Zastrzeżenie prawne: Ten artykuł jest wstępnym tłumaczeniem na język [nazwa języka lokalnego] dostarczonym przez tłumaczenie maszynowe. Udoskonalona wersja będzie dostępna później.

Topics Current Page

Czym jest atak kanapkowy w krypto i jak się przed nim chronić

Intermediate

30 wrz 2024

8 min read

Podsumowanie AI

Pokaż więcej

Poznaj treść artykułu i oceń nastroje rynkowe w zaledwie 30 sekund!

Decentralizowane giełdy (DEX) oferują inwestorom kryptowalut liczne możliwości i wyraźne korzyści. Jednocześnie platformy te często przyciągają przestępców z zamiarem wyrządzenia szkody i czerpania zysków kosztem nieświadomych innych traderów. Podczas gdy często wspomina się o ciągnięciu dywanów i atakach typu flash pożyczek podczas omawiania unikalnych zagrożeń na zdecentralizowanych platformach handlowych, o wiele mniej uwagi zyskuje inny rodzaj złośliwego ataku – atak typu kanapka.

W najbardziej standardowej formie ataku kanapkowego inwestor z zniekształconymi motywami identyfikuje oczekującą transakcję swap na blockchain i składa dwa zlecenia — jedno przed i jedno po transakcji docelowej — w celu manipulowania ceną aktywów. Celem winowajcy jest kupno aktywów przed oczekiwanym wzrostem cen, a następnie szybka sprzedaż po inflacji cen. Ofiara ataku ostatecznie kupuje składnik aktywów po zawyżonej cenie, a następnie bezradnie obserwuje, jak jego cena gwałtownie spada.

Ataki na kanapki – choć mniej rozpowszechnione niż inne luki w zabezpieczeniach w świecie zdecentralizowanych finansów (DeFi) – nadal mogą być katastrofalne dla traderów, którzy padną ofiarą tych exploitów. Handlowcy nieświadomi tego, że są celem takiego ataku, mogą szybko stracić znaczne fundusze i zostać usunięci, zwłaszcza jeśli aktywnie składają zamówienia podczas fazy ataku.

Dobra wiadomość jest taka, że istnieje kilka środków, które inwestorzy mogą wdrożyć, aby zminimalizować prawdopodobieństwo „wypełnienia” kanapki śniadaniowej atakującego. W tym artykule przyjrzymy się bliżej atakom kanapkowym, ich dwóm głównym odmianom i kluczowym sposobom ich unikania.

Najważniejsze wnioski:

Atak kanapkowy jest powszechnym exploitem na platformach DEX, w którym atakujący przeprowadza dwie (a w jednej odmianie trzy) transakcje wokół zlecenia zamiany ofiary, zamierzając manipulować cenami aktywów i zyskiem kosztem ofiary.
Kluczowe sposoby ochrony przed atakami kanapkowymi obejmują kontrolowanie akceptowalnych współczynników poślizgu, korzystanie z większych pul swapów, uiszczanie wyższych opłat gazowych i korzystanie z scentralizowanych platform wymiany (CEX).

Czym jest atak kanapki w krypto?

Atak kanapkowy to rodzaj złośliwej transakcji na platformach DEX, w ramach której atakujący identyfikuje oczekującą operację swap i składa jedno zamówienie przed i drugie zaraz po transakcji docelowej w celu manipulowania ceną aktywów. Złośliwy trader „przeciąga” oczekującą transakcję, jednocześnie uruchamiając ją z przodu i wstecz, stąd nazwa. Ich celem jest zakup aktywów wybranych przez nieświadomego inwestora po niższej cenie, a następnie ich sprzedaż natychmiast po ich transakcjach back-runningowych.

W wyniku ataku kanapkowego ofiara kupuje aktywa po zawyżonej cenie w porównaniu z oczekiwaną ceną wykonania. Po transakcji back-run cena aktywów spada, a ofiara otrzymuje aktywa o wartości niższej niż to, za co zapłaciła. W zależności od wolumenu transakcji i aktywności ofiary, straty z ataku kanapkowego — lub ich serii — mogą być katastrofalne. Ataki te są dość powszechne na DEX, chociaż otrzymują one mniej zasięgu niż inne formy exploitów, takie jak ataki typu flash loan.

