رکورد حملات ساندویچی در BNB Chain؛ ۳۵٪ بلاک‌ها درگیر دستکاری قیمت

حملات ساندویچی در BNB Chain به رکورد جدیدی رسید؛ ۱.۵ میلیارد دلار معاملات در معرض خطر

در ۱ دسامبر، حملات ساندویچی بیش از یک سوم بلاک‌های BNB Smart Chain را تحت تأثیر قرار داد و رکوردی برای این نوع سوءاستفاده که کاربران صرافی‌های غیرمتمرکز را هدف قرار می‌دهد، ثبت شد. داده‌های Dune Analytics نشان می‌دهد که ۳۵.۵٪ از بلاک‌ها حاوی این حملات بودند و بیش از ۱.۵ میلیارد دلار حجم معاملات در ۴۳,۴۰۰ تراکنش در یک روز تحت تأثیر قرار گرفت. این افزایش، نگرانی‌ها در مورد آسیب‌پذیری‌های DEX را برجسته می‌کند. در ماه مه، گزارش‌ها نشان داد که یک ربات با استفاده از همین حمله، ۴۰ میلیون دلار از بیش از ۱۰۰,۰۰۰ قربانی در عرض سه ماه سرقت کرده است. سخنگوی بایننس بلافاصله به درخواست برای اظهار نظر پاسخ نداد.

حملات ساندویچی نوعی دستکاری بازار هستند که در آن، مهاجم تراکنش قربانی را بین دو تراکنش خود قرار می‌دهد. معامله‌گر مخرب، سفارش خریدی درست قبل از تراکنش قربانی ثبت می‌کند و با افزایش مصنوعی قیمت توکن، سفارش فروش خود را بلافاصله پس از آن قرار می‌دهد و از این افزایش قیمت سود می‌برد. این فرآیند معمولاً توسط ربات‌های MEV به صورت خودکار انجام می‌شود که از زیرساخت‌های DEX سوءاستفاده می‌کنند.

آلخاندرو مونوز-مک‌دونالد، مهندس قراردادهای هوشمند در شرکت امنیت سایبری کریپتو Immunefi، به Decrypt گفت که این حملات نتیجه مستقیم نحوه کار زیرساخت‌های DEX هستند. او توضیح داد: «وقتی یک کاربر تراکنشی را ارسال می‌کند، این تراکنش در یک فضای انتظار عمومی به نام ممپول قرار می‌گیرد و تا زمانی که توسط یک ماینر در یک بلاک قرار نگیرد، در آنجا باقی می‌ماند.»

ماینرها اغلب تراکنش‌هایی را که کارمزد بالاتری ارائه می‌دهند، در اولویت قرار می‌دهند که می‌تواند بر ترتیب پردازش تراکنش‌ها تأثیر بگذارد. از آنجا که ماینرها تراکنش‌هایی با کارمزد بالاتر را در اولویت قرار می‌دهند، مهاجمان می‌توانند با پرداخت رشوه به آنها، ترتیب تراکنش‌ها را تغییر دهند و از اجرای موفقیت‌آمیز استراتژی خود اطمینان حاصل کنند. مونوز-مک‌دونالد افزود: «این اساساً به این معناست که یک مهاجم می‌تواند هدف هر تراکنش را قبل از اجرا ببیند و بر ترتیب آن تأثیر بگذارد.»

ژان روسیس، یکی از بنیان‌گذاران پلتفرم امور مالی غیرمتمرکز SMARDEX، خاطرنشان کرد که نقدینگی پایین این مشکل را تشدید می‌کند زیرا نوسانات قیمت را آسان‌تر می‌کند. او پیشنهاد کرد که پروتکل‌ها می‌توانند با تشویق کاربران به ارائه نقدینگی بیشتر از طریق پاداش‌ها یا همکاری‌ها، این حملات را کاهش دهند. روسیس توضیح داد: «وقتی استخرها بزرگ‌تر هستند، قیمت کمتر تغییر می‌کند و حملات کمتر جذاب می‌شوند.» او همچنین توصیه کرد که برای کاهش آسیب‌پذیری، معاملات را از طریق چندین استخر با استفاده از تجمیع‌کننده‌های DEX تقسیم کنند.

مونوز-مک‌دونالد همچنین از DEXها خواست تا ویژگی‌های حداقل بازده مورد انتظار را بپذیرند که اگر بازده مورد نظر حاصل نشود، تراکنش‌ها را لغو می‌کند و تأثیر حملات ساندویچی را محدود می‌کند. در همین حال، کاربران می‌توانند با استفاده از رله‌های خصوصی که معاملات را تا زمان قرارگیری در بلاک مخفی نگه می‌دارند یا جدا کردن فرآیند ایجاد و اعتبارسنجی بلاک برای حفظ حریم خصوصی تراکنش‌ها، از خود محافظت کنند.

جرمیا اوکانر، مدیر ارشد فناوری و یکی از بنیان‌گذاران شرکت امنیت سایبری کریپتو Trugard، پیشنهاد کرد که گزینه دیگر، جدا کردن فرآیند ایجاد و اعتبارسنجی بلاک و نگه داشتن تراکنش‌ها در ممپول‌های خصوصی است. او به Decrypt گفت: «اکوسیستم‌های بلاکچین باید به عنوان یک استاندارد، شیوه‌های امنیتی رایج را برای دفاع در برابر حملات اتخاذ کنند.»