Panduan Untuk MEV: Masalah Kritis dan Praktik Keamanan Terbaik

Waktu Baca: 6 menit

Menghasilkan keuntungan adalah tujuan akhir di balik pekerjaan apa pun yang dilakukan seseorang. Sehubungan dengan itu, MEV, yang merupakan singkatan dari Maximal Extractable Value, menandakan keuntungan yang diperoleh validator dari blockchain yang mengaktifkan kontrak pintar untuk memasukkan, mengecualikan, atau memesan ulang transaksi di blok. 

Singkatnya, MEV mewakili ukuran keuntungan yang dapat diekstraksi oleh penambang/validator untuk meninjau transaksi di jaringan blockchain. Lebih detail tentang MEV- yang baik dan buruk, wawasan tentang menjaga dana dari trik MEV akan menjadi sorotan blog ini. 

Apa itu MEV? Bagaimana cara kerjanya?

Dalam konsensus proof-of-work, para penambang bertanggung jawab untuk menambahkan transaksi, yang sebelumnya disebut nilai Miner yang dapat diekstraksi. Tetapi dengan Pergeseran Ethereum untuk Proof-of-stake, validator adalah orang yang menilai transaksi yang diubah menjadi Maximal Extractable Value (MEV). 

Umumnya, pengguna membayar biaya di blockchain untuk memindahkan transaksi dalam satu blok. Jumlah biaya itu adalah biaya tambahan yang lebih disukai pengguna untuk dibayarkan kepada penambang untuk memilih transaksi mereka berdasarkan prioritas. 

Jumlah MEV yang tidak lain adalah biaya gas yang dibayarkan oleh pengguna disaring dalam urutan jumlah tertinggi oleh validator agar lebih menguntungkan bagi mereka. Bot digunakan untuk mengotomatiskan proses pengajuan transaksi yang menguntungkan dengan biaya gas tinggi yang memberi insentif kepada validator. 

Terlepas dari praktik memprioritaskan transaksi berdasarkan biaya gas yang dibayarkan, MEV juga memperkenalkan beberapa efek lain pada blockchain. Kita akan melihat bagaimana MEV dimanipulasi untuk menarik manfaat di bagian yang akan datang.

Bagaimana MEV digunakan secara taktis?

Validator dan peretas yang mencoba mencari peluang dengan mengeksploitasi MEV membuat pengguna mengalami kesulitan ekonomi. Tapi apa cara ini MEV digunakan untuk keuntungan hacker?

Mari gali detailnya sekarang!

Berjalan di depan: Semua transaksi yang perlu divalidasi duduk di mempool, di mana validator atau pelopor umum (bot) menjalankannya dan mengikuti perdagangan yang menguntungkan. Karena kode terbuka di blockchain, bot mendeteksi transaksi pengguna dengan biaya bahan bakar yang tinggi, mereplikasinya, dan membantu validator menemukan transaksi yang menguntungkan. 

Dengan cara ini, perintah transaksi dikomunikasikan untuk ditambahkan secara istimewa ke blok. 

Serangan sandwich: Inilah bentuk jahat dari front-running dimana transaksi pengguna dipelajari untuk memanipulasi harga cryptocurrency dan melakukan perdagangan untuk keuntungan peretas dengan mengorbankan pengguna. 

Untuk menyederhanakannya, mari kita asumsikan perbedaan harga koin kripto tertentu antara DEX, Uniswap, dan Sushiswap. Pengguna menemukan ini dan mencoba mendapat untung dengan membeli aset dari Uniswap dengan harga lebih rendah dan menjualnya di Sushiswap dengan harga lebih tinggi. 

Dengan cara ini, likuiditas cryptocurrency dipertahankan di berbagai bursa terdesentralisasi. Tapi di sinilah masalahnya. Setelah pengguna memulai transaksi untuk pesanan beli dan jual, mereka tinggal di mempool untuk divalidasi. 

Sementara itu, bot mengidentifikasi peluang potensial ini untuk memperoleh keuntungan dan mereplikasi transaksi yang sama dengan biaya bahan bakar yang tinggi. 

Akibatnya, pesanan beli bot dieksekusi sebelum pengguna, memompa harga token. 

Pesanan pembelian pengguna diproses setelahnya, dan pengguna membeli token dengan harga tinggi. 

Bot kemudian memulai pesanan penjualan aset dengan harga yang dinaikkan, memperoleh keuntungan yang sehat atas pengetahuan pengguna, yang akhirnya kehilangan uang yang ingin mereka hasilkan. 

Harga yang dibayar oleh korban MEV akibat manipulasi adalah jumlah “Slippage” yang mereka masukkan saat melakukan transaksi. 

PS Slippage adalah selisih harga antara waktu inisiasi perdagangan dan eksekusi. 

Seorang pengguna dapat membeli token dengan harga lebih rendah dari satu DEX dan menjualnya dengan harga tinggi DEX dalam satu transaksi dengan menukar token. 

Arbitrase DEX: Arbitrase DEX adalah salah satu peluang MEV paling terkenal di mana pengguna dapat memperoleh keuntungan dari perbedaan harga antara dua DEX. 

