Un ghid pentru MEV: probleme critice și cele mai bune practici de securitate

Timp de citit: 6 minute

Obținerea de profit este scopul final din spatele oricărei activități pe care o desfășoară o persoană. În acest sens, MEV, care înseamnă Maximal Extractable Value, înseamnă profitul pe care un validator îl face dintr-un blockchain activat de contracte inteligente pentru includerea, excluderea sau reordonarea tranzacțiilor în blocuri. 

Pe scurt, MEV reprezintă măsura profiturilor pe care un miner/validator le-ar putea extrage pentru revizuirea tranzacțiilor din rețeaua blockchain. Mai detaliat despre MEV - cele bune și rele, informații despre protejarea fondurilor din trucurile MEV vor fi punctele importante ale acestui blog. 

Ce este MEV? Cum functioneazã?

În consensul de dovadă a muncii, minerii erau responsabili pentru adăugarea tranzacțiilor, numite anterior valoare extractabilă a minerului. Dar cu Schimbarea lui Ethereum la Proof-of-stake, validatorii sunt cei care evaluează tranzacțiile pe care le-au schimbat în Valoarea maximă extractabilă (MEV). 

În general, utilizatorul plătește o taxă în blockchain pentru deplasarea tranzacțiilor într-un bloc. Această sumă a taxei este o taxă suplimentară pe care utilizatorul preferă să o plătească pentru ca minerii să-și aleagă tranzacția cu prioritate. 

Această sumă MEV, care nu este altceva decât taxa de gaz plătită de utilizator, este filtrată în ordinea celei mai mari sume de către validatori pentru a o face mai profitabilă pentru ei. Boții sunt folosiți pentru a automatiza procesul de trimitere a tranzacțiilor profitabile cu taxe mari de gaz care stimulează validatorii. 

În ciuda acestei practici de prioritizare a tranzacțiilor în funcție de taxa de gaz plătită, MEV introduce și alte câteva efecte asupra blockchain-ului. Vom vedea cum sunt manipulate MEV-urile pentru a aduce beneficii în pasajul următor.

Cum sunt utilizate MEV-urile din punct de vedere tactic?

Validatorii și hackerii care încearcă să găsească oportunități prin exploatarea MEV pun utilizatorii în dificultate economică. Dar care sunt modurile acestea MEV-uri sunt folosite în avantajul hackerului?

Să pătrundem în detalii acum!

Pe front: Toate tranzacțiile care trebuie validate se află în mempool, în care validatorii sau liderii generalizați (boții) le parcurg și merg cu tranzacțiile profitabile. Deoarece codul este deschis pe blockchain, roboții detectează tranzacția utilizatorului cu taxe mari de gaz, le replic și ajută validatorii să le găsească pe cele profitabile. 

Astfel, ordinele de tranzacție sunt comunicate pentru ca acestea să fie adăugate preferenţial la blocuri. 

Atacul de tip sandwich: Aici apare forma rău intenționată de front-running în care tranzacția utilizatorului este studiată pentru a manipula prețurile criptomonedelor și a efectua tranzacții în avantajul hackerului în detrimentul utilizatorilor. 

Pentru a o simplifica, să presupunem o diferență de preț a unei anumite monede cripto între DEX, Uniswap și Sushiswap. Utilizatorul găsește acest lucru și încearcă să profite cumpărând activul de la Uniswap la un preț mai mic și vânzându-l pe Sushiswap la un preț mai mare. 

În acest fel, lichiditatea criptomonedelor este menținută în diferite schimburi descentralizate. Dar aici este problema. Odată ce utilizatorul inițiază tranzacția pentru ordinele de cumpărare și vânzare, acesta rămâne în mempool pentru ca aceasta să fie validată. 

Între timp, boții identifică această potențială oportunitate de a obține profit și replic aceeași tranzacție cu o taxă mare de gaz. 

Ca urmare, ordinul de cumpărare al botului este executat înaintea utilizatorului, pompând prețul jetonului. 

Comanda de cumpărare a utilizatorului este procesată după, iar utilizatorul cumpără jetonul la un preț ridicat. 

Botul inițiază apoi ordinul de vânzare a activului la prețul crescut, obținând profituri sănătoase la cunoștința utilizatorului, care ajunge să fie privat de banii pe care intenționa să-i facă. 

Prețul pe care victima MEV îl plătește din cauza manipulării este suma „Slippage” pe care a introdus-o în timpul tranzacției. 

PS Slippage-ul este diferența de preț dintre momentul inițierii tranzacției și momentul executării. 

Un utilizator poate cumpăra jetoanele la un preț mai mic de la un DEX și le poate vinde pe un DEX cu preț ridicat într-o singură tranzacție prin schimbul de jetoane. 

