Руководство по MEV: критические проблемы и передовые методы обеспечения безопасности

Время Читать: 6 минут

Получение прибыли является конечной целью любой работы, которую выполняет человек. В связи с этим MEV, что означает «Максимальная извлекаемая стоимость», означает прибыль, которую валидатор получает от блокчейна с поддержкой смарт-контрактов за включение, исключение или изменение порядка транзакций в блоках. 

Короче говоря, MEV представляет собой меру прибыли, которую майнер/валидатор может извлечь за просмотр транзакций в сети блокчейна. Более подробно о MEV - хорошем и плохом, о том, как защитить средства от уловок MEV, будут основные моменты этого блога. 

Что такое МЭВ? Как это работает?

В соответствии с консенсусом Proof-of-Work майнеры отвечали за добавление транзакций, которые ранее назывались извлекаемой ценностью майнера. Но с Сдвиг Эфириума до Proof-of-stake, валидаторы — это те, кто оценивает транзакции, которые были изменены на максимальную извлекаемую стоимость (MEV). 

Как правило, пользователь платит комиссию в блокчейне за перемещение транзакций в блоке. Эта сумма комиссии является дополнительной комиссией, которую пользователь предпочитает платить майнерам за выбор приоритетной транзакции. 

Эта сумма MEV, которая представляет собой не что иное, как плату за газ, уплачиваемую пользователем, фильтруется валидаторами в порядке наибольшей суммы, чтобы сделать ее более выгодной для них. Боты используются для автоматизации процесса отправки прибыльных транзакций с высокой комиссией за газ, что стимулирует валидаторов. 

Несмотря на эту практику определения приоритетов транзакций на основе уплаченной платы за газ, MEV также вносит несколько других эффектов в блокчейн. Мы увидим, как манипулируют MEV, чтобы извлечь выгоду в предстоящем переходе.

Как MEV используются тактически?

Валидаторы и хакеры, пытающиеся найти возможности, используя MEV, ставят пользователей в затруднительное положение. Но каковы эти способы MEV используются в интересах хакера?

Теперь давайте углубимся в детали!

Передний ход: Все транзакции, которые необходимо проверить, находятся в мемпуле, где валидаторы или обобщенные лидеры (боты) проходят через них и совершают прибыльные сделки. Поскольку код открыт в блокчейне, боты обнаруживают транзакции пользователя с высокой комиссией за газ, копируют их и помогают валидаторам найти прибыльные. 

Таким образом, заказы транзакций передаются для их предпочтительного добавления в блоки. 

Сэндвич-атака: А вот и вредоносная форма опережения, когда транзакция пользователя изучается для манипулирования ценами на криптовалюты и осуществления торговли в интересах хакера за счет пользователей. 

Для упрощения предположим разницу в цене конкретной криптомонеты между DEX, Uniswap и Sushiswap. Пользователь находит это и пытается получить прибыль, покупая актив у Uniswap по более низкой цене и продавая его на Sushiswap по более высокой цене. 

Таким образом, ликвидность криптовалют поддерживается на разных децентрализованных биржах. Но вот в чем проблема. Как только пользователь инициирует транзакцию для ордеров на покупку и продажу, он остается в мемпуле для проверки. 

Тем временем боты определяют эту потенциальную возможность для получения прибыли и повторяют ту же транзакцию с высокой комиссией за газ. 

В результате ордер на покупку бота исполняется раньше пользователя, подкачивая цену токена. 

Заказ пользователя на покупку обрабатывается после, и пользователь покупает токен по высокой цене. 

Затем бот инициирует заказ на продажу актива по повышенной цене, получая приличную прибыль с ведома пользователя, который в конечном итоге лишается денег, которые он намеревался заработать. 

Цена, которую платит жертва MEV из-за манипуляций, — это сумма «проскальзывания», которую они ввели при совершении транзакции. 

PS Проскальзывание – это разница в цене между моментом открытия и исполнения сделки. 

Пользователь может купить токены по более низкой цене на одной DEX и продать их на более дорогой DEX за одну транзакцию, обменяв токены. 

DEX-арбитраж: Арбитраж DEX — одна из самых известных возможностей MEV, с помощью которой пользователи могут извлекать прибыль из разницы в ценах между двумя DEX. 

