Vous avez activé Base pour payer moins cher. Pas pour nourrir des bots. Pourtant, un swap lancé sur un DEX en mode non protégé peut, dans certains cas, être intercepté avant même d’atteindre le bloc suivant. Quand une sandwich attack aboutit sur Base, la transaction victime médiane atteint environ 1 200 dollars, et les jambes d’attaque s’élèvent à près de 2 200 dollars en front-run et 2 100 dollars en back-run, selon une étude académique publiée sur arXiv en janvier 2026. Aucune alerte dans votre wallet. Juste un prix un peu moins bon que prévu, mis sur le compte du slippage habituel.
Au programme
- Ce qu’est une sandwich attack et pourquoi Base y reste exposé malgré son mempool centralisé
- Ce que dit vraiment la recherche : des attaques rares et peu rentables sur les rollups, mais pas nulles
- Pourquoi l’ESMA classe le MEV parmi les risques documentés sous MiCA (rapport juillet 2025)
- 4 contre-mesures opérationnelles : slippage serré, RPC protégé, agrégateurs intent-based, ordres limites
- Ce que Coinbase a promis (et pas encore livré) sur la décentralisation du séquenceur
Qu’est-ce qu’une sandwich attack sur Base ?
Un bot MEV surveille en temps réel les transactions en attente dans le mempool. Il voit votre ordre d’achat de 2 000 euros sur un pool Uniswap v3 déployé sur Base. En moins d’une seconde, il injecte 2 transactions encadrant la vôtre : une pour acheter avant vous (le front-run, qui fait monter le prix), une pour revendre juste après (le back-run, qui capte l’écart). Votre ordre s’exécute au mauvais prix. Le bot empoche la différence.
Ce mécanisme n’est pas nouveau sur Ethereum L1. Ce qui surprend, c’est de le retrouver sur un Layer 2 supposément plus rapide et plus « propre ». Sur Base, le slippage généré par cette technique passe souvent inaperçu car les frais de gas sont si bas (quelques centimes) que la perte semble négligeable ligne par ligne. Elle peut ne pas l’être sur un DEX à faible liquidité.
Pourquoi Base n’est-il pas protégé par son séquenceur centralisé ?
L’idée reçue est tenace : puisque Base fonctionne avec un séquenceur unique opéré par Coinbase, les transactions seraient traitées dans l’ordre d’arrivée (FIFO), rendant les attaques impossibles. La réalité est plus nuancée, dans les deux sens.
Côté rassurant d’abord : la recherche académique publiée en janvier 2026 sur les rollups à mempool privé conclut que les sandwich attacks classiques y sont rares et peu rentables. Sur ce type d’architecture, la majorité des cas détectés par les heuristiques naïves sont des faux positifs, et le résultat net pour l’attaquant est souvent négatif une fois les frais déduits. Autrement dit, Base n’est pas le terrain de chasse ouvert qu’est le mempool public d’Ethereum L1.
Côté vigilance ensuite : « rare » ne veut pas dire « nul ». Le séquenceur centralisé reste exposé à des jeux de latence, où un acteur bien positionné soumet ses transactions quelques millisecondes avant les autres. L’architecture OP Stack laisse par ailleurs des marges de réordonnancement au moment de la constitution des lots, et les pools à faible liquidité restent vulnérables à un ordre unique mal protégé. Base a généré plus de 75 millions de dollars de revenu on-chain sur l’ensemble de 2025 : qui contrôle le séquenceur contrôle l’ordre des transactions. La décentralisation de ce mécanisme, promise par Coinbase, n’a pas de date de livraison confirmée en production à mi-2026.
Combien perdent réellement les traders ?
Les pertes individuelles sont faibles par transaction, ce qui explique pourquoi la plupart ignorent le problème. C’est précisément le modèle économique des bots : extraire peu sur beaucoup de victimes.
Les mesures académiques donnent des ordres de grandeur modestes par attaque. Sur Ethereum, l’étude arXiv 2512.17602 (décembre 2025) relève une perte médiane d’environ 27 dollars par sandwich, et une moyenne autour de 137 dollars, tirée vers le haut par quelques cas extrêmes. Sur les tokens à faible liquidité (memecoins, nouveaux projets DeFi), en revanche, la perte d’un seul swap mal protégé peut dépasser plusieurs pour cent de la somme échangée.
