Я честно говоря, сначала даже не знал, куда отнести эту статью, формально там есть и использование уязвимостей, но при этом данные манипуляции не несут прямого ущерба другим людям. Так что будет у нас обособленный пост, об использовании уязвимостей в блокчейн сетях)
Немного занудства в студию)
Есть так называемые декс или децентрализованные биржи, такие как юнисвап, панкейк свап, суши свап и куча еще бог знает каких площадок. Так вот, работают эти площадки, по принципу автоматизированного обменника, вы ему одну валюту, он вам другую. И собственно никаких ограничений они не имеют, кто пожелает тот и торгует)
Как мы с вами знаем (а если не знаем, то предположим, что знаем), в блокчейне всё открыто и любой может посмотреть, что происходит. Но, есть одна особенность, скорость транзакций и вашего попадания в блок зависит от количество уплаченного газа, кто больше заплатил - тот раньше приехал.
Так вот, когда вы покупаете, что-то на бирже, вы так же отправляете свои кровные шекели в блокчейн, но все адреса работы бирж помечаются, вот пример -
Что же делают, наши хитрецы в погоне за прибылью?
Как только, вы отправляете транзакцию, она с полным пакетом данных, куда, сколько, зачем и тд уходит в обозреватель.
Таким образом легко увидеть, сколько вы планируете купить ваших драгоценных монеток, например вы решили купить 100 Norfcoin, и видите, что цена добротные 10$, вы идёте на биржу и открываете сделку, в этот момент, злоумышленник видит вашу транзакцию, и оформляет свою, покупая на допустим аналогичную стоимость, скажем те же 10$, но так как он купил вперёд вас (а dex биржи используют принцип лесенки, каждая следующая покупка будет дороже предыдущей), у вас цена уже будет 11$, на целый доллар больше! Подлец!
И вот, вы покупаете за 11$ злоумышленник за 10$, что дальше? А дальше он просто продаёт свои же 100 монет, и забирает обратно свои деньги и 1$ сверху, который переплатили вы.
Простой пример -
Как видите, сделки совершены в одну и ту же секунду, с разницей буквально в доли, но второй покупатель уже приобретает дороже и по сути, дальше продажа монет приносит выгоду владельцу бота сендвич атак)
Как видите, схема простая и незатейливая, всунуться вперёд очереди и получить сверх этого прибыли, есть ли способы с этим бороться?
Ну в целом они есть, да только они не особо эффективны, ибо предпринимаются только авторами монет и как правило несут сопутствующий ущерб покупателям монеты. Примеры -
- Сделать продажу возможной спустя какое-то время после покупки, допустим бот не может продать сразу, а ему приходится ждать 5-10-20 минут. Меняет ли это что-то глобально? Неа, ну получит злоумышленник задержку, не более.
- Вводить комиссию за торговлю монетой (да в мире диких валют есть очень зверские комиссии за торги, причём платите вы их владельцу монеты). Абсолютно никак не останавливает бота от так сказать жатвы, во-первых монет с комиссией крайне мало, во вторых он просто продаст выше или перестроит систему, чтобы покупка была выгоднее даже с учётом комиссии, например покупать только при крупных покупках других пользователей.
В целом, это одна из главных уязвимостей Dex бирж, которая не лечится полностью никак. Будьте готовы и не удивляйтесь, если вдруг вы купите дороже чем ожидали) Это нормальное явление в своего рода диком западе криптовалют, но ущерб от таких атак как правило минимален, а владелец нехорошего ПО зарабатывает на объёме подобных сделок, курочка по зёрнышку)
На этом подведём итог нашего разбора 😇
Будем рады если вы подпишетесь на наш канал яндекс дзен 😇
А так же вступайте в нашу группу Telegram - https://t.me/norfrus и не будьте хомяками! 😎 Не давайте мошенникам наживаться на вас)