Dune Analytics 的数据显示，12 月 1 日，三明治攻击渗透了超过三分之一的 BNB 智能链区块，创下了针对去中心化交易所用户的攻击记录。

分析显示，35.5%的区块包含此类攻击，单日 43,400 笔交易的交易量超过 15 亿美元。

这一峰值凸显了人们对 DEX 漏洞日益增长的担忧。 5 月份，有报道称，一个机器人在短短三个月内利用同一攻击从超过 100,000 名受害者那里窃取了 4000 万美元。

币安发言人没有立即回应置评请求。

三明治攻击是一种市场操纵行为，攻击者将受害者的交易夹在自己的两个交易之间。 

恶意交易者在受害者交易前下达买入指令，推高代币价格，并在受害者交易后立即下达卖出指令，从中获利。人为抬高价格。

此过程通常由最大提取价值 (MEV) 机器人利用 DEX 基础设施实现自动化。 加密网络安全公司 Immunefi 的智能合约工程师 Alejandro Munoz-McDonald 告诉 Decrypt，此类攻击是 DEX 基础设施工作方式的直接后果。 

“当用户提交交易时，它会被放置在公共等待区域（mempool）中，交易会一直存放在那里，直到它被矿工包含在区块中，”他说。

当用户提交交易时，它会进入内存池或“内存池”，并保留在那里，直到矿工选择将其包含在块中。

矿工通常会优先考虑费用较高的交易，这可能会影响交易处理的顺序。

由于矿工优先考虑费用最高的交易，攻击者可以贿赂他们重新排序交易，确保他们的战略成功执行。

“这本质上意味着Munoz-McDonald 补充道：“攻击者可以在执行任何人的交易之前了解其意图，并影响排序。

低流动性会导致价格波动，从而加剧问题去中心化金融平台 SMARDEX 联合创始人 Jean Rausis 指出，更容易操纵。 

他建议协议可以通过奖励或合作伙伴关系来激励用户提供更多流动性来减轻攻击。

“当资金池更大时，价格变动幅度不会太大，从而引发攻击不太有吸引力，”劳西斯解释道。 

他还建议使用 DEX 聚合器将交易分散到多个池中，以减少漏洞。

Munoz-McDonald 还敦促 DEX 采用最低预期回报功能，如果期望回报达不到，交易就会失败。不满足，限制了夹心的影响。 

同时，用户可以通过使用隐藏交易的私人中继器来保护自己，直到包含在区块或分离区块创建和验证以保持交易私密性。

另一种选择是分离区块创建和验证，将交易保留在私有内存池中，首席技术官兼联合创始人 Jeremiah O'Connor 建议。加密网络安全公司 Trugard。 

“区块链生态系统应该采用通用的安全实践[...]作为防御攻击的标准，”他告诉 Decrypt。

由 Sebastian Sinclair 编辑