Base concentre précisément ce profil à risque : faibles frais, forte présence retail, écosystème memecoin actif (BRETT, DEGEN, TOSHI en 2024-2025), et pools Uniswap v3 à liquidité concentrée où le slippage d’un seul ordre suffit à déplacer significativement le prix. L’incident le plus spectaculaire remonte à mars 2025 : un trader a envoyé environ 220 000 dollars d’USDC sur Uniswap v3 et n’a récupéré qu’à peine plus de 5 000 dollars d’USDT, soit près de 215 000 dollars évaporés, un bot ayant drainé puis restauré la liquidité du pool en moins de 8 secondes. Un cas extrême, mais réel.
Que dit le régulateur européen ?
L’ESMA a consacré un rapport complet au MEV en juillet 2025, dans le cadre de sa contribution au rapport de la Commission européenne sur les développements récents des crypto-actifs prévu à l’article 142 du règlement MiCA. Le constat est sans ambiguïté : le MEV crée un préjudice aux utilisateurs DeFi dans la mesure où les profits des extracteurs diminuent d’autant la richesse des utilisateurs, et il soulève de sérieuses préoccupations de transparence car il est souvent non divulgué.
L’ESMA ajoute que certaines stratégies MEV peuvent constituer des abus de marché au sens du droit financier traditionnel. Le règlement MiCA, entré pleinement en vigueur le 30 décembre 2024, oblige les prestataires agréés à mettre en place des systèmes de détection des abus. Reste un angle mort : MiCA ne couvre pas explicitement les protocoles DeFi décentralisés. Les DEX sur Base opèrent dans ce vide réglementaire. La consultation de la Commission européenne sur la révision de MiCA, lancée en mai 2026 avec des réponses attendues avant le 31 août 2026, inclut spécifiquement la question d’une extension à la DeFi.
« Le MEV peut aller à l’encontre des principes d’équité et d’intégrité qui sous-tendent des marchés ordonnés dans la finance traditionnelle. »
, ESMA, Rapport TRV Risk Analysis sur le MEV, 1er juillet 2025
Comment se protéger concrètement sur Base ?
4 mesures, du plus simple au plus avancé.
1. Réduire le slippage autorisé. La tolérance de slippage par défaut dans la plupart des interfaces DEX (0,5 % à 1,0 %) est une invitation ouverte aux bots. Un slippage serré à 0,1 %-0,3 % force votre transaction à échouer plutôt qu’à s’exécuter à un mauvais prix. Sur des pools profonds (USDC/ETH sur Aerodrome), c’est souvent suffisant. Sur des memecoins en faible liquidité, la transaction échouera souvent, ce qui est préférable à une perte de plusieurs pour cent.
2. Changer de RPC dans votre wallet. Plutôt que de diffuser votre transaction dans le mempool public, certains RPC protégés la transmettent directement au séquenceur sans exposition préalable. Flashbots Protect et MEVBlocker proposent cette fonctionnalité. Dans MetaMask, la modification se fait en quelques clics : Paramètres > Réseau > Base > remplacer l’URL RPC par celle du service protégé.
3. Utiliser des agrégateurs intent-based. CoW Swap et 1inch Fusion (mode dutch auction) ne diffusent pas votre ordre dans le mempool public. Vos intentions sont collectées hors-chaîne, puis exécutées par des solvers professionnels en compétition. Le sandwich attack devient mathématiquement impossible. Ces solutions fonctionnent sur Base.
4. Fractionner les grosses positions. Un swap de 50 000 euros sur un pool à liquidité concentrée est une cible évidente. Fractionner en 5 ordres de 10 000 euros réduit l’impact de prix de chaque leg, et donc la rentabilité d’une attaque. L’ordre limite reste la protection la plus robuste : il s’exécute au prix cible ou pas du tout.
Qu’est-ce que l’avenir réserve à la question MEV sur Base ?
La décentralisation du séquenceur est l’une des réponses structurelles. Un séquenceur distribué et permissionless réintroduirait une concurrence ouverte pour l’ordonnancement des transactions, avec des mécanismes formels comme MEV-Boost ou les enchères de builder. Coinbase a publiquement pris cet engagement dans le cadre de sa participation à la Superchain OP. Le calendrier réaliste de production est 2027 au plus tôt, selon les analyses de L2Beat.
