kredit gambar: stockhead
Decentralized Finance (DeFi) menawarkan pelbagai peluang dan kebaikan, tetapi ia juga terdedah kepada berbagai serangan. Isu berkenaan eksploitasi kontrak pintar (smart contract) sering menjadi perhatian. Penjenayah di alam siber memanfaatkan kerentanan atau ketidakstabilan dalam kod Defi sehingga menyebabkan serangan seperti flash loan, rug pull dan sandwich attack berlaku.
Sekiranya anda tidak pernah mendengar tentang Sandwich Attack, anda tidak berseorangan kerana serangan jenis ini tidak banyak diperkatakan dan tidak begitu popular seperti rug pull. Namun begitu, sandwich attack ini boleh menyebabkan situasi yang cukup bermasalah di dalam DeFi. Pengasas Ethereum, Vitalik Buterin pernah menyuarakan kebimbangan tentang serangan ini sejak tahun 2018 lagi.
Apabila kita memperkatakan tentang vektor serangan dalam dunia teknologi, adalah sangat penting untuk kita fahami konsep asas serangan tersebut dan permasalahan yang bakal berlaku. Sandwich attack mensasarkan protokol dan platform DeFi yang boleh mengakibatkan terjadinya manipulasi pasaran.
Jom kita sama-sama fahami bagaimana serangan ini dilakukan.
Konsep Serangan Oleh Sandwich Attack
Dalam sandwich attack, penyerang (attacker) akan mencari transaksi yang masih belum selesai (pending transaction) di mana-mana blockchain pilihan mereka, misalnya Ethereum. Sandwiching berlaku apabila attacker akan membuat satu order sebelum (front-run) dan selepas (back-run) transaksi mangsa secara serentak. Jadi order yang dibuat oleh mangsa akan berada di tengah-tengah order attacker.
Tujuan utama dua order ini dibuat adalah untuk memanipulasi harga. Contohnya seorang pedagang (si mangsa) membuat transaksi untuk membeli 1000 token Y yang berharga $100 seunit dengan membuat pertukaran menggunakan token X dan menetapkan slippage factor sebanyak 10%. Apabila attacker dapat mengenal pasti transaksi untuk pembelian/pertukaran dua aset ini, attacker akan membuat order yang dipanggil front-run dengan membeli sejumlah token Y sebelum order si mangsa dipenuhi. Disebabkan jumlah pembelian yang besar, sudah tentu harga token Y meningkat. Attacker berjaya membeli semasa harga masih rendah manakala si mangsa terpaksa membeli dengan harga yang lebih mahal. Dalam masa yang sama attacker membuat order back-run untuk menjana keuntungan dengan menjual token Y tersebut pada harga yang lebih tinggi.
Faktor Yang Mempengaruhi Kejayaan Sandwich Attack
Sandwich Attack kedengarannya begitu mudah dilakukan. Sungguhpun hasil keuntungannya agak kecil, seorang attacker berupaya melakukan serangan ini berkali-kali tanpa dikesan. Namun attacker perlu membuat persiapan untuk melakukan serangan. Terdapat banyak kerumitan dalam DeFi yang perlu dipertimbangkan yang boleh mempengaruhi kejayaan setiap serangan.
Automated Market Marker (AMM)
AMM adalah pembuat pasaran automatik. Ia adalah algoritma yang telah ditentukan secara automatik untuk melakukan penemuan harga (price discovery) dan pembuatan pasaran (market making) berdasarkan volume sesuatu aset dalam liquidity pool. AMM membolehkan penyedia liquidity memerhati dan menetapkan harga untuk tawaran dan permintaan (bid and ask). Pedagang atau liquidity taker pula menggunakan AMM untuk membuat penjualan atau pembelian aset.
Slippage Harga (Slippage Price)
Ini adalah perubahan harga semasa transaksi perdagangan aset berlaku. Slippage adalah jangkaan perbezaan antara harga dalam sebutharga (quoted price) dan harga yang dipenuhi (executed price). Slippage price dikira sebelum transaksi berlaku berdasarkan volume sesuatu aset dan liquidity yang ada. Semakin aktif sesuatu aset didagangkan, semakin tinggi jangkaan slippage.
Faktor lain
Expected execution price, actual execution price dan unexpected slippage rate turut menyumbang kepada terjadinya sandwich attack dan mempengaruhi jumlah aset yang diterima selepas transaksi berlaku. Unexpected price slippage boleh terjadi kerana transaksi dalam blockchain adakalanya mengambil masa yang lama dan kadar pertukaran antara aset boleh berubah-ubah dengan pantas.
Contoh:
Seorang pedagang ingin membeli 20 token Y dengan menukarkanya dengan 1 token X. Harga semasa untuk token Y ini adalah $0.05. Transaksi akan mengambil masa dan apabila transaksi dipenuhi harga token Y telah meningkat menjadi $0.1, jadi pedagang tersebut hanya dapat memiliki 10 token Y sahaja. Unexpected slippage adalah +0.005 ($0.1 – $0.005). Sekiranya execution price menurun ke $0.25, pedagang tersebut akan berjaya memiliki 40 token Y. Unexpected slippage adalah -0.15 (-$0.25 – $0.1).
