Újabb védekezési módszer érhető el a “szendvics” típusú támadásokhoz

A tőzsdei aggregátorként ismertté vált 1inch nemrégiben elindította Rabbithole névre hallgató új eszközét. A cég szerint ennek segítségével a kereskedők védve lesznek az ún. “szendvics” típusú támadásokkal szemben. A Rabbithole segítségével a felhasználók közvetlenül az Ethereum node-oknak küldhetnek tranzakciókat, kikerülve a mempoolt.

Néhány alapfogalom tisztázása a Rabbithole kapcsán

Persze a Rabbithole nem működik mindenkinél alapesetben, hiszen a felhasználóknál az RPC (remote procedure call) végpontot le kell cserélniük a tárcájukban. Ha valakinek az előbb említett fogalmak kevésbé ismertek, akkor gyorstalpalóként jöjjön itt az RPC defíníciója. Ez egy olyan kommunikációs folyamat egy programban, amikor a fejlesztőnek nem kell definiálnia a kommunikáció részleteit, mert az általában egy másik gépen/szerveren fut. Aztán jöjjön a “szendvics” típusú támadás bemutatása. Ebben a támadó a mempoolban keres először egy nagyértékű tranzakciót. Ezután ő maga is elindít egy tranzakciót és magasabb gázdíjat fizet azért, hogy az ő tranzakciója biztosan az eredeti tranzakció előtt teljesüljön. Ez a gyorsabb tranzakció fel fogja tolni a megvásárolni kívánt coinok értékét, így a tisztességes felhasználónak többet kell fizetnie.

Miután viszont feldolgozták a tisztességes felhasználó tranzakcióját, a támadó egy újabb tranzakciót indít, amivel el is adja az előbb megvásárolt coinjait, majd zsebrevágja a különbözetet. Innen kapta a nevét is a támadás: a mi tranzakciónk “szendvicsbe” kerül két támadó tranzakció között. És ezeknek tényleg komoly értéke tud lenni, hiszen 2020. májusától 2022. áprilisáig legalább 72 millió dollárnyi ether veszett el ilyen “szendvicseknek” köszönhetően. Volt már egyébként olyan megoldás, amivel egyből a node-okra lehetett tranzakciókat küldeni. De ez nem volt elérhető a teljes felhasználói közösség számára normális front-end segítségével. Most az 1inch Rabbithole megoldása már felhasználóbarát felülettel is rendelkezik.