Um guia para MEV: questões críticas e melhores práticas de segurança

Tempo de leitura: 6 minutos

O lucro é o objetivo final por trás de qualquer trabalho que um indivíduo realiza. Em relação a isso, MEV, que significa Maximal Extractable Value, significa o lucro que um validador obtém de um blockchain habilitado para contrato inteligente para incluir, excluir ou reordenar transações nos blocos. 

Em suma, MEV representa a medida de lucros que um minerador/validador poderia extrair para revisar transações na rede blockchain. Mais detalhes sobre o MEV - o bom e o ruim, insights sobre como proteger os fundos dos truques do MEV serão os destaques deste blog. 

O que é MEV? Como funciona?

No consenso de prova de trabalho, os mineradores eram responsáveis ​​por adicionar transações, anteriormente chamadas de valor extraível do minerador. Mas com A mudança do Ethereum para Proof-of-stake, validadores são aqueles que avaliam as transações que foram alteradas para Valor Máximo Extraível (MEV). 

Geralmente, o usuário paga uma taxa no blockchain para movimentar as transações em um bloco. Esse valor da taxa é uma cobrança adicional que o usuário prefere pagar para que os mineradores escolham sua transação com prioridade. 

Esse valor MEV que nada mais é que a taxa de gás paga pelo usuário é filtrada na ordem de maior valor pelos validadores para torná-lo mais lucrativo para eles. Os bots são usados ​​para automatizar o processo de envio de transações lucrativas com altas taxas de gás que incentivam os validadores. 

Apesar dessa prática de priorizar transações com base na taxa de gás paga, o MEV também introduz vários outros efeitos no blockchain. Veremos como os MEVs são manipulados para obter benefícios na próxima passagem.

Como os MEVs são usados ​​taticamente?

Validadores e hackers tentando encontrar oportunidades explorando o MEV colocam os usuários em dificuldades econômicas. Mas quais são as maneiras que esses MEVs são usados ​​para a vantagem do hacker?

Vamos nos aprofundar nos detalhes agora!

Frente: Todas as transações que precisam ser validadas ficam no mempool, onde validadores ou líderes generalizados (bots) passam por elas e seguem as negociações lucrativas. Como o código é aberto no blockchain, os bots detectam a transação do usuário com altas taxas de gás, as replicam e ajudam os validadores a encontrar as mais lucrativas. 

Desta forma, as ordens de transação são comunicadas para que sejam adicionadas preferencialmente aos blocos. 

Ataque sanduíche: Aqui vem a forma maliciosa de front-running em que a transação do usuário é estudada para manipular os preços das criptomoedas e realizar negociações para a vantagem do hacker em detrimento dos usuários. 

Para simplificar, vamos supor uma diferença de preço de uma criptomoeda específica entre as DEXs, Uniswap e Sushiswap. O usuário encontra isso e tenta lucrar comprando o ativo da Uniswap por um preço mais baixo e vendendo-o no Sushiswap por um preço mais alto. 

Dessa forma, a liquidez das criptomoedas é mantida em diferentes exchanges descentralizadas. Mas é aqui que está o problema. Uma vez que o usuário inicia a transação para as ordens de compra e venda, ele permanece no mempool para que seja validado. 

Enquanto isso, os bots identificam essa oportunidade potencial de obter lucros e replicam a mesma transação com uma alta taxa de gás. 

Como resultado, a ordem de compra do bot é executada antes do usuário, bombeando o preço do token. 

A ordem de compra do usuário é processada depois e o usuário compra o token a um preço alto. 

O bot então inicia a ordem de venda do ativo pelo preço aumentado, obtendo lucros salutares com o conhecimento do usuário, que acaba privado do dinheiro que pretendia fazer. 

O preço que a vítima MEV paga devido à manipulação é a quantidade de “Slippage” que ela inseriu ao fazer a transação. 

PS Slippage é a diferença de preço entre o momento de início e execução da negociação. 

Um usuário pode comprar os tokens a um preço mais baixo de um DEX e vendê-los em um DEX de alto preço em uma única transação trocando tokens. 

Arbitragem DEX: A arbitragem DEX é uma das oportunidades MEV mais conhecidas, em que os usuários podem extrair lucros das diferenças de preço entre duas DEXs. 