Likuidasi: Likuidasi protokol pinjaman menghadirkan peluang MEV untuk menghasilkan pendapatan dari biaya likuidasi. Protokol peminjaman DeFi memungkinkan pengguna untuk menyetor beberapa kripto sebagai jaminan dan, sebagai gantinya, meminjam token kripto yang mereka butuhkan.

Jika pengguna tidak dapat membayar kembali dana yang dipinjam, protokol memungkinkan siapa pun untuk melikuidasi agunan yang ditempatkan oleh peminjam, yang dikenakan biaya likuidasi yang besar. Biaya likuidasi ini masuk ke likuidator. 

Ini dimanfaatkan oleh pencari MEV yang memburu peminjam yang asetnya bisa dilikuidasi dan mendapat untung dari biaya likuidasi. 

Sisi Terang Dan Sisi Gelap MEV

Sisi terang MEV berpendapat perannya dalam memperlancar proses likuidasi di berbagai bursa terdesentralisasi mengesampingkan inefisiensi ekonomi.

Selain itu, organisasi seperti Flashbots menyediakan produk untuk ditawarkan terdepan sebagai layanan untuk menanamkan ekosistem MEV tanpa izin dan transparan. 

Sisi negatifnya, serangan front-running dan sandwich menyebabkan hilangnya pendapatan yang lebih mahal dan hilangnya peluang arbitrase bagi pengguna. Bot MEV mempersulit pedagang pendatang baru untuk berpartisipasi dalam protokol DeFi yang merusak aspek keamanan. 

Selain itu, bot pelopor umum yang mereplikasi transaksi dengan biaya gas yang tinggi menciptakan kemacetan jaringan dan meningkatkan biaya transaksi, yang memengaruhi pengguna.  

Menggambar Skenario Peretasan Bot MEV Terbaru 

Rencana Serangan: Bot MEV, OxBAD, menghasilkan ~$150rb dari $11 dengan melakukan transaksi di muka. Segera setelah pertukaran token untuk menghasilkan keuntungan, kode buruk bot MEV dieksploitasi dalam transaksi berikutnya https://t.co/FxXSY8AyhX, menghabiskan 1,101 ETH.

Ke Spesifik Peretasan…

Bot MEV melakukan upaya yang sukses dalam menjalankan perdagangan sebesar $1.8 juta swap dari cUSDC ke beberapa stablecoin lainnya. Hal ini mengakibatkan pengguna hanya memiliki aset senilai $500 sebagai imbalannya.

Namun, segera setelah itu, bot MEV bernama Oxbad ditipu oleh seorang pengeksploitasi untuk kehilangan keuntungan yang diperoleh. 

Saat melihat peretasan, pengeksploitasi memanfaatkan rutinitas panggilan balik bot untuk menyetujui pengeluaran sewenang-wenang yang menyebabkan kerugian 1,101 ETH. 

Peretasan Tinggi

Eksploitasi lain berturut-turut sekitar waktu yang sama di Sept'22 adalah 

• Bug yang terdeteksi di alat Profanity, generator alamat kesombongan Ethereum, mengakibatkan terkurasnya dana sebesar $3.3 juta dari berbagai dompet.
• Seminggu kemudian, alamat dompet batil diretas, dengan kerugian diperkirakan sekitar $1 juta senilai ETH.

Mendapatkan Praktisi Keamanan

es untuk Diikuti

mempool pribadi: Umumnya, transaksi tetap berada di mempool di mana mereka disiarkan secara publik agar penambang/validator dapat memilih dan menambahkannya ke blok. Di mempool pribadi, transaksi hanya dapat dilihat oleh kumpulan dan tidak ditampilkan ke node lain, yang mengurangi kemungkinan biaya MEV.

Contoh: Jaringan Taichi, BloXroute.

Bot kilat: Flashbots adalah organisasi penelitian yang bekerja untuk mengatasi konflik MEV dengan mendemokratisasi ekstraksi MEV melalui MEV-Geth. MEV-Geth menyediakan mekanisme lelang ruang blok pribadi di mana bot dan penambang dapat berkomunikasi pada preferensi pesanan transaksi. 

Ini mengurangi biaya gas keseluruhan untuk pengguna dan transaksi yang gagal membengkakkan blockchain. 

Kelicinan: Pengguna dapat memasukkan nilai slippage minimum saat melanjutkan transaksi. Sehingga jika selisih harga terlalu jauh, otomatis transaksi batal. Dengan cara ini, pengguna dapat diselamatkan dari kerugian besar.

QuillAudits Dalam Keamanan Web3

Ancaman terus berlanjut langsung dari tingkat kode yang merusak keamanan Web3. QuillAudits melakukan penelitian ekstensif tentang vektor serangan di Web3 dan men-debug kesalahan yang menawarkan perlindungan untuk proyek dan dana pengguna. 

Kenali beragam layanan keamanan yang disediakan oleh QuillAudit dan buat diri Anda terlindung dari kerepotan Web3.

6 views