Una guida al MEV: problemi critici e migliori pratiche di sicurezza

Tempo per leggere: 6 verbale

Il profitto è l'obiettivo finale dietro qualsiasi lavoro svolto da un individuo. A questo proposito, MEV, che sta per Maximal Extractable Value, indica il profitto che un validatore ricava da una blockchain abilitata per contratti intelligenti per includere, escludere o riordinare le transazioni nei blocchi. 

In breve, MEV rappresenta la misura dei profitti che un miner/validator potrebbe estrarre per la revisione delle transazioni sulla rete blockchain. Più in dettaglio su MEV, il buono e il cattivo, gli approfondimenti sulla salvaguardia dei fondi dai trucchi MEV saranno i punti salienti di questo blog. 

Cos'è il MEV? Come funziona?

Nel consenso proof-of-work, i miner erano responsabili dell'aggiunta di transazioni, precedentemente chiamate Miner extractable value. Ma con Il turno di Ethereum per Proof-of-stake, i validatori sono quelli che valutano le transazioni che sono state modificate in valore massimo estraibile (MEV). 

In genere, l'utente paga una commissione nella blockchain per lo spostamento delle transazioni in un blocco. Tale importo è un costo aggiuntivo che l'utente preferisce pagare affinché i minatori scelgano la loro transazione in via prioritaria. 

Questo importo MEV che altro non è che il canone gas pagato dall'utente viene filtrato nell'ordine dell'importo più alto dai validatori per renderlo più redditizio per loro. I bot vengono utilizzati per automatizzare il processo di presentazione di transazioni redditizie con commissioni gas elevate che incentivano i validatori. 

Nonostante questa pratica di dare priorità alle transazioni in base alla tariffa del gas pagata, MEV introduce anche diversi altri effetti sulla blockchain. Vedremo come i MEV vengono manipolati per trarne benefici nel prossimo passaggio.

Come vengono utilizzati tatticamente i MEV?

Validatori e hacker che cercano di trovare opportunità sfruttando MEV mettono gli utenti in difficoltà economiche. Ma quali sono i modi in cui questi MEV vengono utilizzati a vantaggio dell'hacker?

Scendiamo nei dettagli ora!

In prima linea: Tutte le transazioni che devono essere convalidate si trovano nel mempool, in cui i validatori o i primi (bot) generalizzati le attraversano e vanno con le operazioni redditizie. Poiché il codice è aperto sulla blockchain, i bot rilevano la transazione dell'utente con commissioni gas elevate, le replicano e aiutano i validatori a trovare quelle redditizie. 

In questo modo, gli ordini di transazione vengono comunicati per essere aggiunti preferenzialmente ai blocchi. 

Attacco sandwich: Ecco che arriva la forma dannosa di front-running in cui la transazione dell'utente viene studiata per manipolare i prezzi delle criptovalute ed eseguire scambi a vantaggio dell'hacker a spese degli utenti. 

Per semplificare, assumiamo una differenza di prezzo di una specifica criptovaluta tra i DEX, Uniswap e Sushiswap. L'utente lo trova e cerca di trarre profitto acquistando l'asset da Uniswap a un prezzo inferiore e vendendolo su Sushiswap a un prezzo più alto. 

In questo modo, la liquidità delle criptovalute viene mantenuta su diversi scambi decentralizzati. Ma qui è dove sta il problema. Una volta che l'utente avvia la transazione per gli ordini di acquisto e vendita, rimane nel mempool per la convalida. 

Nel frattempo, i bot identificano questa potenziale opportunità per ottenere profitti e replicano la stessa transazione con una commissione del gas elevata. 

Di conseguenza, l'ordine di acquisto del bot viene eseguito prima dell'utente, pompando il prezzo del token. 

L'ordine di acquisto dell'utente viene elaborato dopo e l'utente acquista il token a un prezzo elevato. 

Il bot avvia quindi l'ordine di vendita dell'asset al prezzo maggiorato, traendo profitti salutari a conoscenza dell'utente, che finisce per essere privato del denaro che intendeva guadagnare. 

Il prezzo che la vittima del MEV paga a causa della manipolazione è l'importo di "Slittamento" che ha inserito durante la transazione. 

PS Lo slippage è la differenza di prezzo tra il momento dell'inizio e dell'esecuzione dell'operazione. 

Un utente può acquistare i token a un prezzo inferiore da un DEX e venderli su un DEX costoso in un'unica transazione scambiando i token. 

Arbitraggio DEX: L'arbitraggio DEX è una delle opportunità MEV più note in base alla quale gli utenti possono estrarre profitti dalle differenze di prezzo tra due DEX. 

