امنیت کیف پول, ارز دیجیتال

حمله فرانت رانینگ چیست؟ بررسی کامل حمله ساندویچی و ربات های MEV در صرافی‌های غیرمتمرکز

22
نوامبر

فرض کنید وارد یک طلافروشی شده‌اید. روی تابلو، قیمت هر گرم طلا ۱۰ میلیون تومان درج شده است. شما ۱۰۰ میلیون تومان روی پیشخوان می‌گذارید تا ۱۰ گرم طلا بخرید. در همان لحظه‌ای که فروشنده می‌خواهد طلا را برای شما وزن کند، فرد دیگری وارد مغازه می‌شود، با سرعت سرسام‌آوری تمام طلای موجود را می‌خرد، قیمت را تا ۱۲ میلیون تومان بالا می‌برد و فروشنده رو به شما می‌گوید: «متاسفم، الان با این مبلغ فقط می‌توانم ۸ گرم طلا به شما بدهم.» شما ناچار معامله را می‌پذیرید. چند لحظه بعد همان فرد، طلاهایی را که خریده بود با قیمت ۱۲ میلیون تومان مجدداً به مغازه می‌فروشد و با سودی قابل‌توجه خارج می‌شود.

شما در نهایت ۸ گرم طلا خریده‌اید اما عملاً پول ۱۰ گرم را پرداخت کرده‌اید. آن ۲ گرم اختلاف چه شد؟ مستقیم و تمیز به جیب کسی رفت که فقط چند لحظه زودتر از شما وارد معامله شد.

چنین سناریویی در دنیای واقعی بعید، عجیب و حتی کاملاً غیرقانونی به نظر می‌رسد؛ اما در جهان صرافی‌های غیرمتمرکز (DEX) مثل یونی‌سواپ (Uniswap) و پنکیک‌سواپ (PancakeSwap)، این اتفاق هر روز و در مقیاس بسیار بزرگ رخ می‌دهد. به این مدل سوءاستفاده، حمله ساندویچی (Sandwich Attack) می‌گویند و در عمل شما قربانی ربات‌هایی شده‌اید که در کسری از ثانیه، بخش قابل‌توجهی از دارایی‌تان را می‌بلعند.

در این مقاله، قدم‌به‌قدم وارد «جنگل تاریک» اتریوم و سایر بلاکچین‌ها می‌شویم؛ جایی که ربات‌های شکارچی (MEV Bots) در کمین تراکنش‌های شما نشسته‌اند. در ادامه، با زبانی روان اما دقیق و تخصصی توضیح می‌دهیم فرانت‌رانینگ چیست، چرا اسلیپیج به نقطه‌ضعف اصلی شما تبدیل می‌شود و چگونه می‌توانید با دانلود تراست والت و انجام تنظیمات دقیق امنیتی در آن، مثل یک تریدر حرفه‌ای از سرمایه‌ خود در برابر این حملات محافظت کنید.

حمله ساندویچی و ربات‌های MEV

جایی که در حمله فرانت رانینگ دزدی رخ می‌دهد

برای درک اینکه چگونه پول شما دزدیده می‌شود، ابتدا باید بفهمیم که تراکنش‌ها در بلاکچین چگونه پردازش می‌شوند. بسیاری از کاربران تصور می‌کنند وقتی دکمه Swap را می‌زنند، تراکنش مستقیماً وارد بلاکچین می‌شود. این تصور غلط است.

Mempool چیست؟

وقتی شما در کیف پول خود (مثلاً متامسک یا تراست ولت) تراکنشی را امضا می‌کنید، این درخواست ابتدا به فضایی به نام Mempool (مخفف Memory Pool) ارسال می‌شود.

Mempool چیست؟ تصور کنید ممپول یک اتاق انتظار بزرگ و شیشه‌ای است. تمام افرادی که می‌خواهند تراکنش انجام دهند، در این اتاق منتظر نشسته‌اند. ماینرها (یا در شبکه اتریوم جدید، اعتبارسنج‌ها) مثل نگهبانانی هستند که هر چند ثانیه یک‌بار وارد اتاق می‌شوند، تعدادی از افراد را انتخاب می‌کنند و آن‌ها را وارد “بلاک” (قطار اصلی بلاکچین) می‌کنند.