Ликвидации: Ликвидация по протоколу кредитования предоставляет MEV возможность получать прибыль за счет комиссии за ликвидацию. Протоколы кредитования DeFi позволяют пользователям вносить некоторые криптовалюты в качестве залога и, в свою очередь, брать взаймы необходимые им криптовалюты.

Если пользователь не может погасить заемные средства, протокол позволяет любому ликвидировать залог, размещенный заемщиком, за что взимается огромная комиссия за ликвидацию. Эта комиссия за ликвидацию поступает ликвидатору. 

Он используется поисковиками MEV, которые выслеживают заемщиков, чьи активы могут быть ликвидированы, и получают прибыль от платы за ликвидацию. 

Светлая и темная сторона MEV

Яркая сторона MEV заключается в том, что он играет роль в сглаживании процесса ликвидации на различных децентрализованных биржах, исключая экономическую неэффективность.

Более того, такие организации, как Flashbots, предоставляют продукты, которые можно использовать в качестве услуги, чтобы внедрить открытую и прозрачную экосистему MEV. 

С другой стороны, атаки с опережением и сэндвич-атаки приводят к более дорогостоящим потерям доходов и упущенным арбитражным возможностям для пользователей. Боты MEV затрудняют участие трейдеров-новичков в протоколах DeFi, что наносит ущерб аспекту безопасности. 

Кроме того, общие боты-лидеры, копирующие транзакции с высокой комиссией за газ, создают перегрузку сети и увеличивают комиссию за транзакцию, влияя на пользователя.  

Рисуем недавний сценарий взлома бота MEV 

Сюжет атаки: Бот MEV OxBAD заработал около 150 тысяч долларов из 11 долларов за счет предварительной транзакции. Вскоре после обмена токенов для получения прибыли неверный код бота MEV был использован в следующей транзакции. https://t.co/FxXSY8AyhX, слив 1,101 XNUMX ETH.

В особенности взлома…

Бот MEV предпринял успешную попытку провести своп на сумму 1.8 миллиона долларов от cUSDC до некоторых других стейблкоинов. Это привело к тому, что взамен пользователь получил активы на сумму всего 500 долларов.

Однако вскоре после этого бот MEV по имени Oxbad был обманут эксплуататорами и потерял полученную прибыль. 

Наблюдая за взломом, эксплуататор использовал процедуру обратного вызова бота, чтобы утвердить произвольные расходы, что привело к потере 1,101 ETH. 

Высоко на хаках

Другие эксплойты в ряду примерно в то же время в сентябре 22 года были 

• Ошибка, обнаруженная в инструменте Profanity, генераторе тщеславных адресов Ethereum, привела к сливу средств в размере 3.3 миллиона долларов из различных кошельков.
• Неделю спустя адрес тщеславного кошелька был взломан, а потери оцениваются примерно в 1 миллион долларов в ETH.

Получение практики безопасности

лед, чтобы следовать

Частные мемпулы: Как правило, транзакции остаются в мемпуле, где они публично транслируются, чтобы майнеры/валидаторы могли выбирать и добавлять их в блоки. В частных мемпулах транзакции видны только пулу и не отображаются для других узлов, что снижает вероятность стоимости MEV.

Пример: сеть Taichi, BloXroute.

Флэш-боты: Flashbots — это исследовательская организация, которая работает над устранением конфликтов MEV, демократизируя извлечение MEV через MEV-Geth. MEV-Geth предоставляет механизм аукциона частного блочного пространства, в котором боты и майнеры могут обмениваться информацией о предпочтениях порядка транзакций. 

Это снижает общую стоимость газа для пользователей и количество неудачных транзакций, раздувающих блокчейн. 

Скольжение: Пользователи могут ввести минимальное значение проскальзывания при совершении транзакций. Так что, если разница в цене превышает слишком большую, транзакция автоматически отменяется. Таким образом, пользователи могут быть спасены от больших потерь.

QuillAudits в безопасности Web3

Существуют постоянные угрозы прямо на уровне кода, которые подрывают безопасность Web3. QuillAudits проводит обширные исследования векторов атак на Web3 и устраняет ошибки, обеспечивая защиту проектов и средств пользователей. 

Познакомьтесь с разнообразными услугами безопасности, предоставляемыми QuillAudits и защитите себя от неприятностей Web3.

6 Просмотры