Vodnik po MEV: Kritična vprašanja in najboljše varnostne prakse

Čas branja: 6 min

Ustvarjanje dobička je končni cilj vsakega dela, ki ga posameznik opravlja. V zvezi s tem MEV, kar pomeni največjo vrednost, ki jo je mogoče pridobiti, pomeni dobiček, ki ga validator ustvari z verigo blokov, ki podpira pametne pogodbe, za vključitev, izključitev ali prerazporeditev transakcij v blokih. 

Skratka, MEV predstavlja merilo dobička, ki bi ga rudar/validator lahko pridobil za pregledovanje transakcij v omrežju blockchain. Več podrobnosti o MEV – dobrem in slabem, vpogled v varovanje sredstev pred triki MEV bodo vrhunci tega bloga. 

Kaj je MEV? Kako deluje?

V soglasju o dokazu o delu so bili rudarji odgovorni za dodajanje transakcij, ki so se prej imenovale izločljiva vrednost rudarja. Ampak z Premik Ethereuma za dokazilo o deležu so validatorji tisti, ki ocenjujejo transakcije, ki so bile spremenjene na največjo izvlečno vrednost (MEV). 

Na splošno uporabnik plača pristojbino v verigi blokov za premikanje transakcij v bloku. Ta znesek pristojbine je dodatna pristojbina, ki jo uporabnik raje plača za rudarje, da svojo transakcijo izberejo prednostno. 

Ta znesek MEV, ki ni nič drugega kot pristojbina za plin, ki jo plača uporabnik, validatorji filtrirajo po vrstnem redu najvišjega zneska, da je zanje bolj donosno. Boti se uporabljajo za avtomatizacijo postopka oddaje donosnih transakcij z visokimi pristojbinami za plin, ki spodbujajo validatorje. 

Kljub tej praksi dajanja prednosti transakcijam na podlagi plačane pristojbine za plin MEV uvaja tudi številne druge učinke na verigo blokov. Videli bomo, kako se z MEV manipulira, da bi izkoristili koristi v prihajajočem prehodu.

Kako se MEV taktično uporabljajo?

Validatorji in hekerji, ki poskušajo najti priložnosti z izkoriščanjem MEV, spravljajo uporabnike v ekonomsko stisko. Toda kakšni so ti načini MEV uporabljajo v korist hekerja?

Poglobimo se v podrobnosti zdaj!

Spredaj: Vse transakcije, ki jih je treba potrditi, so v mempoolu, kjer potrjevalci ali splošni voditelji (boti) tečejo skozenj in opravljajo donosne posle. Ker je koda odprta v verigi blokov, roboti zaznajo uporabnikove transakcije z visokimi stroški plina, jih posnemajo in validatorjem pomagajo najti donosne. 

Na ta način se transakcijska naročila sporočijo, da se prednostno dodajo v bloke. 

Sendvič napad: Tu nastopi zlonamerna oblika front-runninga, pri kateri se preučuje uporabnikova transakcija, da se manipulira s cenami kriptovalut in izvaja trgovanje v korist hekerjev na račun uporabnikov. 

Da poenostavimo, predpostavimo razliko v ceni določenega kripto kovanca med DEX-ji, Uniswap in Sushiswap. Uporabnik to najde in poskuša zaslužiti tako, da kupi sredstvo pri Uniswapu po nižji ceni in ga proda na Sushiswapu po višji ceni. 

Na ta način se vzdržuje likvidnost kriptovalut v različnih decentraliziranih borzah. Ampak tukaj je težava. Ko uporabnik sproži transakcijo za naročila za nakup in prodajo, ostane v mempoolu, da se potrdi. 

Medtem roboti identificirajo to potencialno priložnost za pridobivanje dobička in ponovijo isto transakcijo z visoko pristojbino za plin. 

Posledično se naročilo za nakup bota izvede pred uporabnikom, kar poveča ceno žetona. 

Uporabnikovo naročilo za nakup se nato obdela in uporabnik kupi žeton po visoki ceni. 

Bot nato sproži naročilo za prodajo sredstva po zvišani ceni, s čimer pridobi zdrav dobiček ob vednosti uporabnika, ki je na koncu prikrajšan za denar, ki ga je nameraval zaslužiti. 

Cena, ki jo žrtev MEV plača zaradi manipulacije, je znesek »Slippage«, ki so ga vnesli med izvedbo transakcije. 

PS Zdrs je razlika v ceni med začetkom in izvršitvijo trgovanja. 

Uporabnik lahko kupi žetone po nižji ceni pri enem DEX in jih proda na dragem DEX v eni transakciji z zamenjavo žetonov. 

DEX arbitraža: Arbitraža DEX je ena izmed najbolj znanih priložnosti MEV, pri kateri lahko uporabniki pridobijo dobiček iz razlik v cenah med dvema DEX-oma. 