اما دو نکته کلیدی و خطرناک در اینجا وجود دارد:

  1. شفافیت مطلق: دیوارهای این اتاق انتظار شیشه‌ای است. هر کسی که کمی دانش برنامه‌نویسی داشته باشد، می‌تواند ببیند شما چه مقدار پول دارید، چه ارزی می‌خرید و چقدر حاضرید کارمزد بدهید.

  2. اولویت بر اساس پول (رشوه): ماینرها عاشق پول هستند. آن‌ها تراکنش‌هایی را زودتر انتخاب می‌کنند که کارمزد (Gas Fee) بالاتری پرداخت کرده باشند.

همین دو ویژگی، ممپول را به بهشت ربات‌های شکارچی تبدیل کرده است. ربات‌ها ۲۴ ساعته ممپول را اسکن می‌کنند تا “طعمه” پیدا کنند.

تراکنش‌های شما اینجا لو می‌روند! مورد حمله ساندوچی قرار میکیریده

ربات های MEV در حمله فرانت رانینگ

شاید کلمه MEV را شنیده باشید. این کلمه مخفف Maximal Extractable Value (حداکثر ارزش قابل استخراج) است. در گذشته به آن Miner Extractable Value می‌گفتند، اما چون امروزه فقط ماینرها نیستند که سود می‌برند، نام آن تغییر کرده است.

ربات های MEV چه کسانی هستند؟

این‌ها ربات‌های نرم‌افزاری بسیار پیشرفته‌ای هستند که توسط تیم‌های برنامه‌نویسی نخبه و ریاضیدانان طراحی شده‌اند. کار آن‌ها این است که بلاکچین را شخم بزنند تا کوچکترین فرصتی برای سودآوری پیدا کنند.

ربات های MEV همیشه بد نیستند. برخی از آن‌ها کار “آربیتراژ” انجام می‌دهند (مثلاً قیمت اتریوم در یونی‌سواپ را با سوشی‌سواپ هماهنگ می‌کنند) که برای بازار مفید است. اما گروهی دیگر که ما در این مقاله با آن‌ها کار داریم، ربات‌های فرانت رانر و ساندویچی هستند که مستقیماً از جیب کاربران عادی سود می‌برند.

منطق اقتصادی ربات‌ها

چرا یک ماینر باید با ربات همکاری کند؟ ماینرها تراکنش‌هایی را در بلاک می‌چینند که بیشترین سود را برایشان داشته باشد. ربات‌های MEV حاضرند ۹۰٪ از سودی که از دزدی تراکنش شما به دست می‌آورند را به عنوان کارمزد (Gas) به ماینر بدهند تا ماینر تراکنش آن‌ها را قبل از تراکنش شما قرار دهد. این یک بازی برد-برد برای ماینر و ربات، و یک باخت مطلق برای شماست.

دانلود نسخه جدید تراست والت

حمله فرانت رانینگ چیست؟ (پیش‌درآمد ساندویچ)

قبل از اینکه ساندویچ را کامل کنیم، باید مفهوم “فرانت رانینگ” (Front-Running) را درک کنیم. فرانت رانینگ به معنای “پیش‌دستی کردن” است.

بیایید حمله فرانت رانینگ چیست را با یک مثال ساده توضیح دهیم: فرض کنید شما یک خبر رانتی دارید که فردا سهام شرکت اپل گران می‌شود. شما سریع اقدام به خرید می‌کنید. حالا فرض کنید کارگزار بورس شما، قبل از اینکه سفارش شما را ثبت کند، برای خودش سهام اپل بخرد چون می‌داند خرید بزرگ شما قیمت را بالا می‌برد. او “فرانت رانینگ” کرده است.