En attendant, d’autres pistes existent. TimeBoost, déployé par Arbitrum le 17 avril 2025, propose un mécanisme d’enchère sur la priorité temporelle qui rend les attaques déterministes moins profitables. Des solutions de commit-reveal (soumission chiffrée de l’intention, révélation après inclusion dans le bloc) sont à l’étude pour certains protocoles. La piste réglementaire européenne, elle, avance prudemment : si MiCA ne couvre pas encore la DeFi, l’ESMA a clairement indiqué en juillet 2025 que des travaux sont en cours pour examiner les implications du MEV dans le cadre d’une future révision.
L’aspect le plus frappant des données est peut-être celui-ci : sur Ethereum, environ 40 % des victimes d’une première sandwich attack migrent vers du routage privé dans les 60 jours, selon l’étude arXiv 2512.17602 (publiée en décembre 2025, sur des données de fin 2024). La majorité ne comprend pas ce qui lui est arrivé. Pas de rapport, pas de remboursement possible. Juste un swap légèrement plus coûteux que prévu.
Questions fréquentes
Qu’est-ce que le MEV et pourquoi touche-t-il les utilisateurs de Base ?
Le MEV (Maximal Extractable Value) désigne la valeur qu’un opérateur peut extraire en réordonnant les transactions dans un bloc. Sur Base, un bot peut exploiter la visibilité des ordres en attente pour insérer un achat avant vous et une vente après, capturant l’écart de prix. Quand une telle attaque aboutit, la transaction médiane victime sur Base atteint environ 1 200 dollars selon les données arXiv de janvier 2026.
Les sandwich attacks sont-elles fréquentes sur Base ?
Non, pas au sens du mempool public d’Ethereum. La recherche de janvier 2026 sur les rollups à mempool privé conclut qu’elles y sont rares et souvent peu rentables. Mais le risque n’est pas nul : les pools à faible liquidité et les jeux de latence autour du séquenceur laissent des ouvertures, et des incidents ponctuels de grande ampleur ont été documentés en 2025.
Comment savoir si ma transaction a été victime d’une sandwich attack ?
Consultez votre hash de transaction sur Basescan et comparez le prix d’exécution au prix spot au moment de l’envoi. Un écart supérieur à votre slippage configuré suggère une extraction MEV. Des outils comme EigenPhi ou ZeroMEV permettent d’identifier les patterns de sandwich. Voir aussi notre comparatif des Layer 2 Ethereum pour évaluer les alternatives.
Les ordres limites protègent-ils à 100 % contre les sandwich attacks sur Base ?
Oui. Un ordre limite s’exécute uniquement au prix que vous avez fixé ou à un meilleur prix. Il est donc impossible pour un bot de vous faire payer plus cher. L’inconvénient est que votre ordre peut ne pas s’exécuter si le prix ne touche pas votre cible. Pour les swaps de montants supérieurs à 1 000 euros sur des pools à liquidité variable, c’est la parade la plus sûre.
MiCA protège-t-il les utilisateurs français contre le MEV sur les DEX ?
Non, pas directement. MiCA s’applique aux prestataires de services sur crypto-actifs (CASP) agréés, pas aux protocoles DeFi décentralisés. L’ESMA a toutefois classé certaines stratégies MEV comme potentiels abus de marché dans son rapport de juillet 2025. La consultation européenne sur une éventuelle extension de MiCA à la DeFi est ouverte jusqu’au 31 août 2026, ce qui laisse la question ouverte pour les années à venir.
À retenir : Sur Base, les sandwich attacks sont réelles mais restent rares et généralement peu rentables selon la recherche de 2026, sauf sur les pools à faible liquidité où un seul swap mal protégé peut coûter cher. 4 parades existent dès aujourd’hui, sans attendre la décentralisation du séquenceur de Coinbase. À surveiller : les résultats de la consultation MiCA DeFi attendus fin 2026 et le calendrier OP Stack pour la décentralisation du séquenceur (2027 au plus tôt).
Retrouvez toutes nos investigations sur notre page enquêtes.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash