AI 概要
展开
仅需 30 秒,即可快速掌握文章内容并判断市场情绪!
去中心化交易所 (DEX) 为加密货币交易者提供了众多机会和独特优势。与此同时,这些平台通常会吸引恶意行为者,意图造成伤害,以牺牲毫无戒心的交易者为代价赚取收益。虽然在讨论去中心化交易平台上的独特威胁时经常提到地毯拉力和快速借贷攻击,但另一种恶意攻击 - 三明治攻击 - 的关注度要低得多。
在最标准的三明治攻击形式中,具有邪恶动机的交易者在区块链上识别一个待处理的掉期交易,并在目标交易前后下两个订单,以操纵资产价格。罪魁祸首的目标是在预期价格上涨前买入资产,然后在价格上涨后迅速卖出。攻击的受害者最终以上涨的价格购买了资产,然后看不见其价格暴跌。
三明治攻击虽然比去中心化金融 (DeFi) 领域的其他安全漏洞公开程度更低,但对于成为这些漏洞受害者的交易者来说,这种攻击仍然是毁灭性的。如果交易者不知道自己受到此类攻击,可能会迅速损失大量资金并被淘汰,尤其是在攻击阶段主动下单时。
好消息是,交易者可以采取多种措施,最大限度地降低攻击者早餐三明治“充值”的可能性。在本文中,我们将详细介绍三明治攻击、其两个主要品种以及避免它们的主要方式。
关键要点:
三明治攻击是 DEX 平台的一种常见漏洞,攻击者会围绕受害者的兑换订单进行两笔(一种变化,三种)交易,意图操纵资产价格和收益,而牺牲受害者的利益。
保护自己免受三明治攻击的主要方式包括控制可接受的滑点率、使用更大的兑换池、支付更高的矿工费以及使用中心化交易平台 (CEX)。
夹层攻击是一种在 DEX 平台进行的恶意交易,攻击者通过这种交易识别待处理的掉期操作,并在目标交易之前和之后分别下单,以操纵资产价格。 恶意交易者通过同时进行前轮和后轮交易来“抛出”待处理交易,因此得名。他们的目标是以更低的价格买入毫无戒心的交易者选择的资产,然后在其回头交易后立即卖出。
由于三明治攻击,受害者以与预期执行价格相比上涨的价格买入资产。回溯交易后,资产价格下跌,受害人的资产价值低于他们支付的资产价值。根据受害者的交易量和活动,三明治攻击或一系列三明治攻击造成的损失可能会造成毁灭性损失。这些攻击在 DEX 上非常常见,尽管其覆盖率低于其他形式的漏洞利用,例如快速借贷攻击。
三明治攻击可视为套利交易的一种形式。然而,与其他形式的套利不同,这些攻击会直接伤害成为其受害者的交易者。三明治攻击者在受害者交易前后故意操纵价格,以赚取收益,费用由受害者承担。因此,除了恶意操纵市场外,这些攻击也不例外,在 DeFi 社区受到广泛谴责。
从技术上讲,由于区块链的公开性质,去中心化交易平台可能会发生三明治攻击。每个公共区块链都会将其待处理交易保留在 Mempool 区域,在交易最终写入区块链的永久记录分类账之前,Mempool 是等待交易的空间。攻击者正在积极寻找能够为这些漏洞带来巨大潜力的交易。
让我们来思考一下在实践中,典型的三明治攻击是如何发生的。
假设交易者决定在基于自动做市商 (AMM) 的 DEX 上下单,将 USDT 兑换为 ETH。一名三明治攻击者将受害者的交易置于待处理列表中,并迅速下达 ETH 买单,试图先执行自己的前线交易。由于区块链技术的性质,攻击者可以通过多种方式实现这一目标(例如,支付更高的矿工费来提高自己的交易优先级)。攻击者首先执行自己的交易,即可利用 ETH 的更低价格。由于买入订单,交易池中的 ETH 价格上涨。