Ataki na kanapki można uznać za formę handlu arbitrem. Jednak w odróżnieniu od innych form arbitrażu, ataki te bezpośrednio szkodzą inwestorom, którzy padną ofiarą tych ataków. Atakujący kanapki celowo manipuluje ceną — zarówno przed, jak i po transakcji ofiary — aby zyskać na koszt ofiary. W związku z tym ataki te są niczym innym, jak złośliwą manipulacją rynkiem i są powszechnie uznawane w społeczności DeFi.

Pod względem technicznym ataki typu kanapki są możliwe na zdecentralizowanych platformach handlowych ze względu na publiczny charakter blockchains. Każdy publiczny blockchain przechowuje swoje oczekujące transakcje w obszarze mempoolu, poczekalni na transakcje, zanim zostaną ostatecznie zapisane w trwałej księdze rekordów blockchain. Atakujący aktywnie szukają w mempoolu transakcji, które zapewniają dobry potencjał tych exploitów.

Jak działa atak kanapki?

Zastanówmy się, w jaki sposób typowy atak kanapkowy może wystąpić w praktyce.

Załóżmy, że trader decyduje się złożyć zlecenie swapu na DEX zautomatyzowanym market maker (AMM), który wymienia USDT na ETH . Atakujący kanapki zauważa transakcję ofiary na liście oczekujących i szybko składa zlecenie zakupu dla ETH, próbując najpierw wykonać własną transakcję front-running. Ze względu na naturę technologii blockchain haker może to osiągnąć (na przykład, płacąc wyższą opłatę za gaz, aby podnieść priorytet własnej transakcji). Po zrealizowaniu w pierwszej kolejności własnej transakcji atakujący wykorzystuje niższą cenę ETH. W wyniku zlecenia zakupu cena ETH w puli transakcyjnej wzrasta.

W związku z tym, gdy polecenie ofiary o zamianę USDT na ETH przechodzi, rzeczywista cena wykonania różni się od tego, czego oczekiwała — a ETH teraz kosztuje więcej, więc ofiara otrzymuje aktywa po zawyżonej cenie. Przestępca planuje również kolejną transakcję, którą należy szybko wykonać po transakcji ofiary. W tej zaległej transakcji winowajca sprzedaje ETH po zawyżonej cenie i kieszonkuje zysk. W wyniku transakcji sprzedaży cena ETH spada, a ofiara jest teraz właścicielem aktywów o wartości niższej niż to, za co zapłaciła.

Rodzaje ataków kanapek

Czynnik płynności kontra Czynnik

Istnieją dwa główne rodzaje ataków kanapkowych. Najczęstszym scenariuszem jest scenariusz „zdawca” a „zbieracz”. Zazwyczaj atakujący kanapki wykorzystują baseny płynności w AMM do przeprowadzania ataków. W scenariuszu taker vs. taker operacje swap są wykonywane na puli, a konfiguracja jest opisana powyżej, przy czym złośliwy taker próbuje manipulować cenami aktywów, umieszczając zarówno transakcję prowadzoną od przodu, jak i transakcję wsteczną wokół zlecenia ofiary.

Dostawca płynności a podmiot przyjmujący

Atakujący wykorzystują również modyfikację standardowego ataku kanapkowego, działając jako dostawcy płynności. Podczas gdy osoby przyjmujące płynność atakują za pomocą dwóch transakcji, atakujący realizują trzy zlecenia w trybie dostawcy płynności w porównaniu z osobami przyjmującymi.

W pierwszej kolejności winowajca usuwa płynność z puli swapów jako metodę uruchomienia z przodu, zwiększając współczynniki poślizgu dla zlecenia ofiary. W drugiej transakcji wykonuje oni metodę wsteczną, dodając płynność z powrotem, aby przywrócić początkowe saldo puli. Na koniec wymieniają docelowy zasób – w naszym przykładzie powyżej ETH dla oryginalnego zasobu i USDT, aby przywrócić saldo aktywów w puli do stanu sprzed ataku.

Usuwając płynność przed dokonaniem transakcji przez powiernika, dostawca płynności unika wnoszenia prowizji (która jest zwykle współdzielona między wszystkich dostawców płynności). Oznacza to, że osoba przyjmująca musi zapłacić więcej, ze względu na zwiększony poślizg, podczas gdy dostawca płynności utrzymuje obniżoną prowizję.

