुँचाना है, जिससे उन्हें अंत में कम कॉइन्स/टोकन प्राप्त होते हैं।
हालांकि, इस बात की कोई गारंटी नहीं है कि माइनर्स पहले दुर्भावनापूर्ण लेनदेन को उठाएंगे और पीड़ित टोकनधारक से पहले इस लेनदेन को सत्यापित करेंगे, इसलिए सैंडविच हमलों के विफल होने की संभावना भी होती है।
लिक्विडिटी प्रोवाइडर बनाम टेकर
दूसरे प्रकार का सैंडविच हमला तब होता है जब लिक्विडिटी प्रदाता बाजार सहभागियों पर हमला करते हैं, बाजार की लिक्विडिटी को बदलने की अपनी क्षमता का लाभ उठाते हैं और अप्रत्याशित स्लिपेज दर पैदा करते हैं।
यह दृष्टिकोण उपरोक्त टेकर बनाम टेकर सैंडविच हमले के समान ही काम करता है। हालाँकि, यहाँ दुर्भावनापूर्ण अटैकर लिक्विडिटी में हेरफेर करते हुए एक और कदम उठाता है।
सबसे पहले, वे पीड़ित के लिए अप्रत्याशित मूल्य गिरावट को ट्रिगर करने के लिए बाजार से लिक्विडिटी हटाते हैं, जिस कारण व्यापार मूल्य अपेक्षित निष्पादन मूल्य से अलग हो जाता है।
पीड़ित का लेन-देन पूरा होने के बाद, वे फिर से लिक्विडिटी जोड़ देते हैं, इस तरह वह मूल्य अंतर पर पैसा बनाने के लिए मूल उपयोगकर्ता के ऑपरेशन के विपरीत स्वाइप लेने से पहले प्रारंभिक पूल बैलेंस पर वापस आ जाते हैं।
बाजार में मौजूद गतिशीलता सैंडविच अटैक का कारण बन रही है
सैंडविच अटैक Uniswap और PancakeSwap जैसे स्वचालित मार्किट मेकर एक्सचेंजों का शोषण करके होते हैं क्योंकि उनके तंत्र में मांग और आपूर्ति में बदलाव के बाद लिक्विडिटी पूल को पुनर्संतुलित करना शामिल है।
इसलिए, इन प्लेटफार्मों पर सैंडविच अटैक होने और बाजार की गतिशीलता का लाभ उठाने की अधिक संभावना है। अन्यथा, स्लिपेज नहीं होगी, और सैंडविच अटैक कारगर नहीं होंगे।
सैंडविच अटैक को कारगर बनाने वाला दूसरा कारक कीमत में गिरावट का पहलू है, जो तब होता है जब वास्तविक निष्पादन कीमत वांछित कीमत से अलग होती है।
यह घटना तब होती है जब बाजार की लिक्विडिटी में नाटकीय रूप से बदलाव होता है या आपूर्ति स्तर में बदलाव के कारण एसेट्स संतुलन में उतार-चढ़ाव होता है।
क्रिप्टो में सैंडविच अटैक से बचाव
दुर्भाग्य से, DeFi में सैंडविच अटैक से बचने का कोई तरीका नहीं है क्योंकि इन्हें शिकार के लंबित लेनदेन का पता लगने के कुछ ही सेकंड के भीतर किया जाता है। इसके अतिरिक्त, घोटालेबाज सैंडविच अटैक करने जारी रख सकते हैं क्योंकि उन्हें इनके परिणाम नहीं भुगतने पड़ते।
हालाँकि, कुछ एहतियाती उपाय हैं जिन्हें आप अपना सकते हैं, जैसे कि ऐसे प्लेटफ़ॉर्म के माध्यम से लेनदेन करना जो कम स्लिपेज सुनिश्चित करता है या फिर न्यूनतम स्लिपेज बीमा प्रदान करता है। ये प्लेटफ़ॉर्म सैंडविच अटैक्स की संभावना को कम करने के लिए विशेष तंत्र तैनात करते हैं।
एक और कदम जो आप उठा सकते हैं वह यह है कि आप वेलिडेटिंग नोड्स को अपनी खरीदारी को तेजी से प्रोसेस करने के लिए उच्च लेनदेन लागत का भुगतान कर सकते हैं।
निष्कर्ष
डिसेंट्रलाइज़्ड वित्त में सैंडविच अटैक दो दुर्भावनापूर्ण लेनदेन के साथ लंबित लेनदेन को घेरकर, बाजार की गतिशीलता का लाभ उठाते हैं। यह दृष्टिकोण बाज़ार में असंतुलन पैदा कर अप्रत्याशित स्लिपेज उत्पन्न करता है।
DeFi सैंडविच अटैक्स का उद्देश्य पीड़ित के व्यापार की एक्सचेंज दर को बढ़ाना और बाद में वित्तीय लाभ प्राप्त करने के लिए इसे उल्टा करना होता है। ये हमले बाज़ार में लिक्विडिटी टेकर्स के बीच या फिर लिक्विडिटी प्रोवाइडर से खरीदार तक होते हैं।
इस AMM घोटाले का लक्ष्य डिसेंट्रलाइज़्ड एक्सचेंज प्लेटफॉर्म और प्रोटोकॉल होते हैं क्योंकि वे बड़ी संख्या में उपयोगकर्ताओं को आकर्षित करते हैं, जिससे संभावित सैंडविच अटैक्स के पीड़ितों की संख्या में वृद्धि होती है।
