一文讀懂常見的DeFi攻擊策略——三明治攻擊 - PANews

一文讀懂常見的DeFi攻擊策略——三明治攻擊. Odaily星球日報 ｜2021-06-01 19:45. 區塊鏈的去中心化理念意味著除了係統解決方案本身之外，冇有人能保護和保證你的資產 ... 风险提示：央行等十部委发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》,请读者提高风险意识，理性看待区块链。

风险提示：央行等十部委发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》,请读者提高风险意识，理性看待区块链。

首頁深度快訊專題專欄事件日曆搜索iOS版下載安卓版下載简体中文繁體中文한국어註冊/登錄一文讀懂常見的DeFi攻擊策略——三明治攻擊Odaily星球日報｜2021-06-0210:45區塊鏈的去中心化理念意味著除了係統解決方案本身之外，冇有人能保護和保證你的資產安全。

原文作者：AntonDzyatkovskii 來自hackernoon 由Odaily星球日報譯者Katie辜編譯最近CipherTrace的研究指出，儘管加密貨幣用戶因犯罪攻擊而造成的損失在2020年大幅下降了57%，DeFi詐騙仍層出不窮，用戶上當受騙的情況屢見不鮮。

CipherTrace CEO表示，隨著金融機構的成熟和采取更強的安全措施，針對中心化交易所的何可盜竊有所減少。

監管和執法正在著力打擊欺詐活動，這促使犯罪分子將目標轉向去中心化的服務平台。

相比於中心化交易所、貨幣服務企業和銀行麵臨的傳統監管執行機製，DeFi平台去中心化的本質使其成為轉移財產和洗錢的理想場所。

DEX用戶應該意識到去中心化交易所不會將資產監管交給第三方。

由於其去中心化的性質，DeFi不受各國政府的監管，從而使一些交易者在交易上采取掠奪性的行為，例如搶先交易（front-running）、拉高甩貨（pump&dump）和洗錢交易。

什麼是搶先交易（Front-running）？三明治攻擊（sandwichattacks）是DeFi裡流行的搶先交易技術的一種。

為了形成一個“三明治”交易，攻擊者（或者我們叫他掠奪性交易員）會找到一個待處理的受害者交易，然後試圖通過前後的交易夾擊該受害者。

這種策略來源於買賣資產從而操作資產價格的方法。

區塊鏈的透明度、以及執行訂單的延遲（往往在網絡擁堵情況下），使搶先交易更加容易，並極大降低了交易的安全性。

所有區塊鏈交易都可在內存池（mempool）中查到。

一旦掠奪性交易者注意到潛在受害者的待定資產X交易被用於資產Y，他們就會在受害者之前購買資產Y。

掠奪性交易者知道受害者的交易將提高資產的價格，從而計劃以較低的價格購買Y資產，讓受害者以較高的價格購買，最後再以較高的價格出售資產。

三明治攻擊分析該想法簡單易行。

儘管有數據表明，專業的掠奪性交易員每天的掠奪收入大概在4000美元，而實際的操作技術多種多樣，跟著我們的分析，看看三明治攻擊具體如何實現。

在開始之前，我們簡單解釋6個相關小概念。

自動做市商（AMM）這是一種預定義的定價算法，可根據流動池中的資產自動執行價格發現和市場製定。

自動做市商運行流動性提供者（LP）關注和跟進市場，然後設置買入價格賣出價，流動性接受者反過來與自動做市商進行交易。

價格滑點這是交易過程中資產價格的變化。

價格滑點是根據交易資產的數量和可用的流動性來預測。

交易的資產越多，預期的滑點就越高。

預期的滑點將在交易前計算出來。

意外價格滑點是在交易過程中由於某種未知或不可預測的原因而發生的價格上漲或下跌。

預期的執行價格根據AMM算法和X/Y狀態計算預期價格。

這是流動性接受者在開始交易時所指望的價格。

執行價格執行交易所需的時間可能會極大地改變預期的執行價格和AMM市場的狀態。

意外價格滑點執行價格與預期執行價格之間的差額。

意外滑點率超過預期價格的意外滑點。

例如，流動性接受者想要以0.05Y單位的價格交易1X，換取20Y。

交易需要一些時間，當它最終執行時，價格可能已經改變，現在是0.1Y單位。

在這個價格下，流動性接受者隻能買10Y換1X。

意外滑點為0.05(0.1−0.05)。

另一方麵，如果執行價格下降到0.25Y單位，流動性接受者現在可以以1X的價格購買40Y。

這裡的意外滑點為-0.15(-0.25-0.1)。

接下來，一起看兩個場景：流動性接受者攻擊流動性接受者在這種情況下，流動性接受者試圖攻擊另一個未處理的AMMDEX交易的流動性接受者。

看到等待處理的交易，攻擊者發出兩個交易前後夾擊，從交易者的交易中獲益。

現在有三個懸而未決的交易由一個流動性池和資產組合連接起來。

礦工必須選擇哪筆交易將首先獲得處理。

這時掠奪者可以通過支付更高或更低的交易費用金額來賄賂礦工，從而決定哪個交易優先處理。

流動性提供者攻擊流動性接受者在這種情況下，流動性提供者試圖攻擊流動性接受者。

攻擊者看到一個待處理的交易，然後執行三個交易:消除流動性：通過減少資產的市場流動性增加受害者的滑點；增加流動性：將礦池中的流動性恢複到攻擊前的水平；用資產Y交易資產X：將X的資產餘額恢複到攻擊前的狀態。