Ochrona przed atakami kanapek

Niektóre platformy DEX (takie jak 1 cal) podejmują środki zabezpieczające przed atakami kanapkowymi, wprowadzając transakcje, które nie są widoczne w mempoolu. Niektóre platformy chronią użytkowników również przed botami MEV (maksymalna wartość ekstrahowalna), typami botów często używanymi w atakach kanapek. Jednak każdy trader DeFi powinien również podjąć własne środki ostrożności w celu zminimalizowania ryzyka bycia ofiarą tych ataków. Poniżej przedstawiamy kilka proaktywnych sposobów na uniknięcie sytuacji, w której Twoje fundusze staną się soczystymi kanapkami, które wypełnią złośliwy atak.

Ustaw niski poślizg

Stawki poślizgu to różnica między oczekiwanym a rzeczywistym kosztem transakcji swap w protokołach zdecentralizowanych. Wiele platform DEX umożliwia ustalanie akceptowalnych wskaźników poślizgu dla transakcji swapowych. Użyj tej opcji aktywnie, ponieważ aspekt poślizgu cen jest wyraźnie widoczny w atakach kanapkowych (zwłaszcza w przypadku dostawcy płynności w porównaniu z zmiennością pobierających).

Użyj większych puli płynności

Większe pule płynności są mniej narażone na ataki kanapkowe dzięki temu, że mają duże fundusze. Im mniejsza pula, z której korzystasz, tym bardziej widoczne są wahania cen spowodowane atakami na kanapki — a bardziej ekstremalne wahania cen oznaczają jedną bardzo nieprzyjemną rzecz: większe straty z tych ataków.

Należy jednak pamiętać, że atakujący kanapki są najbardziej aktywni na dużych DEX, takich jak Uniswap (UNI) i SushiSwap (SUSHI). Dlatego mniej chodzi o rozmiar platformy, a bardziej o wielkość płynności w określonej puli. Atakujący kanapki uwielbiają baseny o niskiej płynności na dużych DEXach. Dlatego nie daj się zwieść dużemu zasięgowi lub reputacji platformy. Zwróć szczególną uwagę na rzeczywiste poziomy płynności zazwyczaj dostępne w interesującej Cię puli.

Agregatory DEX mogą być pomocne, ponieważ rozdzielają pojedynczy handel w wielu pulach płynności, co może złagodzić wpływ ataków kanapek poprzez zmniejszenie prawdopodobieństwa, że jedna pula jest celem. Ponadto, ponieważ agregatorzy DEX chcą wykonywać bardziej wydajne transakcje, istnieje większe prawdopodobieństwo, że podczas korzystania z nich pojawi się niższy poślizg.

Wyższe opłaty za gaz

Jednym z kluczowych sposobów, w jaki przestępcy kanapkowi prowadzą złośliwy handel, jest uiszczenie wyższych opłat gazowych za blockchain. Robiąc to, często zapewniają (choć nigdy nie gwarantują), że ich transakcja z przodu zostanie zrealizowana przed transakcją ofiary. Możesz zmniejszyć podatność na te ataki, płacąc wyższą opłatę za gaz, aby transakcje były przetwarzane przez górników przed wykonaniem złośliwego zlecenia.

Użyj scentralizowanych giełd

Scentralizowane giełdy (CEX), w tym Bybit, są odporne na ataki kanapkowe, ponieważ ten rodzaj ataku jest unikalny dla DEX. Chociaż powyższe środki mogą zminimalizować (choć nigdy nie eliminować) ryzyko takich ataków, prowadzenie transakcji na CEX jest jedynym niezawodnym sposobem na całkowite uniknięcie możliwości padnięcia ofiarą atakujących kanapki.

Przemyślenia końcowe

Ataki na kanapki wykorzystują asynchroniczny charakter zlecania transakcji w blockchain. Chociaż nie są tak głośne, jak wyraźne ataki typu flash kredytowe, są one bardzo wszechobecne w DEX i traderach kosztowych. Na szczęście istnieje kilka sposobów zminimalizowania potencjalnego zagrożenia tymi atakami. Ścisła kontrola wskaźników poślizgu, korzystanie z większych pul płynności, uiszczanie wyższych opłat gazowych w celu podniesienia priorytetu zamówień i korzystanie z platform CEX pozwala znacznie zmniejszyć ryzyko padnięcia ofiarą ataków kanapkowych.

#LearnWithBybit