
DeFi, czyli zdecentralizowane finanse, to jeden z najciekawszych obszarów w świecie kryptowalut. Dają dostęp do usług finansowych bez pośredników, bez banków i bez biurokracji. Ale razem z tą wolnością przychodzą nowe zagrożenia. Jednym z nich jest Sandwich Attack – jeden z najbardziej podstępnych sposobów, w jaki można manipulować transakcjami na DEX-ach (zdecentralizowanych giełdach).
Ta lekcja pomoże Ci zrozumieć, jak działa ten typ ataku, jak go rozpoznać i co możesz zrobić, by nie zostać ofiarą.
Na czym polega Sandwich Attack?
Sandwich Attack to forma manipulacji ceną, która dzieje się w ułamku sekundy, tuż przed i tuż po tym, jak Ty wykonujesz swoją transakcję. Oszust umieszcza dwa zlecenia – jedno przed Twoim, drugie po Twoim. A Twoja transakcja ląduje… w środku. Stąd nazwa: jak plaster sera w kanapce.
Jak to działa krok po kroku:
-
Ty składasz zlecenie zakupu tokena Y.
-
Atakujący widzi to zlecenie (bo wszystkie transakcje w blockchainie są publiczne).
-
Błyskawicznie składa własne zlecenie zakupu tego samego tokena przed Tobą – co chwilowo podnosi jego cenę.
-
Ty realizujesz transakcję po wyższej cenie.
-
Oszust sprzedaje ten sam token z zyskiem – tuż po Tobie.
Twoje zlecenie zostało wykorzystane jako narzędzie, by ktoś inny zarobił. A Ty straciłeś, nawet o tym nie wiedząc.
Dlaczego ten atak jest możliwy?
Sedno problemu tkwi w algorytmie, który ustala ceny na DEX-ach – to tzw. AMM (Automated Market Maker). Ceny tokenów zmieniają się w czasie rzeczywistym, zależnie od wielkości i kolejności zleceń. To właśnie umożliwia atakującym „wepchnięcie się” do Twojej transakcji.
Dodatkowo:
-
wszystkie zlecenia są jawne i trafiają do publicznej kolejki (mempool),
-
atakujący często używają botów MEV (Miner Extractable Value), które działają szybciej niż człowiek.
Skąd wiadomo, że zostałeś zaatakowany?
Jeśli Twoja transakcja została zrealizowana po znacznie wyższej cenie niż oczekiwana – mimo że wszystko wydawało się w porządku – być może padłeś ofiarą ataku typu sandwich.
Najczęstsze objawy:
-
niespodziewany poślizg cenowy – czyli różnica między oczekiwaną ceną a ceną faktyczną,
-
szybka zmiana ceny tuż przed Twoją transakcją,
-
nagła korekta ceny zaraz po Twoim zleceniu.
Jeśli korzystasz z portfela, który pokazuje szczegóły transakcji (np. MetaMask), możesz to samodzielnie zauważyć. Bardziej zaawansowani użytkownicy korzystają z eksploratorów bloków (jak Etherscan) do analizy sekwencji transakcji.
Przykłady ataku typu sandwich
-
Trader składa zlecenie kupna tokena X za ETH
Oszust kupuje token X tuż przed transakcją tradera, podbijając jego cenę. Gdy trader kupuje drożej, oszust sprzedaje token i realizuje zysk. -
Oszust wycofuje płynność z puli AMM przed zleceniem ofiary
Zwiększa poślizg cenowy. Po transakcji ofiary, dodaje płynność z powrotem, zabezpieczając swoją przewagę i zyski.
Jak się bronić?
Nie ma magicznego guzika „ochrona przed sandwich attack”, ale możesz ograniczyć ryzyko, stosując kilka dobrych praktyk:
-
Ustaw niską tolerancję na poślizg (slippage)
To maksymalna różnica, jaką akceptujesz między ceną widoczną a ceną realizacji. Im niższy slippage, tym trudniej przeprowadzić atak. -
Używaj portfeli z opcją „private transaction”
Takie transakcje nie trafiają do mempoola i są przesyłane bezpośrednio do walidatorów. -
Skorzystaj z usług chroniących przed MEV
Są to np. Flashbots Protect czy Eden Network – zapobiegają front-runningowi i sandwich attacks. -
Zwiększ opłatę za gaz (fee)
To paradoksalne, ale wyższy fee może sprawić, że Twoja transakcja zostanie przetworzona szybciej – zanim zdąży wkroczyć bot oszusta. -
Transakcje nocą lub przy niskim ruchu
Ataki są częstsze, gdy mempool jest pełen. Wybierając godziny mniejszej aktywności, minimalizujesz ryzyko.
Podsumowanie
Sandwich Attack to podstępna technika, która działa na granicy automatyzacji i analizy blockchaina. Uderza w zwykłych użytkowników DeFi – nie przez hakowanie, ale przez sprytne wykorzystanie mechanizmów giełd.
Rozpoznanie takiego ataku i podjęcie środków ostrożności to kluczowe umiejętności każdego, kto chce działać bezpiecznie w zdecentralizowanym świecie finansów.
Nie wystarczy znać technologię – trzeba umieć się w niej bronić.