Senario Berlakunya Sandwich Attack
Senario 1: Liquidity Taker vs Liquidity Taker
Senario sebegini sering berlaku bilamana liquidity taker menyerang antara satu sama lain. Contohnya, apabila seorang liquidity taker mempunyai transaksi yang masih pending di blockchain, attacker akan mengambil kesempatan dengan membuat order front-running dan back-running. Oleh kerana dalam liquidity pool akan terdapat tiga transaksi yang masih pending, para pelombong (miners) akan memutuskan transaksi mana yang akan diluluskan terlebih dahulu.
Biasanya attacker bersedia membayar kos transaksi yang lebih tinggi berbanding pedagang lain supaya miners memilih untuk meluluskan terlebih dahulu transaksi kepunyaan mereka. Walaupun tiada jaminan transaksi yang dilakukan oleh attacker akan berjaya, tetapi inilah gambaran betapa mudahnya sandwich attack dilakukan.
Senario 2: Liquidity Provider vs Liquidity Taker
Liquidity Provider boleh menyerang Liquidity Taker menggunakan teknik yang serupa. Persiapan awal masih sama walaupun pada kali ini attacker perlu melakukan tiga langkah.
Langkah 1: Front-Run dengan menghilangkan kecairan untuk meningkatkan slippage mangsa
Langkah 2: Back-Run dengan mengembalikan semula kecairan dalam liquidity pool ke keadaan sebelum serangan
Langkah 3: Back-Run dengan mengembalikan baki aset ke keadaan sebelum serangan
Dalam serangan ini, attacker (liquidity provider) akan menarik semua aset mereka dalam liquidity pool sebelum transaksi mangsa dipenuhi. Dengan cara ini, attacker melepaskan komisen apabila transaksi mangsa dipenuhi. Attacker (liquidity provider) hanya mendapat komisen yang kecil. Tetapi sandwich attack boleh menyebabkan kerugian yang besar kepada seorang liquidity taker.
Adakah Berbaloi Melakukan Sandwich Attack
Melakukan serangan seperti sandwich attack sememangnya membawa keuntungan tetapi tidak semestinya berbaloi. Kos melakukan transaksi front-running dan back-running selalunya lebih besar berbanding keuntungan terutamanya bila attacker menggunakan rangkaian Ethereum. Sepertimana yang diketahui kos transaksi dalam rangkaian Ethereum adalah tinggi. Walau bagaimanapun, sandwich attack masih boleh menguntungkan jika komisen diperolehi dari “normal behavior” dan kos transaksi adalah rendah.
Kemunculan perdagangan terdesentralisasi menggunakan AMM menyebabkan pengguna perkhidmatan ini terdedah kepada serangan. Pengguna DeFi yang semakin ramai telah membuka lebih banyak peluang untuk attacker melakukan sandwich attack. Namun begitu, ini bukan bermakna akan ada lebih banyak kejayaan dalam serangan sandwich attack pada masa hadapan, tetapi pengguna perlu lebih berhati-hati semasa menggunakan perkhidmatan DeFi.
Bagaimana Melindungi Diri Dari Sandwich Attack
Adalah sangat penting bagi Automated Market Maker (AMM) untuk mengambil langkah pencegahan yang dapat melindungi pengguna dari sandwich attack. Sebagai contoh, platfrom 1Inch telah memperkenalkan order jenis baharu yang dikenali sebagai “flashbot transaction” yang tidak dapat dilihat di mempool kerana transaksi tersebut tidak disiarkan. 1Inch mempunyai hubungan langsung dengan pelombong yang boleh dipercayai (trusted miners) dan hanya membenarkan rekod transaksi dilihat selepas aktiviti melombong selesai.
Sehingga kini, itulah satu-satunya cara bagi pengguna untuk melindungi diri sendiri dari terkena sandwich attack. Namun, masih belum jelas sekiranya terdapat AMM yang lain yang bersedia menjalinkan hubungan dengan pelombong untuk memastikan transaksi tidak disiarkan ke mempool. Jalan penyelesaian lain pasti akan muncul pada masa hadapan walaupun ia mungkin memerlukan sedikit masa lagi.
Sumber: coinmarketcap,hackernoon.com
“Saya batch December 2020. Sebelum ni hampir setahun saya membaca tulisan tuan guru Mayee Nazrich . Pembacaan bertambah semenjak PKP dilancarkan. Daripada zero saya belajar sikit demi sedikit.Saya memberanikan diri buka akaun dan mula invest. Mula- mula- sembunyi daripada pasangan. Dari hari ke hari nampak ‘ grow’ . Saya ajak suami. sampai hari ini kami terus tingkatkan dan jadi Hodler. Kami tak trading tapi buat weekly DCA . Apabila kita berguru banyak benda yang kita perolehi.Ilmu kripto ni luas. Saya pun tidak menyangka boleh tahu banyak istilah berkaitan lebih-lebih lagi apabila berada dalam circle yang saling menyokong. Kini saya dan suami sudah mempunyai 6 portfolio. Tak banyak tapi telah bermula. Ada port yang telah untung 1000%. Kepada semua yang masih teragak agak, masih belum terlambat. Perjalanan jauh bermula dengan langkah Pertama. Jom kripto.”
#DukKampungTakpeJanjiAdaCrypto
Dapatkan 36 video Panduan Lengkap langkah untuk anda memahami, mengenali dan memulakan karier anda sebagai seorang Pelabur Crypto Berjaya seperti 16 orang student kami yang sudah menjadi jutawan crypto.