Arbitraj DEX: Arbitrajul DEX este una dintre cele mai cunoscute oportunități MEV prin care utilizatorii pot extrage profit din diferențele de preț dintre două DEX. 

Lichidari: Lichidările protocolului de creditare oferă MEV oportunitatea de a obține câștiguri din comisionul de lichidare. Protocoalele de împrumut DeFi permit utilizatorilor să depună unele cripto-uri ca garanție și, în schimb, să împrumute token-urile cripto de care au nevoie.

În cazul în care utilizatorul nu poate rambursa fondurile împrumutate, protocolul permite oricui să lichideze garanția plasată de împrumutat, pentru care se percepe o taxă de lichidare consistentă. Această taxă de lichidare merge la lichidator. 

Este utilizat de către căutătorii MEV care vânează debitorii ale căror active pot fi lichidate și obțin profituri din taxa de lichidare. 

Partea luminoasă și partea întunecată a MEV

Partea bună a MEV își susține rolul în ușurarea procesului de lichidare a diferitelor burse descentralizate, excluzând ineficiența economică.

Mai mult, organizații precum Flashbots oferă produse care să ofere un serviciu de avangardă pentru a insufla un ecosistem MEV transparent și fără permisiune. 

În dezavantaj, atacurile frontale și tip sandwich provoacă pierderi de venituri mai costisitoare și pierderi de oportunități de arbitraj pentru utilizatori. Boții MEV fac dificilă participarea comercianților nou-veniți la protocoalele DeFi, ceea ce dăunează aspectului de securitate. 

În plus, roboții generalizați de front care reproduc tranzacțiile cu taxe mari de gaz creează congestionare în rețea și măresc taxa de tranzacție, afectând utilizatorul.  

Desenarea scenariului recent de hack MEV Bot 

Plan de atac: Botul MEV OxBAD a câștigat aproximativ 150 USD de la 11 USD prin realizarea unei tranzacții. La scurt timp după schimbul de token pentru a obține profit, codul prost al botului MEV a fost exploatat în următoarea tranzacție https://t.co/FxXSY8AyhX, drenând 1,101 ETH.

În specificul hack-ului...

Botul MEV a făcut o încercare de succes în a promova o tranzacție de 1.8 milioane USD de la cUSDC la alte monede stabile. Acest lucru a dus la numai 500 USD de active ale utilizatorului în schimb.

Cu toate acestea, la scurt timp după aceea, botul MEV numit Oxbad a fost păcălit de un exploatator pentru a pierde profitul obținut. 

Privind hack-ul, exploatatorul a folosit rutina de apel inversă a botului pentru a aproba cheltuielile arbitrare care au dus la o pierdere de 1,101 ETH. 

High On Hacks

Alte exploatații în rând în aceeași perioadă în septembrie'22 au fost 

• O eroare detectată în instrumentul Profanity, un generator de adrese de vanitate Ethereum, a dus la scurgerea de fonduri de 3.3 milioane de dolari din diferite portofele.
• O săptămână mai târziu, o adresă de portofel a fost piratată, cu o pierdere estimată la aproximativ 1 milion de dolari în ETH.

Ajunge la Security Pract

gheață de urmat

mempools private: În general, tranzacțiile rămân în mempool, unde sunt difuzate public pentru ca minerii/validatorii să le aleagă și să le adauge la blocuri. În mempool-urile private, tranzacțiile sunt vizibile doar pentru grup și nu sunt afișate altor noduri, ceea ce reduce șansele costului MEV.

Exemplu: Rețeaua Taichi, BloXroute.

Boti flash: Flashbots este o organizație de cercetare care lucrează pentru a aborda conflictele MEV prin democratizarea extracției MEV prin MEV-Geth. MEV-Geth oferă un mecanism privat de licitație în spațiu bloc în care roboții și minerii pot comunica cu privire la preferința comenzii tranzacției. 

Acest lucru reduce costul total al gazului pentru utilizatori și tranzacțiile eșuate care umflă blockchain-ul. 

alunecarea: Utilizatorii pot introduce valoarea minimă de alunecare în timpul tranzacțiilor. Astfel încât dacă diferența de preț depășește prea mult, tranzacția este anulată automat. În acest fel, utilizatorii pot fi salvați de pierderi mari.

QuillAudits în Web3 Security

Există amenințări continue chiar de la nivelul codului care distrug securitatea Web3. QuillAudits face cercetări ample asupra vectorilor de atac pe Web3 și depanează erorile, oferind protecție proiectelor și fondurilor utilizatorilor. 

Cunoașteți serviciile diversificate de securitate oferite de QuillAudits și protejați-vă de necazurile Web3.

6 Vizualizări