Tempo de leitura: 6 minutos
O lucro é o objetivo final por trás de qualquer trabalho que um indivíduo realiza. Em relação a isso, MEV, que significa Maximal Extractable Value, significa o lucro que um validador obtém de um blockchain habilitado para contrato inteligente para incluir, excluir ou reordenar transações nos blocos.
Em suma, MEV representa a medida de lucros que um minerador/validador poderia extrair para revisar transações na rede blockchain. Mais detalhes sobre o MEV - o bom e o ruim, insights sobre como proteger os fundos dos truques do MEV serão os destaques deste blog.
O que é MEV? Como funciona?
No consenso de prova de trabalho, os mineradores eram responsáveis por adicionar transações, anteriormente chamadas de valor extraível do minerador. Mas com A mudança do Ethereum para Proof-of-stake, validadores são aqueles que avaliam as transações que foram alteradas para Valor Máximo Extraível (MEV).
Geralmente, o usuário paga uma taxa no blockchain para movimentar as transações em um bloco. Esse valor da taxa é uma cobrança adicional que o usuário prefere pagar para que os mineradores escolham sua transação com prioridade.
Esse valor MEV que nada mais é que a taxa de gás paga pelo usuário é filtrada na ordem de maior valor pelos validadores para torná-lo mais lucrativo para eles. Os bots são usados para automatizar o processo de envio de transações lucrativas com altas taxas de gás que incentivam os validadores.
Apesar dessa prática de priorizar transações com base na taxa de gás paga, o MEV também introduz vários outros efeitos no blockchain. Veremos como os MEVs são manipulados para obter benefícios na próxima passagem.
Como os MEVs são usados taticamente?
Validadores e hackers tentando encontrar oportunidades explorando o MEV colocam os usuários em dificuldades econômicas. Mas quais são as maneiras que esses MEVs são usados para a vantagem do hacker?
Vamos nos aprofundar nos detalhes agora!
Frente: Todas as transações que precisam ser validadas ficam no mempool, onde validadores ou líderes generalizados (bots) passam por elas e seguem as negociações lucrativas. Como o código é aberto no blockchain, os bots detectam a transação do usuário com altas taxas de gás, as replicam e ajudam os validadores a encontrar as mais lucrativas.
Desta forma, as ordens de transação são comunicadas para que sejam adicionadas preferencialmente aos blocos.
Ataque sanduíche: Aqui vem a forma maliciosa de front-running em que a transação do usuário é estudada para manipular os preços das criptomoedas e realizar negociações para a vantagem do hacker em detrimento dos usuários.
Para simplificar, vamos supor uma diferença de preço de uma criptomoeda específica entre as DEXs, Uniswap e Sushiswap. O usuário encontra isso e tenta lucrar comprando o ativo da Uniswap por um preço mais baixo e vendendo-o no Sushiswap por um preço mais alto.
Dessa forma, a liquidez das criptomoedas é mantida em diferentes exchanges descentralizadas. Mas é aqui que está o problema. Uma vez que o usuário inicia a transação para as ordens de compra e venda, ele permanece no mempool para que seja validado.
Enquanto isso, os bots identificam essa oportunidade potencial de obter lucros e replicam a mesma transação com uma alta taxa de gás.
Como resultado, a ordem de compra do bot é executada antes do usuário, bombeando o preço do token.
A ordem de compra do usuário é processada depois e o usuário compra o token a um preço alto.
O bot então inicia a ordem de venda do ativo pelo preço aumentado, obtendo lucros salutares com o conhecimento do usuário, que acaba privado do dinheiro que pretendia fazer.
O preço que a vítima MEV paga devido à manipulação é a quantidade de “Slippage” que ela inseriu ao fazer a transação.
PS Slippage é a diferença de preço entre o momento de início e execução da negociação.
Um usuário pode comprar os tokens a um preço mais baixo de um DEX e vendê-los em um DEX de alto preço em uma única transação trocando tokens.
Arbitragem DEX: A arbitragem DEX é uma das oportunidades MEV mais conhecidas, em que os usuários podem extrair lucros das diferenças de preço entre duas DEXs.
Liquidações: As liquidações do protocolo de empréstimo apresentam a oportunidade do MEV de obter ganhos com a taxa de liquidação. Os protocolos de empréstimo DeFi permitem que os usuários depositem algumas criptomoedas como garantia e, em troca, tomem emprestado os tokens de criptomoeda de que precisam.
