Как работает сэндвич-атака: механизм, примеры и способы защиты от потерь

С развитием рынка DeFi (децентрализованных финансов) появились новые формы блокчейн-угроз, из-за которых пользователи могут понести убытки, даже не подозревая об этом. Одной из таких угроз является сэндвич-атака, которая стала возможной благодаря особенностям работы Ethereum и других похожих блокчейнов.

Что такое сэндвич-атака?

Сэндвич-атака или, как ее еще называют, "сэндвичинг" — это форма манипулирования рынком, рассчитанная преимущественно на пользователей бирж в среде DeFi (децентрализованных финансов).

Сэндвич-атака представляет собой один из частных случаев эксплуатации MEV (максимальной извлекаемой ценности), при которой участники сети, включая валидаторов, манипулируют транзакциями, извлекая за счет этого прибыль. Более того, сэндвич-атака считается одним из наиболее распространенных вариантов эксплуатации MEV (максимальной извлекаемой ценности).

Одна из главных особенностей сэндвич-атаки заключается в том, что она позволяет трейдерам получать доход от чужих сделок, особенно, при покупке криптовалюты. Сэндвич-атаки начали наиболее широко распространяться в 2020 году с появлением первых децентрализованных бирж, таких как Uniswap, на фоне ажиотажа вокруг DeFi (децентрализованных финансов). Однако сооснователь Ethereum Виталик Бутерин предупреждал об опасности сэндвич-атак еще в 2018 году.

Децентрализованные торговые платформы, подобные Uniswap, стали наиболее привлекательными для проведения сэндвич-атак благодаря используемой модели AMM* (автоматизированного маркетмейкера), которая позволяет пользователям торговать друг с другом напрямую, а не через книгу заявок, как на классических биржах.

* AMM (Automated Market Maker / автоматизированный маркетмейкер) — это механизм работы децентрализованных бирж (DEX), который позволяет пользователям обменивать криптовалюты напрямую через смарт-контракты ("умные" контракты) без участия традиционной книги заявок и централизованного посредника. Вместо системы ордеров, как на классических биржах, AMM использует специальные пулы ликвидности — хранилища токенов (цифровых активов на блокчейне), которые пополняют пользователи (поставщики ликвидности). Цена актива в таких пулах определяется автоматически по математической формуле и меняется в зависимости от объема покупок и продаж.Например, если трейдер массово покупает токен (цифровой актив на блокчейне), его количество в пуле уменьшается, а цена автоматически растет. Именно из-за этой особенности AMM-платформы, особенно уязвимы для сэндвич-атак, поскольку крупные сделки заметно влияют на стоимость актива еще до завершения транзакции.

Как работает сэндвич-атака?

Сэндвич-атаку также называют "атакой на опережение", поскольку с ее помощью злоумышленники могут "отодвинуть" запланированную пользователем транзакцию, подставив перед ней свою.

Принцип работы сэндвич-атаки следующий:

1. Сначала для проведения сэндвич-атаки злоумышленник ищет целевую транзакцию в мемпуле (очереди неподтвержденных транзакций) Ethereum или другого похожего блокчейна. Ввиду высокой пропускной способности и скорости обработки транзакций в сети Ethereum, в которой новый блок создается примерно каждые 12 секунд, выявить нужную операцию для проведения сэндвич-атаки крайне затруднительно, поэтому злоумышленники используют для этого специальных MEV-ботов — автоматизированные программы для получения максимальной извлекаемой ценности.

2. После нахождения нужной транзакции злоумышленник работает на опережение, подставляя собственную транзакцию так, чтобы она была записана в блокчейн раньше той, что отправила жертва. В криптовалютной сфере такие действия также известны, как фронтраннинг (отправка опережающих транзакций). В результате этого жертва сэндвич-атаки покупает актив вслед за злоумышленником уже по завышенной цене.

3. Сразу после исполнения ордера жертвы на покупку злоумышленник отправляет вторую транзакцию на продажу криптовалюты, получая прибыль за счет роста цены и успешно реализуя сэндвич-атаку. В итоге получается, что ордер жертвы становится "зажатым" между двумя транзакциями атакующего, образуя своеобразный "сэндвич". Из-за этого сэндвич-атака и получила свое название.