因此,当受害者将 USDT 兑换为 ETH 的订单通过时,实际执行价格与预期价格不同,ETH 现在成本更高,因此受害者以虚高的价格获得资产。罪魁祸首还安排了另一笔交易,将在受害者交易后迅速执行。在这笔回撤交易中,罪魁祸首以上涨的价格卖出 ETH,并瓜分收益。由于卖出交易,ETH的价格下跌,受害者现在拥有的资产价值低于他们支付的资产价值。
三明治攻击主要有两种类型。最常见的是 Taker 与 Taker 场景。通常情况下,三明治攻击者使用 AMM 流动性资金池进行攻击。在 Taker 与 Taker 场景中,对资金池执行掉期操作,设置如上所述,恶意 Taker 试图通过围绕受害者订单进行前轮交易和后轮交易来操纵资产价格。
在第一个订单中,罪魁祸首将兑换资金池中的流动性作为一种先行方式,提高了受害者订单的滑点率。 在第二笔交易中,他们通过添加流动性来恢复初始资金池余额,从而执行回程方法。最后,他们将目标资产兑换为 ETH 和 USDT,使其恢复为攻击前的资产余额。
通过在 Taker 交易前移除流动性,流动性提供商无需支付佣金(通常由所有流动性提供商分担)。这意味着由于滑点增加,持仓者需要支付更多费用,而流动性提供商则保持佣金的削减。
一些 DEX 平台(例如 1inch)正在采取保护措施,通过引入在线轴中不可见的交易来防范三明治攻击。一些平台还保护用户免受 MEV(最大可提取价值)机器人的攻击,而 MEV 是一种经常用于三明治攻击的机器人。但是,任何 DeFi 交易者也应自行采取预防措施,以最大限度地降低成为这些攻击受害者的风险。下面,我们列出了一些主动方法,避免资金成为恶意攻击中多汁的三明治。
滑点率是指去中心化协议上掉期交易的预期成本与实际成本之间的差异。许多 DEX 平台都支持您为兑换交易设置可接受的滑点率。积极使用此选项,因为价格滑点在三明治攻击中占主导地位(特别是在流动性提供商与 Taker 变化中)。
流动性资金池越大,受三明治攻击影响越小,资金就越充裕。您使用的资金池越小,三明治攻击造成的价格波动就越明显,更极端的价格波动将意味着一件非常令人不快的事情:这些攻击造成的损失越大。
但请注意,三明治攻击者对 Uniswap (UNI) 和 SushiSwap (SUSHI) 等大型 DEX 最为活跃。 因此,平台的规模平台与特定资金池的流动性量关系不大。三明治攻击者喜欢大型 DEX 的低流动性资金池。因此,不要被平台庞大的行业足迹或声誉所欺骗。密切关注您感兴趣的资金池中通常可用的实际流动性水平。
DEX 聚合商在多个流动性资金池之间分配单笔交易可能会有所帮助,这可以通过降低单个资金池成为目标的可能性来减轻三明治攻击的影响。此外,由于 DEX 聚合商的目标是实现更高效的交易,因此使用 DEX 聚合商时滑点越小。
三明治攻击者进行邪恶交易的主要方式之一是在区块链上支付更高的矿工费。通过这样做,他们通常会确保(尽管从不保证)在受害者交易前执行其前线交易。您可以支付更高的矿工矿工费,在执行恶意前线订单之前处理您的交易,从而降低遭受这些攻击的脆弱性。
包括 Bybit 在内的中心化交易所 (CEX) 不会受到夹层攻击,因为此类攻击是 DEX 独有的。 虽然上述措施可以最大限度地降低(尽管从未消除)此类攻击的风险,但在 CEX 上进行交易是完全避免成为三明治攻击者牺牲品的唯一可靠方式。
三明治攻击利用区块链上交易订单的固有异步性质。虽然与抢先借贷攻击相比不那么引人注目,但它们在 DEX 和成本交易者中无处不在。幸运的是,有几种方法可以最大限度地减少这些攻击的潜在威胁。通过严格控制滑点率、使用更大的流动性资金池、支付更高的矿工费来提升订单优先级,以及使用 CEX 平台,您可以显著降低成为三明治攻击受害者的风险。
#LearnWithBybit