Una guía para MEV: problemas críticos y mejores prácticas de seguridad

Tiempo de lectura: 6 minutos

La obtención de beneficios es el fin último de cualquier trabajo que realiza un individuo. Con respecto a eso, MEV, que significa valor extraíble máximo, significa la ganancia que obtiene un validador de una cadena de bloques habilitada para contratos inteligentes por incluir, excluir o reordenar transacciones en los bloques. 

En resumen, MEV representa la medida de las ganancias que un minero/validador podría obtener al revisar las transacciones en la red blockchain. Más en detalle sobre MEV: lo bueno y lo malo, las ideas sobre cómo proteger los fondos de los trucos de MEV serán los aspectos más destacados de este blog. 

¿Qué es MEV? ¿Como funciona?

En el consenso de prueba de trabajo, los mineros eran responsables de agregar transacciones, anteriormente llamadas valor extraíble Miner. Pero con El cambio de Ethereum a Prueba de participación, los validadores son quienes evalúan las transacciones que se cambiaron a Valor máximo extraíble (MEV). 

Generalmente, el usuario paga una tarifa en la cadena de bloques por mover las transacciones en un bloque. Ese monto de la tarifa es un cargo adicional que el usuario prefiere pagar para que los mineros elijan su transacción con prioridad. 

Este importe de MEV que no es más que la tarifa de gas que paga el usuario es filtrado por orden de mayor importe por los validadores para que les resulte más rentable. Los bots se utilizan para automatizar el proceso de envío de transacciones rentables con altas tarifas de gas que incentivan a los validadores. 

A pesar de esta práctica de priorizar las transacciones en función de la tarifa de gas pagada, MEV también introduce varios otros efectos en la cadena de bloques. Veremos cómo se manipulan los MEV para obtener beneficios en el próximo pasaje.

¿Cómo se usan tácticamente los MEV?

Los validadores y los piratas informáticos que intentan encontrar oportunidades explotando MEV ponen a los usuarios en problemas económicos. Pero, ¿cuáles son las formas en que estos MEV se utilizan en beneficio del hacker?

¡Vamos a profundizar en los detalles ahora!

Frente corriendo: Todas las transacciones que deben validarse se encuentran en el mempool, donde los validadores o los principales corredores generalizados (bots) las revisan y siguen las operaciones rentables. Dado que el código está abierto en la cadena de bloques, los bots detectan la transacción del usuario con altas tarifas de gas, las replican y ayudan a los validadores a encontrar las rentables. 

De esta forma, se comunican las órdenes de transacción para que se agreguen preferentemente a los bloques. 

Ataque de sándwich: Aquí viene la forma maliciosa de ejecución frontal en la que se estudia la transacción del usuario para manipular los precios de las criptomonedas y realizar transacciones en beneficio del hacker a expensas de los usuarios. 

Para simplificarlo, supongamos una diferencia de precio de una criptomoneda específica entre los DEX, Uniswap y Sushiswap. El usuario encuentra esto e intenta obtener ganancias comprando el activo de Uniswap por un precio más bajo y vendiéndolo en Sushiswap a un precio más alto. 

De esta manera, la liquidez de las criptomonedas se mantiene en diferentes intercambios descentralizados. Pero aquí es donde está el problema. Una vez que el usuario inicia la transacción para las órdenes de compra y venta, permanece en el mempool para que sea validado. 

Mientras tanto, los bots identifican esta oportunidad potencial para obtener ganancias y replican la misma transacción con una tarifa de gas alta. 

Como resultado, la orden de compra del bot se ejecuta antes que el usuario, elevando el precio del token. 

La orden de compra del usuario se procesa después y el usuario compra el token a un precio alto. 

Luego, el bot inicia la orden de venta del activo al precio incrementado, obteniendo beneficios saludables a sabiendas del usuario, que termina privado del dinero que pretendía ganar. 

El precio que paga la víctima de MEV debido a la manipulación es la cantidad de "Deslizamiento" que ingresó al realizar la transacción. 

PS El deslizamiento es la diferencia de precio entre el momento del inicio y la ejecución de la operación. 

Un usuario puede comprar los tokens a un precio más bajo de un DEX y venderlos en un DEX de alto precio en una sola transacción intercambiando tokens. 

arbitraje DEX: El arbitraje DEX es una de las oportunidades MEV más conocidas mediante las cuales los usuarios pueden obtener ganancias de las diferencias de precios entre dos DEX. 

