一文讀懂常見的DeFi攻擊策略——三明治攻擊_NFT:EFI

本文來自?hackernoon，原文作者：AntonDzyatkovskii，由Odaily星球日報譯者Katie辜編譯。

最近CipherTrace的研究指出，盡管加密貨幣用戶因犯罪攻擊而造成的損失在2020年大幅下降了57%，DeFi詐騙仍層出不窮，用戶上當受騙的情況屢見不鮮。

CipherTrace?CEO表示，隨著金融機構的成熟和采取更強的安全措施，針對中心化交易所的何可盜竊有所減少。監管和執法正在著力打擊欺詐活動，這促使犯罪分子將目標轉向去中心化的服務平臺。相比于中心化交易所、貨幣服務企業和銀行面臨的傳統監管執行機制，DeFi平臺去中心化的本質使其成為轉移財產和洗錢的理想場所。

DEX用戶應該意識到去中心化交易所不會將資產監管交給第三方。由于其去中心化的性質，DeFi不受各國政府的監管，從而使一些交易者在交易上采取掠奪性的行為，例如搶先交易、拉高甩貨和洗錢交易。

Kine Protocol獲得2400萬美金融資:據官方消息，Kine Protocol獲得2400萬美金融資，AngelList、OKX、Blockchain Capital、Spartan、CMS Holdings等多家機構投資。Kine Protocol是一家去中心化衍生品交易所，致力于為投資者提供安全、透明和高效的交易環境。[2023/7/20 11:06:47]

什么是搶先交易？

三明治攻擊是DeFi里流行的搶先交易技術的一種。為了形成一個“三明治”交易，攻擊者會找到一個待處理的受害者交易，然后試圖通過前后的交易夾擊該受害者。這種策略來源于買賣資產從而操作資產價格的方法。

區塊鏈的透明度、以及執行訂單的延遲，使搶先交易更加容易，并極大降低了交易的安全性。

所有區塊鏈交易都可在內存池中查到。一旦掠奪性交易者注意到潛在受害者的待定資產X交易被用于資產Y，他們就會在受害者之前購買資產Y。掠奪性交易者知道受害者的交易將提高資產的價格，從而計劃以較低的價格購買Y資產，讓受害者以較高的價格購買，最后再以較高的價格出售資產。

Voyager因其獎勵營銷計劃在2022年損失5800萬美元:金色財經報道，Voyager 因其獎勵計劃在 2022 年損失了 5800 萬美元，該獎勵計劃包括高收益利息賬戶、推薦計劃等。據法庭文件顯示，Voyager 高管表達了其部分向用戶提供高收益產品會產生重大損失的擔憂，Voyager 高管始終將獎勵計劃成本視為獲取用戶所必需的營銷費用，但由于大量虧損，其希望降低部分收益產品的收益率。[2023/3/1 12:36:50]

三明治攻擊分析

該想法簡單易行。盡管有數據表明，專業的掠奪性交易員每天的掠奪收入大概在4000美元，而實際的操作技術多種多樣，跟著我們的分析，看看三明治攻擊具體如何實現。在開始之前，我們簡單解釋6個相關小概念。

自動做市商

這是一種預定義的定價算法，可根據流動池中的資產自動執行價格發現和市場制定。自動做市商運行流動性提供者關注和跟進市場，然后設置買入價格賣出價，流動性接受者反過來與自動做市商進行交易。

Binance孵化器第五季孵化計劃項目公布:11月10日消息，Binance 公布入選 Binance 孵化器第五季孵化計劃的 12 個項目，涵蓋基礎設施、zkDID、DeFi、工具、安全、游戲和支付領域。這 12 個項目分別是 DeFi 衍生品協議 Bracket Protocol、加密基礎設施 DappOS、以太坊虛擬機 (EVM)HANA、瑞典 Web3 公司 Kryptoskatt、可組合數據協議 Mind Network 、Web3 身份基礎設施 Notebook Labs、鏈上隨機協議 Ontropy 、Web3 支付產品 PIP、Web3 安全服務 Sandbags、Web3 開發安全基礎設施和教育 Wallet Guard、隱私保護去中心化 KYC 解決方案 zkPass。[2022/11/10 12:45:45]

價格滑點

球星內馬爾將在世界杯期間發行其首個NFT系列:10月24日消息，巴西足球巨星內馬爾宣布將在世界杯期間推出其首個NFT系列，目前其白名單JungleVIBES已在NFTSTAR上開放鑄造。NFTSTAR表示，即將發行NFT系列將由NFTSTAR與NR SPORTS聯合發售，全稱為“Beastmode Metaverse x Neymar Jr.”。

持有該NFT的用戶將可以參加內馬爾獨家見面會，與內馬爾直接互動交流，并有機會獲取限量版簽名收藏品。[2022/10/25 16:37:30]

