С развитием DeFi (децентрализованных финансов) в криптоиндустрии появились новые способы манипулирования рынком. Одними из самых распространённых стали так называемые сэндвич-атаки — схемы, при которых злоумышленники зарабатывают на чужих сделках ещё до их подтверждения в блокчейне.
Сэндвич-атака — это разновидность MEV* (максимальной извлекаемой ценности), при которой участники сети получают прибыль за счёт изменения порядка транзакций. Чаще всего жертвами сэндвич-атак становятся пользователи децентрализованных бирж (DEX), совершающие крупные сделки.
* MEV (Maximal Extractable Value / максимальная извлекаемая ценность) — дополнительная прибыль, которую валидаторы, майнеры или специальные боты могут получать за счёт изменения порядка транзакций в блокчейне. Например, бот может увидеть крупную заявку на покупку токена (цифрового актива на блокчейне), провести собственную сделку раньше пользователя и заработать на изменении цены.
Особенно активно сэндвич-атаки начали распространяться после бума DeFi* (децентрализованных финансов) в 2020 году, когда популярность получили платформы вроде Uniswap. Однако о рисках подобных манипуляций сооснователь Ethereum Виталик Бутерин предупреждал ещё несколькими годами ранее.
* Бум DeFi (децентрадизованных финансов) — это период стремительного роста популярности децентрализованных финансов, когда пользователи массово начали переходить от классических криптобирж и финансовых сервисов к блокчейн-протоколам без посредников. Главная особенность этого периода заключалась в том, что пользователи получили возможность:
- обменивать криптовалюты без централизованных бирж;
- брать и выдавать криптокредиты;
- получать проценты за хранение активов;
- зарабатывать на предоставлении ликвидности;
- участвовать в управлении криптопроектами через токены (цифровые активыы на блокчейне).
Именно в 2020 году DeFi превратился из экспериментального направления в полноценный сектор крипторынка. А Общий объём средств (TVL — Total Value Locked), размещённых в DeFi-протоколах, за 2020 год вырос с примерно $1 млрд до более чем $15 млрд.
Почему децентрализованные биржи уязвимы для сэндвич-атак
Главная причина появления сэндвич-атак — принцип работы AMM (автоматизированных маркетмейкеров)*, который используется на большинстве децентрализованных бирж.
* AMM (Automated Market Maker / автоматизированный маркетмейкер) — механизм работы децентрализованных бирж, при котором цена криптовалюты определяется автоматически внутри пула ликвидности. Вместо книги ордеров, как на обычных биржах, AMM использует специальные алгоритмы и резервы токенов (цифровых активов на блокчейне). Чем активнее пользователи покупают криптовалюту, тем выше становится её цена внутри пула.
В отличие от традиционных площадок с книгой ордеров, AMM-платформы используют пулы ликвидности и автоматически меняют цену токена (цифрового актива на блокчейне) в зависимости от спроса и предложения. Если пользователь покупает большой объём актива, его цена внутри пула растёт ещё до завершения сделки.
Именно этим эффектом пользуются злоумышленники во время сэндвич-атак.
Как происходит сэндвич-атака
Механизм сэндвич-атаки состоит из трёх основных этапов:
1. Поиск крупной транзакции
Сначала MEV-боты (автоматизированные программы для получения максимальной извлекаемой ценности) отслеживают мемпул (очередь неподтверждённых транзакций) в сети Ethereum и других блокчейнах. Боты ищут крупные ордера, способные заметно повлиять на цену токена (цифрового актива на блокчейне).
2. Опережающая покупка
После обнаружения подходящей сделки злоумышленник отправляет собственную транзакцию на покупку того же актива, увеличивая комиссию сети. Благодаря этому его операция попадает в блок раньше сделки жертвы. Когда ордер пользователя исполняется, цена токена (цифрового актива на блокчейне) уже оказывается выше.
3. Продажа по завышенной цене
Сразу после завершения сделки жертвы атакующий продаёт купленный актив дороже и фиксирует прибыль.В результате транзакция добросовестного пользователя оказывается «зажатой» между двумя операциями злоумышленника — отсюда и название «сэндвич-атака».
