Stali jste se na Uniswapu obětí “sendvičového” útoku? Takto tomu předejdete

Pěkně od začátku – uzly a mempooly

Vše začíná u nodes neboli česky uzlů. Uzly jsou objekty v kryptoměnové síti, které v sobě uchovávají data z blockchainu. Veškeré transakce procházejí skrz uzly, které je kontrolují a potvrzují.

Jejich decentralizace zabraňuje možným podvodům. Uzel uchovává kopii blockchainu, tedy informace o tom, odkud kam směřovaly transakce a má tak samozřejmě přehled i o tom, kdo kolik dané kryptoměny vlastní.

Mezi jednotlivými nody musí panovat na těchto údajích shoda. Pokud by se údaje lišily, tak transakce nepostoupí dále.

Každý node má svůj mempool. Právě do něj se transakce po kontrole u uzlů přesune. Zde najdeme veškeré příkazy, které čekají na zařazení do bloku, tedy můžeme říci na vyřízení. Z mempoolu si je poté vybírají těžaři, kteří je uzavírají.

Na řadu přicházejí těžaři

U každé transakce se nastavuje v peněžence poplatek na zpracování. Čím bude vyšší, tím rychleji bude obchod uzavřen. Těžaři upřednostňují transakce, u kterých je nastaven vyšší poplatek za zpracování. Je to logické, mají tak z těžby vyšší zisk.

Z předchozího odstavce vyplývá, že těžaři mohou transakce libovolně přidávat, odebírat nebo upravovat pořadí zpracování. S tímto problémem souvisí pojem MEV (maximal extractable value). Jedná se o maximální hodnotu, kterou těžař může získat v případě, že transakce přeskládá tím nejideálnějším způsobem.

A vše kazí hledači…

Dále existují tzv. hledači (searchers), kteří ve veřejně dostupných blockchainových datech vyhledávají příležitosti, na kterých mohou vydělat. V zásadě pracují s několika strategiemi, které využívají toho, že transakce o velkém objemu změní cenu obchodu. Činí tak za pomoci zvyšování či snižování poplatku za zpracování transakce.

Pokud proběhne velká transakce, cena se posune směrem vzhůru. Hledači, pokud posunou svůj obchod výše, ho tak provedou za výhodnějších podmínek, i když zaplatí větší poplatek za transakci. K nalézání vhodných transakcí využívají roboty, kteří čekají v mempoolu na transakce, kterých by mohli využít.

Situaci výše, kdy útočník nastavuje vyšší poplatek za zpracování než ostatní uživatelé, nazýváme front running. Jeho transakce se tak dostane v mempoolu výše a je zpracována dříve za výhodnějších podmínek, než transakce, na kterou se útočí.

Útok probíhá v řádu milisekund, kdy bot vyhodnotí všechny dostupné údaje a provede samotné zařazení platby do mempoolu.

A tak vznikne sendvičový útok

Sendvičový útok spočívá v kombinaci dvou útočných transakcí. Strategie útočníka je taková, že dojde k zadání jednoho pokynu těsně před vyhlídnutým obchodem oběti a jednoho těsně po něm. Jak to udělá? U první transakce zadá poplatek za zpracování o něco málo vyšší, než je zadán u transakce oběti útoku a u druhé o něco málo nižší.

Zdroj: jamesbachini.com

Co se stane? První transakce útočníka předběhne obchod oběti a bude provedena dříve. Tím se zvýší cena kryptoměny pro oběť a ta ji tak nakoupí za vyšší cenu.

Útočník na závěr útoku prodává kryptoměnu za cenu, kterou mezitím zvýšil nákup oběti. Vše má vypočítané a dokáže vydělat i přes vyšší transakční poplatky (gas). V praxi na útoku vydělá třeba jen 0,5 % kapitálu, ale oběti na daný okamžik zvedne cenu klidně o vyšší desítky až nižší stovky procent.

Zdroj: securing.pl

K sendvičovým útokům dochází přes AMM (automated market maker) burzy. Jednou z nich je například Uniswap.

Jak se sendvičovým útokům bránit?

První možností je využívání soukromých mempoolů. Nabízí je například CoW Swap, bloXroute a Blocknative. Výhoda soukromého mempoolu spočívá v tom, že nabízejí skrytí transakcí před již zmiňovanými boty, kteří hledají příležitost k útoku.

Další možností je správné nastavení slippage, tedy rozdílu mezi očekávanou a skutečnou cenou, za kterou je transakce provedena. Pokud nastavíte například 20 %, znamená to, že jste ochotni přijmout transakci za cenu až o 20 % nižší, ale i vyšší. Čím užší slippage nastavíte, tím více snížíte riziko sendvičového útoku.

Poslední možností je použití MEV Blockeru. MEV Blocker je koncový bod RPC, který se používá k připojení aplikací jako jsou peněženky k blockchainu. Je zdarma a chrání před front-runningem a zejména před sendvičovými útoky. Pokud ho chce uživatel použít, může si ho přidat do svých peněženek, např. do MetaMasku.