A BNB láncán a blokkok több mint harmada szendvicstámadást tartalmazott decemberben
December 1-jén a BNB Smart Chain blokkok több mint egyharmadában voltak jelen szendvicstámadások, ami rekordot jelent a decentralizált tőzsdei (DEX) felhasználókat célzó támadási forma vonatkozásában. A Dune Analytics adatai azt mutatják, hogy a blokkok 35,5%-a tartalmazott ilyen támadásokat, és ez egyetlen nap alatt 43400 tranzakcióban több mint 1,5 milliárd dollárnyi kereskedési volument érintett. Ez a rekordérték rámutat a DEX sebezhetőségével kapcsolatos aggodalmakra.
Májusban a jelentések szerint egyetlen bot 40 millió dollárt szipkázott el több mint 100000 áldozattól ugyanezzel a támadási formával mindössze három hónap alatt. Más példákról is írtunk korábban, amelyek rámutatnak az ilyen akciók hatására.
Mi a szendvicstámadás és hogyan lehet(ne) védekezni ellene?
A szendvicstámadások a piaci manipuláció egy olyan típusát jelentik, amikor a támadó az áldozat tranzakcióját két saját tranzakciója közé szorítja. A szendvicstámadás úgy történik, hogy a rosszindulatú támadó (ami szinte mindig egy bot) az áldozat tranzakcióját szendvicsbe zárja. Azaz egy magasabb gas díj segítségével biztosítja, hogy az egyik tranzakcióját biztosan az áldozaté előtt fogadják el. Majd egy alacsonyabb gas díj segítségével azt biztosítja, hogy a második tranzakcióját az áldozaté után fogadják el. Egyetlen blokkon belül a piaci értéknél olcsóbban megveszi az áldozat coinjait, majd még ugyanabban a blokkban eladja haszonnal. Ezt a folyamatot jellemzően maximum kinyerhető értékes (MEV) botok automatizálják, kihasználva a DEX infrastruktúráját. Mert amikor valaki benyújt egy tranzakciót, az egy nyilvános várakozási területbe, a mempoolba kerül. Itt vár addig, amíg egy bányász nem illeszti be egy blokkba. De mivel bárki láthatja a várakozó tranzakciókat, a gas díjak segítségével manipulálható a tranzakciók sorrendje is. És pont ezt teszik a botok is.
Az alacsony likviditás súlyosbítja a problémát, mivel az árfolyam-ingadozások könnyebben manipulálhatók. Ennek elkerülésére a protokollok jutalmakkal vagy partnerségekkel ösztönzik a felhasználókat arra, hogy több likviditást biztosítsanak. Mert ha nagyobb a likviditási pool, akkor az ár sem mozog annyira. Plusz célszerű, ha egy DEX a kereskedést aggregátorok segítségével felosztja több poolra. Sőt, egyes biztonsági szakértők arra kérik az ilyen platformokat, hogy használják a minimum elvárt hozam funkcióját, amellyel lehetne a szendvicstámadások hatását csökkenteni. A felhasználók pedig védekezhetnek ún. privát relay használatával, ami elrejti a tranzakciókat a blokkba való felvételig vagy védekezhetnek a blokk létrehozásának és érvényesítésének szétválasztásával, hogy a tranzakciókat titokban tartsák. Mindenképpen jó lenne tehát az ilyen támadások elleni védekezéshez iparági szabványok kötése a DEX platformok között.