حملات ساندویچی در صرافی‌های غیرمتمرکز به چه معناست؟ (نحوه محافظت از خود)

حملات ساندویچی (Sandwich Attack) در واقع یکی از رایج‌ترین انواع کلاهبرداری‌ها در حوزه دیفای محسوب می‌شوند؛ اما با این وجود بسیاری از تولید کنندگان محتوا (به ویژه در ایران) به دلیل پیچیدگی‌های خاص این اصطلاح از طرح آن خودداری کرده‌اند. غالب کاربران به هنگام انجام مبادلات مالی در صرافی‌های غیرمتمرکز با تهدید بالقوه حملات ساندویچی (که راهی برای کسب حداکثر ارزش قابل استخراج (MEV) است) مواجه می‌شوند. هرچند که به لحاظ فنی این مسئله به عنوان یک معضل غیرقانونی و نامشروع تلقی نمی‌شود؛ اما این حملات ساندویچی که از فناوری‌های زیربنایی صرافی‌های غیرمتمرکز بهره می‌برند، تاثیر قابل توجهی در دستکاری قیمت ارزهای دیجیتالی دارند و مسلما یک حمله ساندویچی می‌تواند ضرر و زیان‌های قابل توجهی را به کاربر تحمیل نماید. با توجه به اهمیت شناخت این اصطلاح ما این مقاله از کریپتوباز را به بررسی مفهوم حملات ساندویچی و همچنین روش‌های محافظت از خود در برابر آن اختصاص داده‌ایم؛ بنابراین، اگر شما هم در این زمینه کنجکاو هستید، تا انتهای این مقاله با ما همراه باشید.

آشنایی با اصطلاح حملات ساندویچی

همان طور که در مطالب مقدماتی به آن اشاره شد، حملات ساندویچی یک نوع ویژه از شیوه‌های کلاهبرداری رایج در حوزه دیفای محسوب می‌شوند که برای اجرای چنین حملاتی از ربات‌های خاصی کمک گرفته می‌شود و از کاربردهای اصلی این ربات‌های ویژه می‌توان به موردی همچون اسکن تراکنش‌های در انتظار پردازش که در استخرهای حافظه صرافی‌های غیرمتمرکز (Mempools) قرار دارند، اشاره کرد. درصورتی که این ربات یک معامله سوآپ بزرگ در انتظار پردازش را تشخیص دهد، در این حالت دو تراکنش را آغاز می‌کند: یکی قبل از معامله و دیگری بعد از انجام معامله، که اصطلاحا با چنین کاری معامله و داد و ستد قربانی را «ساندویچ» می‌کند!

به منظور دریافت اولین تراکنش، مستقیما قبل از معامله شخص قربانی، هزینه گس اضافی پرداخت می‌شود. مثلا یک کاربر قصد دارد 1000 توکن X را برای 20 توکن Y با تحمل افت 1 درصدی خریداری نماید. به بیان ساده‌تر حداقل مقدار توکن X که این کاربر موافقت می‌کند تا دریافت نماید بدین قرار است: 1000 – 1% = 990 توکن است. در این حالت یک ربات ساندویچ این معامله را شناسایی می‌کند و یک تراکنش خرید برای Y را مستقیما قبل از معامله این کاربر قربانی و یک معامله فروش برای توکن Y را بعد از معامله قرار می‌دهد، پس از آن، سه تراکنش انجام می‌شود که به شرح زیر است:

•    معامله اول: ربات تراکنش خرید را اجرا کرده و با خرید توکن Y با قیمت بالا، قیمت آن را افزایش می‌دهد.
•    معامله دوم: کاربر قربانی توکن Y را با قیمت بسیار بالاتر از حد انتظار اولیه خریداری می‌کند که طبیعتا یک معامله بزرگ قیمت این توکن را بالاتر نیز می‌برد.
•    معامله سوم: ربات توکن Y را فروخته و تفاوت قیمتی را به عنوان سود دریافتی به جیب می‌زند!

در نتیجه این کاربر قربانی حدودا 1 درصد از سرمایه خویش را به طور کامل از دست می‌دهد. امروزه تصور می‌شود که اولین حمله ساندویچی در تاریخ 27 فوریه سال 2018 در Bancor اتفاق افتاده است و از این تاریخ به بعد، بسیاری از کاربران وجوه قابل توجهی را در طی حملات ساندویچی از دست داده‌اند که این مقدار به طور تقریبی حدودا 4 درصد از کل تراکنشات مبادله را پوشش می‌دهد. در سال 2022 تا کنون نیز زیان‌های تخمینی تحمیلی به کاربران از این طریق چیزی در حدود حداقل 800 میلیون دلار برآورد شده است.

Rabbithole وان اینچ (1inch)؛ سپری در برابر حملات ساندویچی

Rabbitholeوان اینچ در واقع ابزاری است که مشکل حملات ساندویچی را با ارسال مستقیم تراکنشات به اعتبارسنجی‌ها و اجتناب از قرار دادن چنین تراکنشاتی در Mempool (که ربات‌های ساندویچی قادر به حمله به آن‌ها هستند)، حل کرده است. این ابزار ویژه وان اینچ برای انجام چنین کاری، ارائه دهندگانی نظیر Flashbots، BloXroute، Eden و Manifold را جمع‌آوری می‌کند تا از این طریق امکان ارسال مستقیم تراکنش‌های سوآپ به اعتبارسنجی‌ها را فراهم کند.

ناگفته نماند که این ابزار برای کابران متامسک (MetaMask) بسیار مفیدتر واقع خواهد شد؛ چراکه در حالتی که بسیاری از کیف پول‌های رمزنگاری شده من جمله کیف پول وان اینچ، Ledger و Trezor قادر به ایجاد و امضای تراکنش هستند ولی آن را بلافاصله پخش نمی‌کنند، در حالی که کیف پول متامسک از چنین قاعده‌ای پیروی نمی‌کند و مانند سایر کیف پول‌ها نیست. در واقع ابزار RabbitHole به عنوان یک پروکسی عمل کرده و کاربران وان اینچی کیف پول متامسک و اعتبارسنج‌های اتریومی را به هم دیگر متصل می‌نماید و الگوریتم منحصربه‌فرد آن، تراکنش‌های مبادلاتی و تهدیدات حملات ساندویچی علیه آن را در وان اینچ بررسی و در صورت شناسایی چنین تهدیدی، تراکنش را مستقیما و با استفاده از یکی از ارائه دهندگان جمع‌آوری شده برای اعتبارسنجی‌ها ارسال می‌کند.

جالب است بدانید که استفاده از خدمات این ابزار برای یک دوره آزمایشی کاملا رایگان خواهد بود؛ اما پس از دریافت بازخوردها از جامعه آماری، مسلما تصمیمی در زمینه گزینه‌های پرداخت برای دریافت چنین خدماتی از سوی RabbitHole اتخاذ خواهد شد که یکی از گزینه‌های احتمالی در نظر گرفتن مقدار معینی از توکن‌های وان اینچ برای دریافت چنین خدماتی باشد.

موثرترین روش حفاظتی در برابر حملات ساندویچی

همان طور که در مطالب بالا مشاهده کردید، امروزه به دلیل افزایش میزان محبوبیت دنیای کریپتوکارنسی، روش‌های متعددی برای کلاهبرداری و سرقت سرمایه معامله‌گران ایجاد شده است که یکی از پیچیده‌ترین آن‌ها که حتی کاربر در اغلب موارد متوجه آن نیز نمی‌شود، حملات ساندویچی نام دارد. متاسفانه قبل از اتمام این حمله امکان تشخیص این که در درون یک حمله ساندویچی گیر افتاده‌ایم یا نه، وجود ندارد و زمانی متوجه آن می‌شویم که حمله تمام شده است؛ چراکه در لحظه‌های اول چنین به نظر می‌رسد که همه چیز عادی است و احتمالا به دلیل ثبت اشکال مختلف در تراکنش چنین اتفاقی افتاده است! براساس آمارهای رسمی در سال 2022 حداقل 800 میلیون دلار از سرمایه معامله‌گران از طریق این حملات ساندویچی از دست رفته است که در نوع خود رقم قابل توجهی است. در چنین زمانی، پلتفرم وان اینچ با معرفی ابزار RabbitHole خویش، راهی را برای در امان ماندن از چنین حملاتی به کاربران نشان داد و معامله‌گران با کمک این ابزار می‌توانند به جای آن که تراکنش خود را در Mempools قرار دهند، این تراکنش‌ها را مستقیما به اعتبارسنجی‌ها ارسال نمایند تا تائید شود. ناگفته نماند که اگر در ارتباط با حملات ساندویچی سوالی دارید که در این مقاله از کریپتوباز به آن اشاره نشده است، می‌توانید سوال خود را در بخش نظرات مطرح کنید تا کارشناسان ما در اسرع وقت به سوال شما پاسخ دهند.