Проведение сэндвич-атак стало возможным благодаря открытому мемпулу (очереди неподтвержденных транзакций) в сети Ethereum, который позволяет при помощи специальных ботов сканировать операции с цифровыми активами еще до их записи в блокчейн.

Дополнительную возможность проведения сэндвич-атаки обеспечивает механизм упорядочивания транзакций в блокчейне Ethereum. После перехода Ethereum на механизм консенсуса Proof-of-Stake или PoS ("доказательство доли владения") валидаторы получили полный контроль над определением порядка транзакций внутри блока.

Таким образом, валидаторы могут включать транзакции в блок не по порядку, а по приоритету. Например, в первую очередь в блок могут попадать те транзакции, за которые пользователи заплатили больше комиссии. Эту возможность и используют злоумышленники при проведении сэндвич-атаки, поскольку за счет повышения комиссии их транзакция попадет в новый блок раньше целевой, уже отправленной на подтверждение жертвой.

Чем опасна сэндвич-атака и как ее можно избежать?

По мнению экспертов, сэндвич-атаки способны неблагоприятно влиять не только на самих трейдеров, но и на экосистему DeFi (децентрализованных финансов). Сэндвич-атаки делают рынок непредсказуемым, повышают волатильность криптовалют и создают финансовые риски для всех его участников.

Больше всего рискам сэндвич-атак подвержены низколиквидные активы, такие как малокапитализированные альткоины (криптовалюты, кроме биткоина), поскольку именно они сильнее всего страдают от высокой волатильности.

Одним из способов защиты от сэндвич-атаки являются флэш-боты (инструменты для снижения рисков от эксплуатации максимальной извлекаемой ценности). Эти инструменты используют специальные ретрансляторы, которые позволяют проводить транзакции в обход публичного мемпула (очереди неподтвержденных транзакций).

Таким образом, злоумышленники не смогут обнаружить нужные транзакции для проведения сэндвич-атаки, однако подобные инструменты ввиду сложности доступны только опытным трейдерам.

Обычные трейдеры также могут застраховать себя от сэндвич-атаки, установив лимиты проскальзывания — максимального допустимого порога изменения цены актива при исполнении ордера. Таким образом, заявка на покупку не исполнится, если стоимость актива окажется вне установленного лимита проскальзывания, и трейдер не станет жертвой сэндвич-атаки.

Известные случаи сэндвич-атак на децентрализованные биржи

Две сэндвич-атаки на Four.Meme более чем на $300 000

В феврале и марте 2025 года одна из самых популярных в экосистеме BNB Chain площадок для выпуска пользовательских токенов (цифровых активов на блокчейне) под названием Four.Meme дважды пострадала от сэндвич-атаки.

По подсчетам аналитиков, общий ущерб от обеих сэндвич-атак составил $303 000. Инциденты с Four.Meme показали, что проблемы с безопасностью остаются актуальными для среды DeFi (децентрализованных финансов), несмотря на технологическое развитие решений.

Ранее, в 2024 году, экосистема BNB Chain многократно подвергалась сэндвич-атакам, от которых, по данным аналитиков, пострадало порядка 35% всех транзакций сети.

$4 млн прибыли от сэндвич-атаки

Неизвестный трейдер, контролирующий адрес jaredfromsubway.eth, стал популярным после того, как всего за сутки получил прибыль в размере $4 млн благодаря успешной сэндвич-атаке в сети Ethereum.

Успех трейдера оказался настолько большим, что после этой сэндвич-атаки он в одиночку превзошел ведущие криптовалютные сервисы по доходу от комиссий сети Ethereum, благодаря чему и стал знаменитым.

Более $200 000 убытка от сэндвич-атаки на биржу Uniswap

Uniswap стала первой децентрализованной биржей, многократно подвергавшейся сэндвич-атакам. Чаще всего от сэндвич-атак страдали низколиквидные криптовалюты с очень малой капитализацией, поэтому и ущерб был незначительным.

Однако были зафиксированы и более крупные случаи сэндвич-атак на пользователей децентрализованной биржи. Так, в марте 2025 года трейдер понес убыстки на сумму более $200 000 во время обмена стейблкоинов (стабильных монет) Tether (USDT) и USDC (USDC).

Пострадавший трейдер разместил заявку на сумму около $220 000, но после ее исполнения, из-за успешной сэндвич-атаки получил на свой кошелек всего ~$5200 потеряв около $215 000.