Bugün Merkeziyetsiz Borsalarda (DEX) karşılaştığımız Sandwich attack nedir? Nasıl gerçekleşir ondan bahsadeceğim. 🥪
Merkeziyetsiz borsalar(DEX) kişilerin finansal varlıklarını saklama hakkını bir başka kişiye bırakmadan ticaret yapmasına izin verir.
Merkeziyetsiz borsalar(DEX) kişilerin finansal varlıklarını saklama hakkını bir başka kişiye bırakmadan ticaret yapmasına izin verir.
DEX’lerde herkes işlem yapabilir. Bununla birlikte, blok zinciri tabanlı DEX'in şeffaflığı ile birlikte işlenecek işlemlerin uygulanmasındaki gecikme piyasa manipülasyonu mümkün hale getirir.
Geleneksel borsalarda fiyat manipülasyonu olduğu gibi bunu DEX’ler üzerinden de yapmak mümkün. Esasında bu saldırı DEX’lere özgü bir yöntem değildir. Ancak blockzincirinin halka açık doğası ve mempooldaki işlemlerin herkes tarafından görülebiliyor olması bunu kolaylaştırır.
Geleneksel borsalar üzerinden gidip biraz daha anlamlı hale getirdikten sonra DEX’lerde nasıl çalıştığından bahsedeceğim. Örneğin siz bir banka çalışanısınız ve büyük bir müşterinin bir paritede tahtayı oynatacak kadar büyük bir alım yaptığını bir şekilde öğrendiniz.
İşlem gerçekleşmeden önce o paritede siz işlem yapıyorsunuz. Buna front-runnig deniyor. Geleneksel piyasalarda, bir varlığın fiyatını önemli ölçüde değiştirmesi beklenen bir ticaret hakkındaki
(kamuya açık olmayan bilgiler ile) varlığı önceden satın alarak veya satarak istismar etmeyi içerir. Geleneksel borsalarda bunun çok büyük para cezası vardır. Ancak DeFi üzerinde herhangi bir regülasyon yoktur. Bu yüzden front-running, pump & dump, and wash trading. Daha sıktır.
Sandwich attack front-runnig’in bir çeşidir. Strateji, bir varlığın satın alınması/satılması sonucunda bir varlığın fiyatını manipüle etme fikrine dayanmaktadır. Önce ağda mempool izlenir. Ağda bekleyen yüksek slipaja sahip bir kurban işlemi bulur.
Ardından işlemden hemen önce bir emir(front-runnig) ve ondan hemen sonra bir emir (back-runnig) vererek işlemi🥪 gibi çevrelemeye çalışır. Saldırılara 🥪 saldırılar denir, çünkü bir kurbanın işlemi, rakip işlemler arasında sıkıştırır.
Bilememiz gereken iki kavram var.
Automated Market Maker (AMM): Likidite havuzlarındaki varlıklara dayalı olarak fiyat keşfini ve piyasa yapıcılığını otomatik olarak gerçekleştiren önceden tanımlanmış bir fiyatlandırma algoritmasıdır.
Automated Market Maker (AMM): Likidite havuzlarındaki varlıklara dayalı olarak fiyat keşfini ve piyasa yapıcılığını otomatik olarak gerçekleştiren önceden tanımlanmış bir fiyatlandırma algoritmasıdır.
Price Slippage: Fiyat kayması, bir ticaret sırasında bir varlığın fiyatındaki değişikliktir. Beklenen fiyat kayması, işlem yapılacak hacim ve mevcut likiditeye bağlı olarak fiyatta beklenen artış veya azalıştır
Fiyat kayması, işlem gören varlığın hacmine ve mevcut likiditeye bağlı olarak tahmin edilir. İşlem görecek miktar ne kadar yüksekse, beklenen kayma o kadar büyük olur
Bir borsada 1 X varlığını 20 Y karşılığında takas etmek isteyen bir alıcı, (Y varlığının birim fiyatı 0,05) Ancak, AMM DEX bu işlemi gerçekleştirdiğinde, fiyat 0,1'e yükselirse, likidite alıcısı 1 X için yalnızca 10 Y alacaktır. Bu durumda beklenmeyen kayma 0,1-.0.05=0.05'dir.
Kayma da negatif olabilir, yani bir alıcı beklenenden daha fazla Y varlığı alabilir. Yukarıdaki uygulama fiyatı 0.25'e düşerse, alıcı 1 X için 40 Y alacak ve buna karşılık gelen beklenmedik kayma 0.1 − 0.25 = −0.15 olacaktır.