Liquidazioni: Le liquidazioni del protocollo di prestito presentano l'opportunità di MEV di realizzare guadagni dalla commissione di liquidazione. I protocolli di prestito DeFi consentono agli utenti di depositare alcune criptovalute come garanzia e, in cambio, di prendere in prestito i token crittografici di cui hanno bisogno.

Se l'utente non è in grado di rimborsare i fondi presi in prestito, il protocollo consente a chiunque di liquidare la garanzia depositata dal mutuatario, per la quale viene addebitata una forte commissione di liquidazione. Questa tassa di liquidazione va al liquidatore. 

È utilizzato dai ricercatori MEV che danno la caccia ai mutuatari i cui beni possono essere liquidati e guadagnare profitti dalla commissione di liquidazione. 

Lato positivo e lato oscuro di MEV

Il lato positivo di MEV sostiene il suo ruolo nel facilitare il processo di liquidazione attraverso vari scambi decentralizzati escludendo le inefficienze economiche.

Inoltre, organizzazioni come Flashbots forniscono prodotti da offrire come servizio in prima linea per instillare un ecosistema MEV trasparente e senza autorizzazioni. 

Sul lato negativo, gli attacchi in prima linea e sandwich stanno causando una perdita di entrate più costosa e opportunità di arbitraggio perse per gli utenti. I bot MEV rendono difficile per i trader nuovi arrivati ​​​​partecipare ai protocolli DeFi, il che pregiudica l'aspetto della sicurezza. 

Inoltre, i bot leader generalizzati che replicano transazioni con tariffe gas elevate creano congestione della rete e aumentano la commissione di transazione, con ripercussioni sull'utente.  

Disegnare il recente scenario di MEV Bot Hack 

Trama dell'attacco: Il bot MEV OxBAD ha guadagnato circa $ 150 da $ 11 effettuando in anticipo una transazione. Subito dopo lo scambio di token per realizzare profitti, il codice errato del bot MEV è stato sfruttato nella transazione successiva https://t.co/FxXSY8AyhX, drenando 1,101 ETH.

Nei dettagli dell'hacking...

Il bot MEV ha tentato con successo di anticipare uno scambio di $ 1.8 milioni di swap da cUSDC ad altre stablecoin. Ciò ha comportato in cambio solo $ 500 di asset dell'utente.

Tuttavia, subito dopo, il bot MEV chiamato Oxbad è stato ingannato da uno sfruttatore per perdere il profitto guadagnato. 

Guardando l'hack, lo sfruttatore ha sfruttato la routine di callback del bot per approvare una spesa arbitraria che ha portato a una perdita di 1,101 ETH. 

Alto sugli hack

Altri exploit nella fila nello stesso periodo nel settembre del 22 sono stati 

• Un bug rilevato nello strumento Profanity, un generatore di vanity address di Ethereum, ha portato a drenare $ 3.3 milioni di fondi da vari portafogli.
• Una settimana dopo, un indirizzo di un vanity wallet è stato violato, con una perdita stimata in circa 1 milione di dollari di ETH.

Arrivare a Security Pract

ghiaccio da seguire

Mempool private: In genere, le transazioni rimangono nel mempool dove vengono trasmesse pubblicamente affinché i minatori/validatori le raccolgano e le aggiungano ai blocchi. Nei mempool privati, le transazioni sono visibili solo al pool e non visualizzate ad altri nodi, il che riduce le possibilità di costo MEV.

Esempio: Rete Taichi, BloXroute.

Robot flash: Flashbots è un'organizzazione di ricerca che lavora per affrontare i conflitti di MEV democratizzando l'estrazione di MEV attraverso MEV-Geth. MEV-Geth fornisce un meccanismo di asta di spazio di blocco privato in cui bot e minatori possono comunicare sulla preferenza dell'ordine di transazione. 

Ciò riduce il costo complessivo del gas per gli utenti e le transazioni non riuscite che gonfiano la blockchain. 

slippage: Gli utenti possono inserire il valore minimo di slippage mentre procedono con le transazioni. In modo che se la differenza di prezzo supera troppo, la transazione viene annullata automaticamente. In questo modo, gli utenti possono essere salvati da grosse perdite.

QuillAudits in Web3 Security

Ci sono continue minacce fin dal livello di codice che sgretolano la sicurezza di Web3. QuillAudits effettua ricerche approfondite sui vettori di attacco su Web3 ed esegue il debug degli errori offrendo protezione ai progetti e ai fondi degli utenti. 

Vieni a conoscere i diversificati servizi di sicurezza forniti da QuillAudit e fatti proteggere dai problemi di Web3.

6 Visualizzazioni