Cybersécurité

L’attaque de frontrunning et les attaques sandwich sur les blockchains décentralisées : exemples et contre-mesures

Hamza L.
De Hamza L.
6 min de lecture
blockchain illustrée par ordinateurs connectés à un serveur

Malgré transparence et la décentralisation, principes fondamentaux de la blockchain, des attaques sophistiquées peuvent encore survenir, affectant la confiance des utilisateurs. Parmi ces attaques, l’attaque de frontrunning et l’attaque sandwich se démarquent en raison de leur impact sur les échanges décentralisés (DEX) et d’autres protocoles basés sur la blockchain. Cet article vous explique en détail ces attaques, illustrées par des exemples concrets, tout en mettant en évidence les mesures de sécurité pour s’en prémunir.

Comprendre l’attaque de frontrunning

L’attaque de frontrunning est une tactique où un attaquant exploite l’ordre d’exécution des transactions pour obtenir un avantage injuste sur d’autres utilisateurs. Elle se produit principalement dans les DEX, où les transactions sont gérées de manière ouverte et transparente. Voici comment l’attaque de frontrunning se déroule.

  • Détection de transactions : l’attaquant surveille les transactions en attente et repère celles qui sont intéressantes, comme une grande transaction d’achat ou de vente.
  • Soumission d’une transaction concurrente : l’attaquant envoie une transaction concurrente à la blockchain, qui vise à profiter de l’action entreprise par le premier utilisateur.
  • Priorité de l’exécution : étant donné que les mineurs de blockchain donnent généralement la priorité aux transactions avec des frais plus élevés, l’attaquant propose des frais plus élevés pour s’assurer que sa transaction est traitée avant celle de la victime.
  • Avantage de l’attaquant : l’attaquant peut ainsi manipuler le marché en exécutant une transaction avant celle de la victime, lui permettant d’acheter ou de vendre à un prix plus favorable.

Exemple d’attaque de frontrunning sur un DEX

Prenons l’exemple d’un DEX populaire, appelons-le « XYZSwap ». Un utilisateur souhaite acheter 10 ETH à un prix spécifique en soumettant une transaction avec un contrat intelligent. Cependant, l’attaquant surveille les transactions en attente et détecte cette opportunité. Voici les étapes de l’attaque de frontrunning.

  • L’utilisateur soumet une transaction pour acheter 10 ETH à 2000 $ chacun.
  • L’attaquant, reconnaissant cette transaction, soumet une transaction concurrente avec un prix légèrement supérieur à 2000 $.
  • Les mineurs donnent la priorité à la transaction de l’attaquant en raison de frais plus élevés, et elle est traitée avant celle de l’utilisateur.
  • L’attaquant achète les 10 ETH à 2000 $ chacun avant que la transaction de l’utilisateur ne soit confirmée.
  • Finalement, la transaction de l’utilisateur est exécutée, mais le prix de l’ETH a déjà augmenté en raison de l’achat de l’attaquant, entraînant une perte pour l’utilisateur.

Comprendre l’attaque sandwich

L’attaque sandwich est une variante plus sophistiquée de l’attaque de frontrunning. Elle exploite la nature prévisible des transactions pour obtenir un avantage encore plus grand. Voici comment fonctionne une attaque sandwich.

  • Détection de transactions ciblées : l’attaquant identifie une transaction spécifique qui est en cours de traitement, comme un achat ou une vente importante.
  • Action rapide : l’attaquant envoie une première transaction pour exécuter l’action inverse de la transaction ciblée, puis soumet rapidement une deuxième transaction pour effectuer l’action d’origine.
  • Sandwich l’action ciblée : la première transaction de l’attaquant est confirmée avant la transaction ciblée, puis la deuxième transaction de l’attaquant est confirmée juste après.
  • Avantage de l’attaquant : l’attaquant réalise ainsi un profit en exploitant la variation de prix causée par sa première transaction et l’action d’origine de la transaction ciblée.

Exemple d’attaque sandwich sur un DEX

Imaginons un utilisateur qui souhaite vendre 1000 tokens ABC à un prix spécifique. L’attaquant détecte cette transaction et effectue une attaque sandwich de la manière suivante :

  • L’utilisateur soumet une transaction pour vendre 1000 tokens ABC à 2 $ chacun.
  • L’attaquant envoie rapidement une première transaction pour acheter une petite quantité de tokens ABC à un prix légèrement inférieur à 2 $.
  • La première transaction de l’attaquant est confirmée avant celle de l’utilisateur.
  • L’attaquant envoie ensuite une deuxième transaction pour vendre la totalité de ses tokens ABC à un prix légèrement supérieur à 2 $.
  • La deuxième transaction de l’attaquant est confirmée juste après la transaction de l’utilisateur.
  • L’attaquant réalise un profit grâce à la différence de prix entre la première transaction et la transaction d’origine de l’utilisateur.

Contre-mesures et prévention

Bien que l’attaque de frontrunning et l’attaque sandwich puissent sembler inquiétantes, il existe des mesures de sécurité que les utilisateurs et les développeurs peuvent prendre pour s’en prémunir :

  • Utilisation de contrats intelligents équitables : les développeurs peuvent mettre en place des contrats intelligents qui empêchent les attaques de frontrunning en utilisant des mécanismes équitables pour l’exécution des transactions.
  • Confidentialité des transactions : les utilisateurs peuvent utiliser des techniques de confidentialité telles que le chiffrement pour cacher les détails sensibles de leurs transactions, réduisant ainsi les opportunités pour les attaquants.
  • Surveillance continue des transactions : les plateformes de trading et les utilisateurs individuels peuvent surveiller activement les transactions en attente pour détecter les modèles d’attaques de frontrunning ou d’attaques sandwich et prendre des mesures rapides pour s’en protéger.

L’attaque de frontrunning et l’attaque sandwich sont des exemples d’attaques sophistiquées qui exploitent la transparence des blockchains décentralisées. Comprendre ces attaques et leurs mécanismes est essentiel pour renforcer la sécurité des échanges et des protocoles basés sur la blockchain.

Vous devriez également aimez

VSCode et npm : la menace des extensions frauduleuses

Glutton : un malware PHP cible cybercriminels et entreprises

Opération Digital Eye : Visual Studio Code détourné par des hackers

GodLoader : un malware détourne le moteur Godot à des fins malveillantes

Formerly Really Simple SSL : Le plugin WordPress qui met des millions de sites en danger

Partager cet article
Article précédent logo js avec texte en jaune sur fond noir Maîtriser JavaScript 2/5 : astuces pour un code svelte et structuré
Article suivant Interface en deux parties. Avec le titre "Gestion du cycle de vie complet d'API" Apache APISIX : La Passerelle API de Nouvelle Génération
Laisser un avis

Laisser un avis

Restez connecté

Faites confiance à BBND
Développez tous vos projets digitaux grâce à une équipe d'experts

Dernières actualités

VSCode et npm : la menace des extensions frauduleuses
Cybersécurité Développement Web
Glutton : un malware PHP cible cybercriminels et entreprises
Cybersécurité
Cyberattaque des hackers chinois
Opération Digital Eye : Visual Studio Code détourné par des hackers
Cybersécurité
Scission de JavaScript en JS0 et JSSugar
JS0 et JSSugar : JavaScript face à une transformation majeure
Développement Web
Mot de passe perdu ?