這是交易過程中資產價格的變化。價格滑點是根據交易資產的數量和可用的流動性來預測。交易的資產越多，預期的滑點就越高。預期的滑點將在交易前計算出來。

意外價格滑點是在交易過程中由于某種未知或不可預測的原因而發生的價格上漲或下跌。

預期的執行價格

慢霧：PREMINT攻擊者共竊取約300枚NFT，總計獲利約280枚ETH:7月18日消息，慢霧監測數據顯示，攻擊PREMINT的兩個黑客地址一共竊取了大約300枚NFT，賣出后總計獲利約280枚ETH。此前報道，黑客在PREMINT網站植入惡意JS文件實施釣魚攻擊，從而盜取用戶的NFT等資產。[2022/7/18 2:19:58]

根據AMM算法和X/Y狀態計算預期價格。這是流動性接受者在開始交易時所指望的價格。

執行價格

執行交易所需的時間可能會極大地改變預期的執行價格和AMM市場的狀態。

意外價格滑點

執行價格與預期執行價格之間的差額。

意外滑點率

超過預期價格的意外滑點。

例如，流動性接受者想要以0.05Y單位的價格交易1X，換取20Y。交易需要一些時間，當它最終執行時，價格可能已經改變，現在是0.1Y單位。在這個價格下，流動性接受者只能買10Y換1X。意外滑點為0.05(0.1?0.05)。另一方面，如果執行價格下降到0.25Y單位，流動性接受者現在可以以1X的價格購買40Y。這里的意外滑點為-0.15(-0.25-0.1)。

接下來，一起看兩個場景：流動性接受者攻擊流動性接受者

在這種情況下，流動性接受者試圖攻擊另一個未處理的AMMDEX交易的流動性接受者。看到等待處理的交易，攻擊者發出兩個交易前后夾擊，從交易者的交易中獲益。現在有三個懸而未決的交易由一個流動性池和資產組合連接起來。礦工必須選擇哪筆交易將首先獲得處理。這時掠奪者可以通過支付更高或更低的交易費用金額來賄賂礦工，從而決定哪個交易優先處理。

流動性提供者攻擊流動性接受者:

????在這種情況下，流動性提供者試圖攻擊流動性接受者。攻擊者看到一個待處理的交易，然后執行三個交易:

消除流動性：通過減少資產的市場流動性增加受害者的滑點；

增加流動性：將礦池中的流動性恢復到攻擊前的水平；

用資產Y交易資產X：將X的資產余額恢復到攻擊前的狀態。

在這種攻擊中，對手在受害者的交易執行之前從流動性礦池中取出所有資產。在這樣做的過程中，掠奪者放棄了受害者交易的傭金。流動性提供者按其向AMMDEX市場提供的流動性的比例收取傭金。

三明治攻擊就一定能獲利嗎？

一切操作看起來有邏輯且簡單。但最終問題是所有三明治攻擊都能獲得收益嗎？

除非DEX不要求你支付手續費，那么交易盡可能多的代幣將是獲得最大利潤的合理方式。舉例子，Uniswap在每次交易中收取0.3%的手續費，這導致攻擊者不得不至少提交兩次交易。而且別忘了每次交易都需支付的gas費用，如果你執行搶先交易，就必須支付更高的gas費用。因此可以得出，除了費用和傭金高于受害者的交易金額外，掠奪者并沒有獲得任何利潤。

三明治攻擊已經不是什么新伎倆了，這個概念和對整個市場用戶的影響在去中心化金融概念被提出前就已經受關注。自動做市商似乎是去中心化交易最好的解決方案，但至今還有很多漏洞被惡意攻擊行為利用。隨著DeFi吸引越來越多的人入場，對沒有經驗的交易者的保護將成為區塊鏈專家的首要解決問題。而且去中心化的概念本身就意味永遠不可能有一個被授權的第三方來保證用戶資產安全、保證和對用戶的損失作出賠償。

以太坊的創造者V神在2018年談到解決方案時說道：

“如果做市商從隱含價差中賺取利潤，則這些利潤可以事后分配給以不公平價格購買的用戶。例如，如果某個時期的價格從P1變為P2，但在這兩者之間的時間段內要么超過P2，要么低于P1，那么在做市商有可用資金的情況下，以該價格購買的任何人都可以在事后發送另一筆交易以索取一些額外資金。”

至今為止，無論是在單獨一個場景還是整個行業，DeFi都極易受到價格操作和各種可疑策略的影響。

那么現在我們已經處于“安全區”了嗎？

答案是否定的。

區塊鏈的去中心化理念意味著除了系統解決方案本身之外，沒有人能保護和保證你的資產安全。除此之外，交易者應該明白，DeFi目前還處于萌芽階段，有很多不完善和缺陷。

那為什么人們還是愿意冒著風險繼續使用DEXs進行交易呢？

入場的各位應該都明白，大多人都是想輕松獲得巨額利潤而相聚在加密貨幣和區塊鏈世界。如果想要成為這個蓬勃發展的行業的一員并從中發財的話，這個領域的巨大潛在成本、缺乏安全性和不斷變化的規則都是用戶必須接受的缺點。

所以，“這個口味的三明治”，各位可能也會無福可享~

Tags：NFTDEFEFIDEFIENERGY Vault (NFTX)InfiniityDeFiDefisDeFi Forge

狗狗幣最新價格