Liquidaciones: Las liquidaciones del protocolo de préstamo presentan la oportunidad de MEV de obtener ganancias de la tarifa de liquidación. Los protocolos de préstamo de DeFi permiten a los usuarios depositar algunas criptomonedas como garantía y, a cambio, tomar prestadas las criptomonedas que necesitan.

Si el usuario no puede pagar los fondos prestados, el protocolo permite que cualquiera liquide la garantía colocada por el prestatario, por lo que se cobra una tarifa de liquidación considerable. Esta tarifa de liquidación va al liquidador. 

Lo utilizan los buscadores de MEV que persiguen a los prestatarios cuyos activos pueden liquidarse y obtienen ganancias de la tarifa de liquidación. 

El lado positivo y el lado oscuro de MEV

El lado positivo de MEV argumenta su papel para suavizar el proceso de liquidación en varios intercambios descentralizados que descartan las ineficiencias económicas.

Además, organizaciones como Flashbots brindan productos para ofrecer un servicio de vanguardia para inculcar un ecosistema MEV transparente y sin permisos. 

En el lado negativo, los ataques front-running y sándwich están causando pérdidas de ingresos más costosas y oportunidades de arbitraje perdidas para los usuarios. Los bots MEV dificultan que los comerciantes recién llegados participen en los protocolos DeFi, lo que perjudica el aspecto de seguridad. 

Además, los bots pioneros generalizados que replican transacciones con altas tarifas de gas crean congestión en la red y aumentan la tarifa de transacción, lo que afecta al usuario.  

Dibujando el reciente escenario de MEV Bot Hack 

Trama de ataque: El bot OxBAD de MEV ganó ~ $ 150k desde $ 11 al ejecutar una transacción. Poco después del intercambio de tokens para obtener ganancias, se explotó el código incorrecto del bot MEV en la siguiente transacción https://t.co/FxXSY8AyhX, drenando 1,101 ETH.

En los detalles de Hack ...

El bot MEV hizo un intento exitoso de adelantar un intercambio de $ 1.8 millones de intercambio de cUSDC a algunas otras monedas estables. Esto resultó en activos por valor de solo $ 500 del usuario a cambio.

Sin embargo, poco después, el bot MEV llamado Oxbad fue engañado por un explotador para que perdiera las ganancias obtenidas. 

Al observar el hackeo, el explotador aprovechó la rutina de devolución de llamada del bot para aprobar gastos arbitrarios que llevaron a una pérdida de 1,101 ETH. 

Alto en trucos

Otras hazañas en la fila alrededor del mismo tiempo en septiembre 22 fueron 

• Un error detectado en la herramienta Profanity, un generador de direcciones personalizadas de Ethereum, resultó en el drenaje de $3.3 millones en fondos de varias billeteras.
• Una semana después, se hackeó la dirección de una billetera de vanidad, con una pérdida estimada en alrededor de $ 1 millón en ETH.

Cómo llegar a la práctica de seguridad

Hielos para seguir

Mempools privados: En general, las transacciones permanecen en el mempool donde se transmiten públicamente para que los mineros/validadores las seleccionen y las agreguen a los bloques. En mempools privados, las transacciones solo son visibles para el grupo y no se muestran a otros nodos, lo que reduce las posibilidades de costo de MEV.

Ejemplo: Taichi Network, BloXroute.

Robots flash: Flashbots es una organización de investigación que trabaja para abordar los conflictos de MEV mediante la democratización de la extracción de MEV a través de MEV-Geth. MEV-Geth proporciona un mecanismo de subasta de espacio de bloque privado en el que los bots y los mineros pueden comunicarse sobre la preferencia de orden de transacción. 

Esto reduce el costo total del gas para los usuarios y las transacciones fallidas que inflan la cadena de bloques. 

Deslizamiento Los usuarios pueden ingresar el valor de deslizamiento mínimo mientras continúan con las transacciones. De modo que si la diferencia de precio excede demasiado, la transacción se cancela automáticamente. De esta manera, los usuarios pueden salvarse de grandes pérdidas.

QuillAudits en Web3 Security

Existen amenazas continuas desde el nivel del código que desmoronan la seguridad de Web3. QuillAudits realiza una amplia investigación sobre los vectores de ataque en Web3 y depura los errores ofreciendo protección a los proyectos y los fondos de los usuarios. 

Conozca los servicios de seguridad diversificados que brinda QuillAuditorias y protéjase de las molestias de Web3.

6 Vistas