区块链:三明治攻击暗流涌动，DeFi要如何走出泥潭？_区块链存证怎么弄

最近CipherTrace的一项研究描绘了一幅悲惨的景象：尽管加密用户在犯罪袭击中的损失在2020年大幅下降了57％，降至19亿美元，但DeFi领域的欺诈行为仍在继续增长，导致更多的用户上当受。

CipherTrace的CEODaveJevans表示，“随着这些金融机构的成熟并采取更强大的安全措施，针对中心化交易所的黑客盗窃继续减少。监管和执法正在减少中心化欺诈计划，这些计划促使犯罪分子利用去中心化金融服务。DeFi平台享有中心化交易所、货币服务企业和银行面临的传统监管执法制度的豁免。这使它们成为转移和的理想场所。”

DEX用户应该意识到这种恶性行为，例如去中心化交易所不将资产托管交给第三方。由于其去中心化性质，DeFi没有来自国家政府的监管，使无知的交易者暴露于掠夺性的做法和行为，例如抢先交易、暴涨暴跌和洗牌交易。

赵长鹏：资产冻结令仅影响Binance.US，Binance.com不受影响:金色财经报道，币安CEO赵长鹏推特针对SEC申请冻结Binance.US资产一事回应称，如果法院批准该限制令，将只会影响Binance.US。Binance.com将不受影响，资金是安全的。[2023/6/7 21:20:48]

什么是前端运行？

三明治攻击是一种在DeFi中流行的抢先技术。

如上所述，三明治攻击是一种抢先交易的变体。为了使其成为一个三明治，掠夺性交易者在区块链P2P网络中找到一个待处理的受害者交易，然后试图通过在交易之前下一个订单，在交易之后下一个订单来包围交易。该策略基于通过交易资产来操纵资产价格的想法。

区块链的透明性，加上执行订单的延迟，使得抢先交易变得容易，并且极大地影响了交易者资产的安全性。

SushiSwap：正通过白帽回收被盗资金并制定返还用户资金的计划:4月10日消息，SushiSwap 发布 RouteProcessor2 漏洞更新报告，称开发团队正在识别所有受 RouteProcessor2 漏洞影响的地址，并正在进行多项通过白帽回收挽救资金的行动。此外，SushiSwap 正在制定返还获救资金的计划。完成后，将通过Sushi Twitter 和 Discord上的公告进行传达。[2023/4/10 13:54:47]

所有区块链交易都在内存池中公开观察。一旦掠夺性交易者注意到潜在受害者的待定资产X交易被用于资产Y，他们就会通过购买资产Y抢先攻击受害者。结果是：掠夺者知道受害者交易将提高资产的价格；攻击者计划以较低的价格购买Y资产，让受害者以较高的价格购买，然后再以较高的价格出售该资产。

MakerDAO已投票通过变更USDC等资产相关参数紧急提案，将于48小时内链上执:据官方消息，MakerDAO社区已投票通过昨日发起的一系列参数变更紧急提案，提交的参数变更计划在48小时内部署，即UTC时间3月13日16:14。

据悉，该提案提议变更USDC相关资产风险和治理参数，将 UNIV2USDCETH-A、UNIV2DAIUSDC-A、GUNIV3DAIUSDC1-A 以及 GUNIV3DAIUSDC2-A 等USDC相关 LP 作为抵押品的债务上限降至 0。提案还要求更改 PSM-USDC-A、PSM-GUSD-A 等锚定稳定模块的部分参数以减轻协议风险。

拟议变更旨在限制 Maker 对可能受损的稳定币和其他风险抵押品的风险敞口，同时保持足够的流动性，以防止 DAI 在条件变化时交易大幅高于 1 美元，并确保有足够的市场流动性来处理加密抵押库的潜在清算。[2023/3/12 12:58:18]

三明治攻击解析

投资管理公司Hamilton Lane将其三只基金代币化:金色财经报道，投资管理公司 Hamilton Lane (HLNE) 将与数字资产证券公司 Securitize 合作，将其三只基金代币化。让合格的美国投资者获得提供直接股票、私人信贷和二级交易敞口的基金，这些基金将通过 Securitize 的数字转移机构进行代币化。该公司预计，代币化基金将在今年第四季度提供给更广泛的投资者，让他们可以使用私人市场进行投资。此前投资巨头 KKR 也采取了类似举措，该投资巨头上个月宣布计划在 Avalanche 区块链上将其医疗保健战略增长基金代币化，并与 Securitize 合作.（coindesk）[2022/10/6 18:40:17]

这个想法似乎很简单，也很容易实现。尽管有数据表明，专业掠夺者每天通过三明治攻击可以赚取大约4,000美元，但这种技术并不总是像它看起来的那样。让我们仔细研究并分析是什么导致了三明治攻击。

自动做市商

安全团队：DHE项目已被确认为Rug Pull跑路项目:金色财经消息，据CertiK安全团队监测，DHE项目已被确认为Rug Pull跑路项目。

北京时间2022年6月21日凌晨6:27:17，DHE 代币价格下跌超过91 %。目前损失总额约为14.2万美元。[2022/6/21 4:41:46]

这是一种预定义的定价算法，根据流动性池中的资产自动执行价格发现和做市商。AMM允许流动性获得者观察和跟踪市场，然后设置交易的价格，而流动性接受者则对AMM进行交易。

价格滑点

这是交易过程中资产价格的变化。价格滑点是根据交易资产的数量和可用的流动性来预测和预期价格下滑。交易的资产越多，预期的滑点就越高。预期的滑点在交易前计算。

意外价格滑点是在交易过程中由于某种未知或不可预测的原因而发生的价格上涨或下跌。

预期执行价格

根据AMM算法和X/Y状态计算预期价格。这是流动性获得者在开始交易时所期望的价格。

执行价格

执行交易所需的时间可能会极大地改变预期执行价格和AMM市场X/Y的状态。

意外的价格滑点

执行价格与预期执行价格之间的差额。

意外滑点率

超出预期价格的意外滑点。

例如，流动性获得者想要以20Y换取1X，价格为0.05Y单位。交易需要一些时间，当它最终执行时，价格可能已经改变。现在是0.1Y单位，在这个价格下，流动性获得者只能用10Y换1X。意外滑点为0.05(0.10.05)。相反，如果执行价格下降至0.25Y单位，则流动性获得者现在可以用1X的价格购买40Y，这里意外的滑点为-0.15。

现在让我们来看两个场景：

1.流动性接受者攻击接受者：在这种情况下，流动性获得者试图攻击在区块链P2P网络上有待定的AMMDEX交易的流动性获得者。看到等待批准的交易，掠夺者发出两个后续交易以从交易者的交易中受益。现在，通过一个流动性池和资产组合连接了三个待处理的交易。矿工必须选择哪笔交易首先获得批准。这就是掠夺者可以通过实际贿赂矿工来影响这个决定的地方——支付更高或更低的交易费用。

图片来源：https://arxiv.org/abs/20092.流动性提供者攻击接受者：在这种情况下，流动性提供者试图攻击流动性接受者。一切的开始都是一样的：攻击者在P2P网络上看到一个待处理的交易，然后执行三个交易：

消除流动性：抢占先机

添加流动性:恢复运行

用Y交换X:返回运行

在这次攻击中，攻击者在受害者的交易执行之前从流动性池中提取所有资产。在这样做的过程中，掠夺者放弃了受害者交易的佣金。流动性提供者根据他们向AMMDEX市场提供的流动性收取佣金。

图片来源：https://arxiv.org/abs/2009总是有利可图？

一切都显得合乎逻辑和简单。但最终的问题是：三明治攻击总是有利可图的吗？

交易尽可能多的代币将是获得最大利润的最合理方式，除非DEX不要求您支付费用。例如，Uniswap对每笔交易收取0.3％的费用，并且攻击者必须至少提交两次交易。此外，我们不要忘记为每笔交易支付所需的Gas，特别是如果您是抢先交易并且必须支付更多的费用。所有这些使我们得出以下结论：除了费用和佣金高于受害者的交易金额之外，掠夺者不会获得任何利润。

三明治攻击的想法并不新鲜。自从去中心化金融的概念提出以来，人们对其概念及其对所有市场成员可能产生的影响进行了讨论。自动做市商似乎是去中心化交易的最佳决策，但为恶意攻击留下了很多漏洞。随着DeFi吸引了越来越多的人，保护没有经验的交易者应该成为区块链专业人士的首要任务。但是，去中心化这个概念意味着永远不可能有一个经授权的第三方来保证安全，保障和对人员损失的赔偿。

以太坊的创造者VitalikButerin在2018年谈到了一个可能的解决方案：

“如果做市商似乎从虚拟数量之间的差价中获得隐含差价的利润，这些利润可以在交易后分配给似乎以不公平价格购买的用户。例如，如果某个时期的价格从P1变为P2，但在这两者之间的时间段内有时超过P2或低于P1，那么以该价格购买的任何人都可以在事后发送另一笔交易，在做市商有可用资金的情况下，申请一些额外资金。”

到目前为止，无论是在一个区块内还是整个行业，DeFi都极易受到价格操纵和各种可疑策略的影响。

那么，现在安全吗？

除了区块链的去中心化理念意味着除了系统解决方案本身之外，没有人能保护您和保证您的安全，交易者应该明白，DeFi目前处于萌芽阶段，有很多不完善和缺陷。

那么，为什么人们冒着风险仍然使用DEX进行交易呢？出于同样的原因，他们都选择了加密货币和区块链——轻松获得巨额利润。巨大的潜在成本、缺乏安全性和不断变化的规则都是用户必须接受的缺点，如果他们想成为这个蓬勃发展的行业的一员并从中获利。

标签：区块链AMMDEX区块链工程专业学什么区块链存证怎么弄区块链技术发展现状和趋势AMM币AMM价格DEX币DEX价格

比特币行情热门资讯