在這種攻擊中，對手在受害者的交易執行之前從流動性礦池中取出所有資產。

在這樣做的過程中，掠奪者放棄了受害者交易的傭金。

流動性提供者按其向AMMDEX市場提供的流動性的比例收取傭金。

三明治攻擊就一定能獲利嗎？一切操作看起來有邏輯且簡單。

但最終問題是所有三明治攻擊都能獲得收益嗎？除非DEX不要求你支付手續費，那麼交易儘可能多的代幣將是獲得最大利潤的合理方式。

舉例子，Uniswap在每次交易中收取0.3%的手續費，這導致攻擊者不得不至少提交兩次交易。

而且彆忘了每次交易都需支付的gas費用，如果你執行搶先交易，就必須支付更高的gas費用。

因此可以得出，除了費用和傭金高於受害者的交易金額外，掠奪者並冇有獲得任何利潤。

三明治攻擊已經不是什麼新伎倆了，這個概念和對整個市場用戶的影響在去中心化金融概念被提出前就已經受關注。

自動做市商似乎是去中心化交易最好的解決方案，但至今還有很多漏洞被惡意攻擊行為利用。

隨著DeFi吸引越來越多的人入場，對冇有經驗的交易者的保護將成為區塊鏈專家的首要解決問題。

而且去中心化的概念本身就意味永遠不可能有一個被授權的第三方來保證用戶資產安全、保證和對用戶的損失作出賠償。

以太坊的創造者V神在2018年談到解決方案時說道：“如果做市商從隱含價差中賺取利潤，則這些利潤可以事後分配給以不公平價格購買的用戶。

例如，如果某個時期的價格從P1變為P2，但在這兩者之間的時間段內要麼超過P2，要麼低於P1，那麼在做市商有可用資金的情況下，以該價格購買的任何人都可以在事後發送另一筆交易以索取一些額外資金。

”至今為止，無論是在單獨一個場景還是整個行業，DeFi都極易受到價格操作和各種可疑策略的影響。

那麼現在我們已經處於“安全區”了嗎？答案是否定的。

區塊鏈的去中心化理念意味著除了係統解決方案本身之外，冇有人能保護和保證你的資產安全。

除此之外，交易者應該明白，DeFi目前還處於萌芽階段，有很多不完善和缺陷。

那為什麼人們還是願意冒著風險繼續使用DEXs進行交易呢？入場的各位應該都明白，大多人都是想輕鬆獲得巨額利潤而相聚在加密貨幣和區塊鏈世界。

如果想要成為這個蓬勃發展的行業的一員並從中發財的話，這個領域的巨大潛在成本、缺乏安全性和不斷變化的規則都是用戶必須接受的缺點。

所以，“這個口味的三明治”，各位可能也會無福可享~分享至微信作者：Odaily星球日報本文为PANews入驻专栏作者的观点，不代表PANews立场，不承担法律责任。

文章及观点也不构成投资意见。

图片来源：Odaily星球日報如有侵权，请联系作者删除。

熱門文章ConsenSysDiligence推出代幣化服務的NFTTURN，以優化智能合約審計服務的價格發現內部人士：騰訊計劃關停數字藏品業務“幻核”社交圖譜協議CyberConnect推出Web3社交網絡平台Link3遊戲內比特幣微支付開發公司ZEBEDEE完成3500萬美元B輪融資跨鏈橋AcrossProtocol啟動第一階段ACX代幣空投激勵計劃大戶地址數千枚POAP疑遭官方銷毀，POAP官方稱將對此發布公告更多PANews深度文章App内阅读iOS版下載安卓版下載精選專題更多23篇文章聚焦以太坊合並以太坊合並是指以太坊主網（執行層）和信標鏈（共識層）進行合並（即TheMerge），一旦合並完成，以太坊共識機製將從POW轉換成POS共識機製。

根據目前的開發進度來看，以太坊合並有望在2022年內完成。

52篇文章加密創業者錦囊成為加密創業者必知必備的錦囊，內容涵蓋技術棧，營銷，經濟模型等等。

32篇文章加密熊市生存指南想要安心度過加密熊市？需謹記這些熊市重要生存法則。

45篇文章解讀多鏈宇宙Cosmos全生態Cosmos相關資訊、優質項目、空投教程、IDO，你關心的有關Cosmos的一切這裡都有。