Почему сэндвич-атаки возможны
Одной из причин распространения сэндвич-атак стал публичный мемпул (очередь неподтверждённх транзакций) Ethereum, где неподтверждённые транзакции видны всем участникам сети.
Дополнительную роль играет механизм приоритизации транзакций. После перехода Ethereum механизм консенсусв на Proof-of-Stake (“доказательство доли владения”) валидаторы* получили возможность самостоятельно определять порядок операций внутри блока. Обычно в первую очередь подтверждаются транзакции с более высокой комиссией.
* Валидаторы — это участники блокчейн-сети, которые проверяют транзакции, подтверждают их подлинность и добавляют новые блоки в блокчейн. Проще говоря, они следят за тем, чтобы операции в сети проходили по правилам, а за эту работу получают вознаграждение в криптовалюте.
Этим и пользуются MEV-боты (автоматизированные программы для получения максимальной извлекаемой ценности), повышая комиссию и «обгоняя» сделки обычных пользователей.
Чем опасны сэндвич-атаки
Эксперты считают, что сэндвич-атаки вредят не только отдельным трейдерам, но и всей экосистеме DeFi (децентрализованных финансов).
Основные риски:
- искусственное повышение волатильности*;
- ухудшение качества исполнения сделок;
- рост финансовых потерь трейдеров;
- снижение доверия к децентрализованным биржам.
* Волатильность — показатель того, насколько сильно изменяется цена актива за определённый период времени. Высокая волатильность означает резкие колебания стоимости криптовалюты как вверх, так и вниз.
Наиболее уязвимыми считаются низколиквидные криптовалюты* и малокапитализированные альткоины (альтернативные криптовалюты), поскольку даже относительно небольшие сделки способны резко изменить их стоимость.
* Низколиквидная криптовалюта — криптовалюта с небольшим объёмом торгов и ограниченным количеством покупателей и продавцов. Из-за низкой ликвидности даже сравнительно небольшая сделка способна резко изменить цену такого актива, что делает его особенно уязвимым для сэндвич-атак и других рыночных манипуляций.
Как защититься от сэндвич-атак
Полностью исключить риск сэндвич-атак сложно, однако существуют способы снизить вероятность потерь.
Ограничение проскальзывания
Один из самых эффективных методов — настройка лимита проскальзывания*.
* Проскальзывание (slippage) — разница между ожидаемой ценой актива в момент отправки сделки и фактической ценой её исполнения. Обычно возникает из-за высокой волатильности или недостаточной ликвидности рынка.
Если цена актива изменится сильнее установленного порога, сделка автоматически отменится. Это помогает избежать покупки криптовалюты по искусственно завышенной цене.
Использование приватных ретрансляторов
Профессиональные трейдеры используют флэш-боты (инструменты для снижения рисков от эксплуатации максимальной извлекаемой ценности) и другие решения, позволяющие отправлять транзакции напрямую валидаторам в обход публичного мемпула (очереди неподтверждённых транзакций).
В этом случае злоумышленники просто не видят операцию до её подтверждения.
Известные случаи сэндвич-атак
Атаки на Four.Meme
В феврале и марте 2025 года платформа Four.Meme дважды пострадала от сэндвич-атак. По оценкам аналитиков, общий ущерб превысил $300 000. Инцидент вновь показал, что даже современные проекты остаются уязвимыми перед сэндвич-атаками.
$4 млн прибыли за сутки
Широкую известность получил трейдер с адресом jaredfromsubway.eth, заработавший около $4 млн всего за один день благодаря серии успешных сэндвич-атак в сети Ethereum. Его активность оказалась настолько масштабной, что доходы от комиссий временно превзошли показатели некоторых крупных криптосервисов.
Потери пользователя Uniswap
Одним из самых громких случаев стала атака на пользователя Uniswap в марте 2025 года. Трейдер обменивал стейблкоины (стабильные криптовалюты) Tether и USDC на сумму около $220 000, однако после исполнения сделки получил активов лишь примерно на $5 200. Убыток превысил $200 000 и стал одним из крупнейших примеров последствий сэндвич-атак для обычных пользователей DeFi (децентрализованных финансов).