Likvidacije: Likvidacije protokola posojanja predstavljajo MEV priložnost za zaslužek iz likvidacijske provizije. Protokoli posojanja DeFi uporabnikom omogočajo, da položijo nekaj kriptovalut kot zavarovanje in si v zameno izposodijo kriptožetone, ki jih potrebujejo.

Če uporabnik ne more vrniti izposojenih sredstev, protokol omogoča vsakomur, da unovči zavarovanje, ki ga je položil posojilojemalec, za kar se zaračuna visoka provizija za likvidacijo. Ta likvidacijska provizija gre stečajnemu upravitelju. 

Uporabljajo ga iskalci MEV, ki lovijo posojilojemalce, katerih premoženje je mogoče likvidirati, in zaslužijo z likvidacijsko provizijo. 

Svetla in temna stran MEV

Svetla stran MEV utemeljuje njegovo vlogo pri umirjanju postopka likvidacije v različnih decentraliziranih borzah, ki izključujejo ekonomsko neučinkovitost.

Poleg tega organizacije, kot je Flashbots, zagotavljajo izdelke, ki ponujajo prednost kot storitev za vzpostavitev preglednega ekosistema MEV brez dovoljenj. 

Slaba stran pa je, da napadi v prvi vrsti in sendvič napadi povzročajo dražjo izgubo prihodkov in izgubljene priložnosti za arbitražo za uporabnike. Boti MEV novincem trgovcem otežujejo sodelovanje v protokolih DeFi, kar škodi varnostnemu vidiku. 

Poleg tega posplošeni vodilni roboti, ki posnemajo transakcije z visokimi pristojbinami za plin, povzročajo prezasedenost omrežja in povečujejo transakcijsko provizijo, kar vpliva na uporabnika.  

Risanje nedavnega scenarija vdora z robotom MEV 

Zaplet napada: MEV bot OxBAD je zaslužil ~150 $ z 11 $ s predhodnim izvajanjem transakcije. Kmalu po zamenjavi žetonov za ustvarjanje dobička je bila slaba koda bota MEV izkoriščena v naslednji transakciji https://t.co/FxXSY8AyhX, izčrpanje 1,101 ETH.

V posebnosti vdora ...

Bot MEV je uspešno poskusil izvesti trgovanje v vrednosti 1.8 milijona dolarjev zamenjave s cUSDC na nekatere druge stabilne kovance. To je povzročilo, da je uporabnik v zameno prejel samo 500 USD sredstev.

Kmalu za tem pa je MEV bot z imenom Oxbad izkoriščevalec preslepil, da je izgubil pridobljeni dobiček. 

Ob ogledu vdora je izkoriščevalec izkoristil botovo rutino povratnega klica, da je odobril poljubno porabo, kar je povzročilo izgubo 1,101 ETH. 

High On Hacks

Drugi podvigi v vrsti približno ob istem času septembra 22 so bili 

• Napaka, odkrita v orodju Profanity, generatorju nečimrnih naslovov Ethereum, je povzročila črpanje 3.3 milijona dolarjev sredstev iz različnih denarnic.
• Teden dni pozneje je prišlo do vdora v naslov vanity denarnice, pri čemer je bila izguba ocenjena na približno 1 milijon dolarjev ETH.

Vstop v varnostno prakso

led za spremljanje

Zasebni mempooli: Na splošno transakcije ostanejo v mempoolu, kjer so javno objavljene, da jih lahko rudarji/validatorji izberejo in dodajo v bloke. V zasebnih mempoolih so transakcije vidne samo skupini in niso prikazane drugim vozliščem, kar zmanjša možnosti za stroške MEV.

Primer: Taichi Network, BloXroute.

Flash roboti: Flashbots je raziskovalna organizacija, ki se ukvarja s konflikti MEV z demokratizacijo pridobivanja MEV prek MEV-Geth. MEV-Geth zagotavlja zasebni dražbeni mehanizem blokovnega prostora, kjer lahko roboti in rudarji komunicirajo o preferencah transakcijskega naročila. 

To zmanjša skupne stroške goriva za uporabnike in neuspešne transakcije, ki napihnejo verigo blokov. 

Zdrs: Uporabniki lahko med nadaljevanjem transakcij vnesejo najmanjšo vrednost odstopanja. Če je razlika v ceni prevelika, se transakcija samodejno prekine. Na ta način lahko uporabnike rešimo pred velikimi izgubami.

QuillAudits v varnosti Web3

Obstajajo stalne grožnje vse od ravni kode, ki rušijo varnost Web3. QuillAudits izvaja obsežne raziskave o vektorjih napadov na Web3 in odpravlja napake ter nudi zaščito za projekte in sredstva uporabnikov. 

Spoznajte raznolike varnostne storitve, ki jih ponuja QuillAudits in se zaščitite pred težavami Web3.

6 Ogledov