A Guide To MEV: Critical Issues and Best Security Practices

Lesetid: 6 minutter

Fortjeneste er det ultimate målet bak ethvert arbeid som en person utfører. I forhold til det, betyr MEV, som står for Maximal Extractable Value, fortjenesten en validator tjener fra en smart kontraktaktivert blokkjede for å inkludere, ekskludere eller ombestille transaksjoner i blokkene. 

Kort fortalt representerer MEV målet for fortjeneste som en gruvearbeider/validator kan trekke ut for å gjennomgå transaksjoner på blokkjedenettverket. Mer detaljert om MEV-de gode og dårlige, innsikt i å beskytte midlene fra MEV-triks vil være høydepunktene på denne bloggen. 

Hva er MEV? Hvordan virker det?

I bevis-på-arbeid-konsensus var gruvearbeiderne ansvarlige for å legge til transaksjoner, tidligere kalt Miner extractable value. Men med Ethereums skifte til Proof-of-stake, validatorer er de som vurderer transaksjonene den ble endret til Maximal Extractable Value (MEV). 

Vanligvis betaler brukeren et gebyr i blokkjeden for å flytte rundt på transaksjoner i en blokk. Dette gebyrbeløpet er en tilleggsavgift som brukeren foretrekker å betale for at gruvearbeidere skal velge transaksjonen deres på prioritet. 

Dette MEV-beløpet, som ikke er annet enn gassgebyret betalt av brukeren, filtreres i rekkefølgen til det høyeste beløpet av validatorene for å gjøre det mer lønnsomt for dem. Bots brukes til å automatisere prosessen med å sende inn lønnsomme transaksjoner med høye gassavgifter som stimulerer validatorer. 

Til tross for denne praksisen med å prioritere transaksjoner basert på gassavgiften som betales, introduserer MEV også flere andre effekter på blokkjeden. Vi skal se hvordan MEV-er manipuleres for å trekke fordeler i den kommende passasjen.

Hvordan brukes MEV-er taktisk?

Validatorer og hackere som prøver å finne muligheter ved å utnytte MEV, setter brukere i økonomisk nød. Men hva er måtene disse MEV-er brukes til hackerens fordel?

La oss grave i detaljene nå!

Forangående: Alle transaksjonene som må valideres sitter i mempoolen, der validatorer eller generaliserte frontløpere(bots) går gjennom dem og går med lønnsomme handler. Siden koden er åpen på blokkjeden, oppdager roboter brukerens transaksjon med høye gassavgifter, replikerer dem og hjelper validatorer med å finne de lønnsomme. 

På denne måten kommuniseres transaksjonsordrene slik at de fortrinnsvis legges til blokker. 

Sandwichangrep: Her kommer den ondsinnede formen for front-running der brukerens transaksjon studeres for å manipulere prisene på kryptovalutaer og utføre handel til hackerens fordel på bekostning av brukerne. 

For å forenkle det, la oss anta en prisforskjell på en spesifikk kryptomynt mellom DEX-ene, Uniswap og Sushiswap. Brukeren finner dette og prøver å tjene penger ved å kjøpe eiendelen fra Uniswap for en lavere pris og selge den på Sushiswap til en høyere pris. 

På denne måten opprettholdes likviditeten til kryptovalutaer på tvers av forskjellige desentraliserte børser. Men her er problemet. Når brukeren starter transaksjonen for kjøps- og salgsordrene, blir de værende i mempoolen for at den skal valideres. 

I mellomtiden identifiserer robotene denne potensielle muligheten for å oppnå fortjeneste og gjenskaper den samme transaksjonen med en høy gassavgift. 

Som et resultat blir kjøpsordren til boten utført før brukeren, og pumper tokenprisen. 

Brukerens kjøpsordre behandles etterpå, og brukeren kjøper tokenet til en høy pris. 

Boten starter deretter salgsordren av eiendelen til den økte prisen, og oppnår sunn fortjeneste etter kunnskapen til brukeren, som ender opp med å bli fratatt pengene de hadde til hensikt å tjene. 

Prisen som MEV-offeret betaler på grunn av manipulasjon er mengden "glidning" de har lagt inn mens de foretok transaksjonen. 

PS Slippage er prisforskjellen mellom tidspunktet for handelsinitiering og gjennomføring. 

En bruker kan kjøpe tokens til en lavere pris fra én DEX og selge dem på en høypriset DEX i en enkelt transaksjon ved å bytte tokens. 

DEX arbitrage: DEX-arbitrasje er en av de mest kjente MEV-mulighetene der brukere kan hente ut fortjeneste fra prisforskjellene mellom to DEX-er. 

Likvideringer: Avvikling av låneprotokoll gir MEV mulighet til å tjene penger på likvidasjonsgebyret. DeFi-utlånsprotokoller lar brukere sette inn noen kryptoer som sikkerhet og til gjengjeld låne kryptotokenene de trenger.

Hvis brukeren ikke kan tilbakebetale de lånte midlene, tillater protokollen hvem som helst å likvidere sikkerheten som er stilt av låntakeren, som belastes med et høyt likvidasjonsgebyr. Dette likvidasjonsgebyret går til likvidator. 

Det brukes av MEV-søkere som jakter på låntakere hvis eiendeler kan likvideres og tjener fortjeneste fra likvidasjonsgebyret. 

Lys side og mørk side av MEV

Den lyse siden av MEV argumenterer for sin rolle i å jevne ut likvidasjonsprosessen på tvers av ulike desentraliserte børser som utelukker økonomisk ineffektivitet.

Dessuten tilbyr organisasjoner som Flashbots produkter for å tilby front-running som en tjeneste for å innføre et tillatelsesløst og gjennomsiktig MEV-økosystem. 

På minussiden forårsaker front-running og sandwich-angrep dyrere inntektstap og tapte arbitrasjemuligheter for brukerne. MEV-roboter gjør det vanskelig for nykommerhandlere å delta i DeFi-protokoller, noe som skader sikkerhetsaspektet. 

I tillegg skaper generaliserte front-runner-roboter som replikerer transaksjoner med høye gassavgifter nettverksbelastning og øker transaksjonsgebyret, noe som påvirker brukeren.  

Tegning av det nylige MEV Bot Hack-scenarioet 

Angrepsplott: MEV-boten OxBAD tjente ~$150k fra $11 ved å kjøre en transaksjon i forkant. Rett etter token-byttet for å tjene penger, ble MEV-botens dårlige kode utnyttet i følgende transaksjon https://t.co/FxXSY8AyhX, tapper 1,101 ETH.

Inn i detaljene ved hack...

MEV-bot gjorde et vellykket forsøk på å drive en handel på $1.8 millioner fra cUSDC til noen andre stablecoins. Dette resulterte i brukerens eiendeler verdt bare $500 i retur.

Like etterpå ble imidlertid MEV-boten ved navn Oxbad lurt av en utnytter til å tape den opptjente fortjenesten. 

Da han så på hacket, utnyttet utnytteren botens tilbakeringingsrutine for å godkjenne vilkårlige utgifter som førte til et tap på 1,101 ETH. 

Høy på hacks

Andre bedrifter i rekken rundt samme tid i september'22 var 

• En feil oppdaget i Profanity-verktøyet, en Ethereum-forfengelighetsadressegenerator, resulterte i å tappe 3.3 millioner dollar i midler fra forskjellige lommebøker.
• En uke senere ble en forfengelighetslommebok-adresse hacket, med et tap som ble anslått til å være rundt 1 million dollar verdt av ETH.

Komme til Security Practice

iser å følge

Private mempooler: Vanligvis forblir transaksjoner i mempoolen der de kringkastes offentlig slik at gruvearbeiderne/validatorene kan velge og legge dem til blokker. I private mempooler er transaksjoner kun synlige for bassenget og ikke vist til andre noder, noe som reduserer sjansene for MEV-kostnader.

Eksempel: Taichi Network, BloXroute.

Flash-roboter: Flashbots er en forskningsorganisasjon som jobber for å adressere konfliktene til MEV ved å demokratisere MEV-utvinning gjennom MEV-Geth. MEV-Geth tilbyr en privat blokkromsauksjonsmekanisme der roboter og gruvearbeidere kan kommunisere om transaksjonsbestillingspreferansen. 

Dette reduserer de totale gasskostnadene for brukere og mislykkede transaksjoner som blåser opp blokkjeden. 

glidning: Brukere kan angi minimum glideverdi mens de fortsetter med transaksjonene. Slik at hvis prisforskjellen overstiger for mye, blir transaksjonen kansellert automatisk. På denne måten kan brukerne reddes fra store tap.

QuillAudits i Web3 Security

Det er vedvarende trusler helt fra kodenivået som smuldrer Web3-sikkerheten. QuillAudits gjør omfattende forskning på angrepsvektorene på Web3 og feilsøker feil som gir beskyttelse til prosjekter og brukeres midler. 

Bli kjent med de mangfoldige sikkerhetstjenestene som tilbys av QuillAudits og få deg skjermet fra Web3-problemene.

6 Visninger