Se o usuário não puder pagar os fundos emprestados, o protocolo permite que qualquer pessoa liquide a garantia colocada pelo mutuário, pela qual é cobrada uma pesada taxa de liquidação. Esta taxa de liquidação vai para o liquidante.
É utilizado por pesquisadores de MEV que caçam mutuários cujos ativos podem ser liquidados e obtêm lucros com a taxa de liquidação.
Lado bom e lado escuro do MEV
O lado positivo do MEV argumenta seu papel em suavizar o processo de liquidação em várias exchanges descentralizadas, eliminando ineficiências econômicas.
Além disso, organizações como a Flashbots fornecem produtos para oferecer serviços de vanguarda para instilar um ecossistema MEV sem permissão e transparente.
No lado negativo, os ataques front-running e sanduíche estão causando perda de receita mais cara e oportunidades perdidas de arbitragem para os usuários. Os bots MEV dificultam a participação de traders iniciantes em protocolos DeFi, o que prejudica o aspecto de segurança.
Além disso, bots pioneiros generalizados que replicam transações com altas taxas de gás criam congestionamento na rede e aumentam a taxa de transação, afetando o usuário.
Extraindo o cenário recente de hack de bot MEV
Trama de Ataque: O bot MEV OxBAD fez ~ $ 150k de $ 11 ao executar uma transação. Logo após a troca de tokens para obter lucros, o código ruim do bot MEV foi explorado na seguinte transação https://t.co/FxXSY8AyhX, drenando 1,101 ETH.
Nas especificidades do hack…
O bot MEV fez uma tentativa bem-sucedida de liderar uma negociação de swap de US$ 1.8 milhão de cUSDC para algumas outras stablecoins. Isso resultou em ativos no valor de apenas US$ 500 para o usuário em troca.
No entanto, logo depois disso, o bot MEV chamado Oxbad foi enganado por um explorador para perder o lucro obtido.
Ao analisar o hack, o explorador aproveitou a rotina de retorno de chamada do bot para aprovar gastos arbitrários que levaram a uma perda de 1,101 ETH.
Alta em hacks
Outras façanhas na mesma época em Set'22 foram
- Um bug detectado na ferramenta Profanity, um gerador de endereços vaidosos da Ethereum, resultou na drenagem de US$ 3.3 milhões em fundos de várias carteiras.
- Uma semana depois, um endereço de carteira de vaidade foi hackeado, com uma perda estimada em cerca de US$ 1 milhão em ETH.
Chegando à prática de segurança
sorvetes para seguir
Mempools privados: Geralmente, as transações ficam no mempool, onde são transmitidas publicamente para os mineradores/validadores escolherem e adicioná-las aos blocos. Em mempools privados, as transações são visíveis apenas para o pool e não são exibidas para outros nós, o que reduz as chances de custo do MEV.
Exemplo: Rede Taichi, BloXroute.
Flashbots: Flashbots é uma organização de pesquisa que trabalha para resolver os conflitos do MEV democratizando a extração do MEV através do MEV-Geth. O MEV-Geth fornece um mecanismo de leilão de espaço de bloco privado em que bots e mineradores podem se comunicar sobre a preferência de ordem de transação.
Isso reduz o custo geral do gás para os usuários e transações com falha que incham o blockchain.
Deslizamento: Os usuários podem inserir o valor mínimo de derrapagem enquanto prosseguem com as transações. Assim, se a diferença de preço exceder muito, a transação é cancelada automaticamente. Desta forma, os usuários podem ser salvos de grandes perdas.
QuillAudits em segurança Web3
Existem ameaças contínuas desde o nível do código que destroem a segurança da Web3. QuillAudits faz uma extensa pesquisa sobre os vetores de ataque na Web3 e depura erros oferecendo proteção aos projetos e fundos dos usuários.
Conheça os diversificados serviços de segurança prestados pela QuillAuditorias e fique protegido dos problemas da Web3.
6 Visualizações
- Bitcoin
- blockchain
- conformidade do blockchain
- conferência blockchain
- coinbase
- Coingenius
- Consenso
- conferência de criptografia
- crypto mining
- criptomoedas
- Descentralizada
- DeFi
- Ativos Digitais
- ethereum
- aprendizado de máquina
- token não fungível
- platão
- platão ai
- Inteligência de Dados Platão
- Platoblockchain
- PlatãoData
- jogo de platô
- Polygon
- prova de participação
- Quilhash
- Segurança de contrato inteligente
- trending
- W3
- zefirnet