در بلاکچین، ربات تراکنش خرید سنگین شما را در ممپول می‌بیند. او محاسبه می‌کند که خرید شما باعث می‌شود قیمت توکن مثلاً ۵ درصد رشد کند. ربات بلافاصله یک سفارش خرید با کارمزد (Gas) بسیار بالاتر ثبت می‌کند. ماینر تراکنش ربات را می‌بیند که کارمزد چربی دارد، پس آن را اول در بلاک قرار می‌دهد. نتیجه؟ ربات توکن را با قیمت ارزان می‌خرد. سپس تراکنش شما اجرا می‌شود و قیمت را بالا می‌برد. حالا ربات توکن‌هایی را که چند ثانیه پیش خریده بود، با سود می‌فروشد.

حمله فرانت رانینگ چیست؟

ناتومی دقیق حمله ساندویچی (وقتی محاصره می‌شوید)

حمله ساندویچی، نسخه تکامل‌یافته و بی‌رحمانه‌تر فرانت‌رانینگ است. در اینجا، ربات فقط جلو نمی‌زند؛ او شما را محاصره می‌کند. بیایید یک سناریوی کاملاً واقعی را با اعداد بررسی کنیم تا عمق فاجعه مشخص شود.

سناریوی عملیاتی:

فرض کنید شما می‌خواهید ۱۰ اتریوم (ETH) را به توکن PEPE تبدیل کنید.

  1. شناسایی (The Scan): ربات در ممپول می‌بیند که کاربری (شما) قصد دارد ۱۰ اتریوم پپ بخرد. الگوریتم ربات متوجه می‌شود که این حجم خرید در استخر نقدینگی فعلی، قیمت پپ را ۱۰٪ افزایش خواهد داد.

  2. نان اول (Front-Run – خرید قبل از شما): ربات سریعاً سفارشی برای خرید ۵ اتریوم پپ ارسال می‌کند. او ۱۰۰ دلار کارمزد می‌دهد تا مطمئن شود نفر اول است. خرید او قیمت پپ را ۵٪ بالا می‌برد.

  3. گوشت ساندویچ (Victim Tx – خرید شما): حالا نوبت تراکنش شماست. چون شما اسلیپیج (Slippage) را بالا تنظیم کرده‌اید، صرافی تراکنش شما را با قیمت جدید (که ۵٪ گران‌تر شده) انجام می‌دهد. خرید سنگین ۱۰ اتریومی شما، قیمت را ۵٪ دیگر بالا می‌برد (مجموعاً ۱۰٪ افزایش قیمت نسبت به اول کار).

  4. نان دوم (Back-Run – فروش بعد از شما): بلافاصله بعد از تایید تراکنش شما، ربات توکن‌هایی را که در مرحله اول خریده بود، حالا که قیمت ۱۰٪ رشد کرده، می‌فروشد.

نتیجه نهایی:

  • ربات سود قطعی و بدون ریسک کرده است.

  • شما تعداد توکن بسیار کمتری نسبت به حالت عادی دریافت کرده‌اید (انگار توکن را در سقف قیمت خریده‌اید).

  • همه این‌ها در یک بلاک و در کمتر از ۱۲ ثانیه رخ داده است.

اسلیپیج چیست و چرا قاتل سرمایه شماست؟

شاید بپرسید: “چرا صرافی اجازه داد من با قیمت گران‌تر خرید کنم؟” پاسخ در تنظیمات Slippage Tolerance نهفته است.

مکانیزم AMM و نقش اسلیپیج

صرافی‌های غیرمتمرکز از فرمول $x * y = k$ استفاده می‌کنند. یعنی وقتی شما یک توکن را از استخر برمی‌دارید (می‌خرید)، باید مقدار متناسبی از توکن دیگر را به استخر اضافه کنید تا تعادل حفظ شود. این کار ذاتاً باعث تغییر قیمت می‌شود.

اسلیپیج چیست؟ (لغزش قیمت) یعنی تفاوت بین “قیمتی که روی صفحه می‌بینید” و “قیمتی که معامله واقعاً با آن انجام می‌شود”.