Liquidações: As liquidações do protocolo de empréstimo apresentam a oportunidade do MEV de obter ganhos com a taxa de liquidação. Os protocolos de empréstimo DeFi permitem que os usuários depositem algumas criptomoedas como garantia e, em troca, tomem emprestado os tokens de criptomoeda de que precisam.

Se o usuário não puder pagar os fundos emprestados, o protocolo permite que qualquer pessoa liquide a garantia colocada pelo mutuário, pela qual é cobrada uma pesada taxa de liquidação. Esta taxa de liquidação vai para o liquidante. 

É utilizado por pesquisadores de MEV que caçam mutuários cujos ativos podem ser liquidados e obtêm lucros com a taxa de liquidação. 

Lado bom e lado escuro do MEV

O lado positivo do MEV argumenta seu papel em suavizar o processo de liquidação em várias exchanges descentralizadas, eliminando ineficiências econômicas.

Além disso, organizações como a Flashbots fornecem produtos para oferecer serviços de vanguarda para instilar um ecossistema MEV sem permissão e transparente. 

No lado negativo, os ataques front-running e sanduíche estão causando perda de receita mais cara e oportunidades perdidas de arbitragem para os usuários. Os bots MEV dificultam a participação de traders iniciantes em protocolos DeFi, o que prejudica o aspecto de segurança. 

Além disso, bots pioneiros generalizados que replicam transações com altas taxas de gás criam congestionamento na rede e aumentam a taxa de transação, afetando o usuário.  

Extraindo o cenário recente de hack de bot MEV 

Trama de Ataque: O bot MEV OxBAD fez ~ $ 150k de $ 11 ao executar uma transação. Logo após a troca de tokens para obter lucros, o código ruim do bot MEV foi explorado na seguinte transação https://t.co/FxXSY8AyhX, drenando 1,101 ETH.

Nas especificidades do hack…

O bot MEV fez uma tentativa bem-sucedida de liderar uma negociação de swap de US$ 1.8 milhão de cUSDC para algumas outras stablecoins. Isso resultou em ativos no valor de apenas US$ 500 para o usuário em troca.

No entanto, logo depois disso, o bot MEV chamado Oxbad foi enganado por um explorador para perder o lucro obtido. 

Ao analisar o hack, o explorador aproveitou a rotina de retorno de chamada do bot para aprovar gastos arbitrários que levaram a uma perda de 1,101 ETH. 

Alta em hacks

Outras façanhas na mesma época em Set'22 foram 

• Um bug detectado na ferramenta Profanity, um gerador de endereços vaidosos da Ethereum, resultou na drenagem de US$ 3.3 milhões em fundos de várias carteiras.
• Uma semana depois, um endereço de carteira de vaidade foi hackeado, com uma perda estimada em cerca de US$ 1 milhão em ETH.

Chegando à prática de segurança

sorvetes para seguir

Mempools privados: Geralmente, as transações ficam no mempool, onde são transmitidas publicamente para os mineradores/validadores escolherem e adicioná-las aos blocos. Em mempools privados, as transações são visíveis apenas para o pool e não são exibidas para outros nós, o que reduz as chances de custo do MEV.

Exemplo: Rede Taichi, BloXroute.

Flashbots: Flashbots é uma organização de pesquisa que trabalha para resolver os conflitos do MEV democratizando a extração do MEV através do MEV-Geth. O MEV-Geth fornece um mecanismo de leilão de espaço de bloco privado em que bots e mineradores podem se comunicar sobre a preferência de ordem de transação. 

Isso reduz o custo geral do gás para os usuários e transações com falha que incham o blockchain. 

Deslizamento: Os usuários podem inserir o valor mínimo de derrapagem enquanto prosseguem com as transações. Assim, se a diferença de preço exceder muito, a transação é cancelada automaticamente. Desta forma, os usuários podem ser salvos de grandes perdas.

QuillAudits em segurança Web3

Existem ameaças contínuas desde o nível do código que destroem a segurança da Web3. QuillAudits faz uma extensa pesquisa sobre os vetores de ataque na Web3 e depura erros oferecendo proteção aos projetos e fundos dos usuários. 

Conheça os diversificados serviços de segurança prestados pela QuillAuditorias e fique protegido dos problemas da Web3.

6 Visualizações