Şimdi saldırılara biraz daha yakından bakalım. Normal bir saldırı böyle gözükür
Front-runnig yapabilecekleri yüksek slipaj ile ticaret yapan kullanıcılar için mempool'u izleyecek bir kullanıcıdan önce bir işlem yapar, niyet ettiği varlığı satın alır ve fiyatı artırır.
Front-runnig yapabilecekleri yüksek slipaj ile ticaret yapan kullanıcılar için mempool'u izleyecek bir kullanıcıdan önce bir işlem yapar, niyet ettiği varlığı satın alır ve fiyatı artırır.
Kullanıcı artık daha az jeton alır. Kullanıcının satın alması daha sonra dahil edilir ve fiyatı daha da fazla artırır. Kullanıcının tx'inden sonra daha yüksek fiyata satar, böylece saldırıyı yapan kar elde eder.
@bertcmiller den aldığım bir görselde. Saldırgan 68 ETH ile işlem yapan bir kurbanı sandviçliyor. Önce 200ETH ile fiyatı arttırıyor.Bu sayede kurban daha az token alıyor. Daha sonra kurban işlem 68 ETH ile fiyatı daha da arttırıyor. 245 ETH ye ise satıyor.
KAR = 45 ETH
KAR = 45 ETH
Saldırıyı daha iyi anlamınız için ise bir de şema üzerinden inceleyelim.
TA1’in TV ye saldırdığı bir görsel. TV işlemi slipaj oranını N’ci blokta belirler. Saldırıyı yapanın amacı ise TA1 – TV – TA2 bu sırayla işlemleri N+k’ıncı blokta dahil etmektir. Ve TV'yi araya alır.
TA1’in TV ye saldırdığı bir görsel. TV işlemi slipaj oranını N’ci blokta belirler. Saldırıyı yapanın amacı ise TA1 – TV – TA2 bu sırayla işlemleri N+k’ıncı blokta dahil etmektir. Ve TV'yi araya alır.
TA1: Önden yürütülen işlemdir. (TV’den daha yüksek bir işlem ücreti ödeyerek öne geçer) X paritesi ile Y'yi değişir.
TA2: TV'den sonra yürütülmesi planlanan bir işlemdir. (TV'den daha düşük bir işlem ücreti ödeyerek)
TA2: TV'den sonra yürütülmesi planlanan bir işlemdir. (TV'den daha düşük bir işlem ücreti ödeyerek)
TA1 işlemi daha sonra yapılmasına rağmen kurban kişiden daha önce bloğa işlendiği için onun önüne geçebiliyor. Mempooldaki bir işlemin önüne geçmek için yüksek işlem ücreti ödemek yeterli.
Karşılık gelen kar, TA1'den gelen girdi ile X varlığının TA2 çıktısı karşılaştırılarak belirlenir.
Kurban işlemi belirle onu önden çalıştır. Kurban büyük fiyat kaymasından etkilensin işlemi yaptıktan sonra satış yap.
Kurban işlemi belirle onu önden çalıştır. Kurban büyük fiyat kaymasından etkilensin işlemi yaptıktan sonra satış yap.
Saldırgan,birinin bir varlık satın alacağı ve bu ticaretin fiyatını artıracağı bilgisini kar etmek için kullanır. Saldırganın planı, bu varlığı ucuza satın almak, kurbanın daha yüksek bir fiyattan satın almasına izin vermek.
Ve ardından elde edilen tutarı daha sonra daha yüksek bir fiyattan satmaktır.
Şunu unutmayalım ücret ve komisyonların kurbanın ticaret tutarından daha yüksek olduğu noktada, avcı herhangi bir kar elde etmez.
Şunu unutmayalım ücret ve komisyonların kurbanın ticaret tutarından daha yüksek olduğu noktada, avcı herhangi bir kar elde etmez.
İşlemlerde %0,1 gibi düşük bir slipaj ayarlamak, önde çalışan botun kar elde etmesi için hiçbir alan bırakmaz. Dezavantajı düşük bir slipaj, büyük işlemlerin başarısız olmasını çok kolaylaştırır ve başarısız işlemler için yüksek ücretler gerektirir.
@Archer_DAO ArcherSwap 0 slipaj değeri ile işlemleri korumak için bir yöntem olabilir. Ve işlemler mempoola değil de direkt madencilere giderse o zaman botlar işlemleri izleyemez.
• • •
Missing some Tweet in this thread? You can try to
force a refresh