بازار کریپتو نوسان دارد. ممکن است در همان چند ثانیه‌ای که تراکنش شما در راه است، قیمت تغییر کند. برای اینکه تراکنش شکست نخورد، شما به صرافی اجازه می‌دهید تا حدی نوسان را بپذیرد.

  • اگر اسلیپیج را روی ۱۰٪ بگذارید، یعنی به صرافی می‌گویید: “حتی اگر قیمت ۱۰ درصد گران‌تر شد، باز هم برایم بخر.”

  • این دقیقاً همان “چراغ سبز” برای ربات‌هاست. آن‌ها می‌دانند تا ۱۰ درصد فضا دارند که قیمت را علیه شما دستکاری کنند و تراکنش شما همچنان انجام شود (Fail نشود).

چرا نباید اسلیپیج را روی Auto گذاشت؟

استراتژی‌های دفاعی پیشرفته (چگونه نامرئی شویم؟)

حالا که دشمن و روش کارش را شناختیم، وقت دفاع است. این بخش مهم‌ترین قسمت مقاله برای کاربر حرفه‌ای است. راهکارهای زیر را به ترتیب اولویت اجرا کنید.

مهندسی دقیق اسلیپیج (Slippage Tolerance)

بسیاری از کانال‌های تلگرامی سیگنال می‌دهند: “اسلیپیج را روی اتو (Auto) یا ۱۲٪ بگذارید تا سریع بخرید.” هرگز این کار را نکنید مگر مجبور باشید.

  • برای توکن‌های استاندارد (بدون مالیات): اسلیپیج را زیر ۰.۵٪ یا حتی ۰.۱٪ تنظیم کنید. اگر ربات بخواهد قیمت را دستکاری کند، چون محدوده مجاز شما کم است، تراکنش شما Fail می‌شود. بله، هزینه گس هدر می‌رود، اما بهتر از این است که ۱۰٪ از کل سرمایه را به ربات ببازید.

  • برای شت‌کوین‌ها (با مالیات/Tax): اگر توکنی ۵٪ مالیات خرید دارد، اسلیپیج شما باید حدود ۵.۵٪ تا ۶٪ باشد. نه بیشتر.

«با تنظیم دقیق Slippage Tolerance در سواپ تراست والت، می‌توانید جلوی بسیاری از این ربات‌ها را بگیرید.» این جمله را مانند یک قانون طلایی همیشه به یاد داشته باشید.

استفاده از RPC های خصوصی (Flashbots) – گنبد آهنین

این راهکار ۱۰۰٪ تضمینی است. به جای ارسال تراکنش به ممپول عمومی، از سرویس‌هایی مثل Flashbots Protect یا MEV Blocker استفاده کنید. این سرویس‌ها یک کانال ارتباطی خصوصی بین شما و ماینرها ایجاد می‌کنند.

  • چگونه کار می‌کند؟ شما تنظیمات RPC کیف پول خود (در متامسک) را تغییر می‌دهید. تراکنش شما وارد ممپول عمومی نمی‌شود، پس ربات‌ها اصلاً نمی‌توانند آن را ببینند که بخواهند ساندویچش کنند. اگر تراکنش سودی برای ماینر داشته باشد، مستقیم در بلاک قرار می‌گیرد. اگر انجام نشود، هیچ گس فی (Gas Fee) از شما کسر نمی‌شود!

بررسی عمق نقدینگی (Liquidity Depth)

قبل از خرید حجم بالا، استخر نقدینگی را چک کنید.

  • اگر در استخری که کلاً ۵۰ هزار دلار نقدینگی دارد، بخواهید ۱۰ هزار دلار خرید کنید، “تأثیر قیمت” (Price Impact) شما بسیار بالا خواهد بود (مثلاً ۲۰٪). این یعنی شما خودتان دارید قیمت را علیه خودتان بالا می‌برید، حتی بدون ربات!

  • راهکار: سفارش‌های بزرگ را به چند سفارش کوچک تقسیم کنید (DCA زمانی). این کار سودآوری حمله را برای ربات‌ها از بین می‌برد.

