Dune Analytics 的数据显示,12 月 1 日,三明治攻击侵入了超过三分之一的 BNB 智能链区块,创下了针对去中心化交易所用户的攻击记录。
分析显示,35.5%的区块包含此类攻击,单日43,400笔交易受影响,交易量超过15亿美元。
这一激增凸显了人们对 DEX 漏洞的担忧。5 月份的报道强调,一个机器人在短短三个月内利用同一种攻击从 10 多万受害者手中窃取了 4000 万美元。
币安发言人没有立即回应置评请求。
三明治攻击如何利用系统
夹层攻击是一种市场操纵,攻击者将受害者的交易夹在自己的两笔交易之间。
恶意交易者在受害者交易之前下达买入订单,推高代币价格,并在之后立即下达卖出订单,从人为抬高的价格中获利。
该过程通常由最大提取值(MEV)机器人自动执行,利用 DEX 基础设施。
加密网络安全公司 Immunefi 的智能合约工程师 Alejandro Munoz-McDonald 告诉 Decrypt,此类攻击是 DEX 基础设施运作方式的直接后果。
他说:“当用户提交交易时,该交易会被放置在公共等待区(即内存池)中,交易会一直停留在那里,直到被矿工纳入区块中。”
当用户提交交易时,它会进入 mempool 或“内存池”,并保留在那里,直到矿工选择它并将其包含在区块中。
矿工通常优先处理费用更高的交易,这会影响交易处理的顺序。
由于矿工优先考虑提供最高费用的交易,攻击者可以贿赂他们重新排序交易,确保他们的策略成功执行。
“这实际上意味着攻击者可以在交易执行之前查看任何人的交易意图,并可以影响交易的排序,”Munoz-McDonald 补充道。
解决方案就在眼前,但需要教育
去中心化金融平台 SMARDEX 的联合创始人 Jean Rausis 指出,流动性低使价格波动更容易被操纵,从而加剧了这一问题。
他认为,协议可以通过奖励或合作激励用户提供更多流动性来减轻攻击。
“当矿池变大时,价格波动就不会那么大,攻击的吸引力就会变小,”Rausis 解释道。
他还建议使用 DEX 聚合器将交易分散到多个池中,以减少脆弱性。
Munoz-McDonald 还敦促 DEX 采用最低预期回报功能,如果未达到预期回报,交易就会失败,从而限制夹层的影响。
同时,用户可以通过使用私人中继器来保护自己,私人中继器可以隐藏交易直到被纳入区块,或者分离区块创建和验证以保证交易的私密性。
加密网络安全公司 Trugard 的首席技术官兼联合创始人 Jeremiah O’Connor 建议,另一种选择是将区块创建和验证分开,将交易保存在私人内存池中。
他告诉 Decrypt:“区块链生态系统应该采用通用的安全实践 [...] 作为防御攻击的标准。”
编辑:Sebastian Sinclair