با RPC خصوصی نامرئی شوید

آینده این نبرد؛ آیا قانونی وجود دارد؟

شاید بپرسید آیا این کار دزدی نیست؟ در بازارهای مالی سنتی (مثل بورس نیویورک)، فرانت‌رانینگ جرم است و مجازات زندان دارد. اما در دیفای (DeFi)، قانون نانوشته‌ای وجود دارد: “کد قانون است” (Code is Law).

تا زمانی که کدهای قرارداد هوشمند اجازه این کار را می‌دهند، ربات‌ها آن را انجام می‌دهند. هیچ پلیسی در بلاکچین وجود ندارد. با این حال، جامعه اتریوم در حال توسعه راهکارهایی مثل PBS (Proposer-Builder Separation) است تا قدرت ربات‌ها را محدود کند و سود حاصل از MEV را به جای ربات‌ها، بین تمام اعتبارسنج‌ها یا حتی کاربران توزیع کند.

اما تا آن روز، مسئولیت امنیت سرمایه شما، ۱۰۰٪ با خود شماست.

جمع‌بندی نهایی: شکارچی باشید، نه شکار

دنیای ارزهای دیجیتال ترکیبی از غرب وحشی و وال‌استریت است. فرصت‌های سودآوری بی‌نظیر هستند، اما خطرات هم به همان اندازه جدی‌اند. دانستن اینکه Mempool چیست و ربات های MEV چگونه فکر می‌کنند، شما را از ۹۰٪ معامله‌گران بازار جلوتر می‌اندازد.

چک‌لیست امنیتی شما قبل از هر سواپ:

  1. آیا اسلیپیج را روی حداقل ممکن تنظیم کرده‌ام؟

  2. آیا حجم خریدم نسبت به نقدینگی استخر منطقی است؟

  3. آیا از RPC محافظت شده (مثل Flashbots) استفاده می‌کنم؟ (برای مبالغ بالا الزامی است).

فراموش نکنید، در بازار مالی، پولی که حفظ می‌کنید به اندازه پولی که بدست می‌آورید ارزشمند است. اجازه ندهید ربات‌ها با ساندویچ کردن تراکنش‌های شما، از جیب شما ضیافت بگیرند.

سوالات متداول (FAQ)

۱. آیا ربات‌های ساندویچی در شبکه ترون یا بایننس اسمارت چین (BSC) هم هستند؟ بله، هر بلاکچینی که از قراردادهای هوشمند و مدل ممپول عمومی استفاده می‌کند (مثل اتریوم، BSC، پالیگان، آوالانچ) میزبان این ربات‌هاست. در BSC به دلیل سرعت بالاتر و کارمزد کمتر، حجم حملات بسیار زیاد است.

۲. اسلیپیج چیست و چگونه آن را در تراست ولت تنظیم کنیم؟ اسلیپیج میزان تحمل شما در برابر تغییر قیمت است. در تراست ولت، هنگام سواپ کردن، روی آیکون چرخ‌دنده (Settings) کلیک کنید و عدد Slippage را دستی وارد کنید. برای توکن‌های معتبر عدد 0.5 یا 1 پیشنهاد می‌شود.

۳. آیا استفاده از صرافی‌های اگریگیتور (Aggregator) مثل 1inch کمکی می‌کند؟ بله، بسیار زیاد. پلتفرم‌هایی مثل 1inch سفارش شما را بین چندین استخر تقسیم می‌کنند و معمولاً محافظت‌های داخلی در برابر فرانت‌رانینگ دارند که باعث می‌شود کار برای ربات‌ها سخت‌تر شود.

۴. اگر تراکنشم به دلیل اسلیپیج پایین فیل (Fail) شد، چه کنم؟ این نشانه خوبی است! یعنی قیمت تغییر کرده (یا ربات حمله کرده) و کیف پول جلوی ضرر شما را گرفته است. کمی صبر کنید تا بازار آرام شود یا اسلیپیج را مقدار بسیار کمی (مثلاً ۰.۱٪) افزایش دهید و دوباره تلاش کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *