MEV Rehberi: Kritik Konular ve En İyi Güvenlik Uygulamaları

Okuma zamanı: 6 dakika

Kâr elde etme, bir bireyin gerçekleştirdiği herhangi bir işin ardındaki nihai amaçtır. Bununla ilgili olarak, Maksimal Çıkarılabilir Değer anlamına gelen MEV, bir doğrulayıcının bloklardaki işlemleri dahil etmek, hariç tutmak veya yeniden sipariş etmek için akıllı sözleşme özellikli bir blok zincirinden elde ettiği karı ifade eder. 

Kısacası MEV, bir madencinin/doğrulayıcının blok zinciri ağındaki işlemleri gözden geçirmek için elde edebileceği kar ölçüsünü temsil eder. MEV hakkında daha ayrıntılı olarak - iyi ve kötü, fonları MEV hilelerinden korumaya ilişkin görüşler bu blogun öne çıkanları olacak. 

MEV nedir? O nasıl çalışır?

Proof-of-work konsensüsünde, madenciler, daha önce Madenci çıkarılabilir değeri olarak adlandırılan işlemleri eklemekten sorumluydu. Fakat Ethereum'un değişimi Proof-of-stake'e göre, doğrulayıcılar, Maksimal Çıkarılabilir Değer (MEV) olarak değiştirildiği işlemleri değerlendirenlerdir. 

Genel olarak, kullanıcı bir bloktaki işlemlerde dolaşmak için blok zincirinde bir ücret öder. Bu ücret tutarı, kullanıcının madencilerin işlemlerini öncelikli olarak seçmeleri için ödemeyi tercih ettiği ek bir ücrettir. 

Kullanıcının ödediği gaz ücretinden başka bir şey olmayan bu MEV tutarı, validatörler tarafından daha karlı hale getirmek için en yüksek miktara göre filtrelenir. Botlar, doğrulayıcıları teşvik eden yüksek gaz ücretleriyle karlı işlemler gönderme sürecini otomatikleştirmek için kullanılır. 

Ödenen gaz ücretine dayalı işlemlere öncelik verme uygulamasına rağmen, MEV ayrıca blok zinciri üzerinde başka etkiler de getiriyor. Önümüzdeki pasajda MEV'lerin fayda sağlamak için nasıl manipüle edildiğini göreceğiz.

MEV'ler taktiksel olarak nasıl kullanılır?

MEV'den yararlanarak fırsatlar bulmaya çalışan doğrulayıcılar ve bilgisayar korsanları, kullanıcıları ekonomik sıkıntıya sokar. Ama bu yollar ne MEV'ler hacker'ın avantajına kullanılır mı?

Şimdi ayrıntılara girelim!

Ön koşu: Doğrulanması gereken tüm işlemler, doğrulayıcıların veya genelleştirilmiş öncülerin (botların) içinden geçtiği ve karlı işlemlerle gittiği mempool'da oturur. Kod blok zincirinde açık olduğundan, botlar kullanıcının yüksek gaz ücretli işlemlerini tespit eder, çoğaltır ve doğrulayıcıların karlı olanları bulmasına yardımcı olur. 

Bu şekilde, işlem emirleri bloklara tercihli olarak eklenmeleri için iletilir. 

Sandviç saldırısı: Burada, kripto para birimlerinin fiyatlarını manipüle etmek ve kullanıcılar pahasına bilgisayar korsanının avantajına ticaret yapmak için kullanıcının işleminin incelendiği kötü niyetli ön çalıştırma biçimi geliyor. 

Basitleştirmek için, DEX'ler, Uniswap ve Sushiswap arasında belirli bir kripto paranın fiyat farkını varsayalım. Kullanıcı bunu bulur ve varlığı Uniswap'tan daha düşük bir fiyata satın alıp Sushiswap'ta daha yüksek bir fiyata satarak kar etmeye çalışır. 

Bu şekilde, kripto para birimlerinin likiditesi, farklı merkezi olmayan borsalarda korunur. Ama sorun burada. Kullanıcı alış ve satış emirleri için işlemi başlattığında, onaylanması için mempool'da kalır. 

Bu arada, botlar kar elde etmek için bu potansiyel fırsatı tespit eder ve aynı işlemi yüksek bir gaz ücreti ile tekrarlar. 

Sonuç olarak, botun satın alma emri, token fiyatını pompalayarak kullanıcıdan önce gerçekleştirilir. 

Kullanıcının satın alma siparişi daha sonra işlenir ve kullanıcı jetonu yüksek bir fiyattan satın alır. 

Bot daha sonra, varlığın artan fiyattan satış emrini başlatır ve sonunda, kazanmayı amaçladığı paradan mahrum kalan kullanıcının bilgisi dahilinde sağlıklı karlar elde eder. 

MEV mağdurunun manipülasyon nedeniyle ödediği bedel, işlemi yaparken girdikleri “Slippage” miktarıdır. 

PS Kayma, ticaretin başlama ve gerçekleştirme zamanı arasındaki fiyat farkıdır. 

Bir kullanıcı, jetonları bir DEX'ten daha düşük bir fiyata satın alabilir ve jetonları değiştirerek tek bir işlemde yüksek fiyatlı bir DEX'te satabilir. 

DEX arbitrajı: DEX arbitrajı, kullanıcıların iki DEX arasındaki fiyat farklarından kar elde edebilecekleri en iyi bilinen MEV fırsatlarından biridir. 

Tasfiyeler: Borç verme protokolü tasfiyeleri, MEV'e tasfiye ücretinden kazanç sağlama fırsatı sunar. DeFi ödünç verme protokolleri, kullanıcıların teminat olarak bazı kripto para yatırmalarına ve karşılığında ihtiyaç duydukları kripto tokenlerini ödünç almalarına olanak tanır.

Kullanıcı ödünç alınan fonları geri ödeyemezse, protokol herkesin borçlu tarafından verilen ve bunun için yüklü bir tasfiye ücreti alınan teminatı tasfiye etmesine izin verir. Bu tasfiye ücreti tasfiye memuruna gider. 

Varlıkları tasfiye edilebilecek borçluları yakalayan ve tasfiye ücretinden kar elde eden MEV araştırmacıları tarafından kullanılır. 

MEV'in Aydınlık ve Karanlık Yüzü

MEV'in parlak yanı, ekonomik verimsizlikleri ortadan kaldıran çeşitli merkezi olmayan borsalarda tasfiye sürecini yumuşatmadaki rolünü tartışıyor.

Ayrıca, Flashbots gibi kuruluşlar, izinsiz ve şeffaf bir MEV ekosistemi oluşturmak için hizmet olarak önden çalışan ürünler sunar. 

Olumsuz tarafı, önden koşma ve sandviç saldırılar, kullanıcılar için daha pahalı gelir kaybına ve arbitraj fırsatlarının kaybedilmesine neden oluyor. MEV botları, yeni başlayan yatırımcıların güvenlik yönüne zarar veren DeFi protokollerine katılmasını zorlaştırıyor. 

Ayrıca, yüksek gaz ücretleriyle işlemleri çoğaltan genelleştirilmiş öncü botlar, ağ tıkanıklığı yaratır ve işlem ücretini artırarak kullanıcıyı etkiler.  

Son MEV Bot Hack Senaryosunu Çıkarma 

Saldırı Planı: MEV botu OxBAD, bir işlem gerçekleştirerek 150 dolardan yaklaşık 11 bin dolar kazandı. Kar elde etmek için token takasından kısa bir süre sonra, aşağıdaki işlemde MEV botunun bozuk kodundan yararlanıldı. https://t.co/FxXSY8AyhX, 1,101 ETH boşaltılıyor.

Hack'in Özelliklerine…

MEV botu, cUSDC'den diğer bazı stablecoin'lere 1.8 milyon dolarlık takas ticaretini önden yürütmede başarılı bir girişimde bulundu. Bu, kullanıcının karşılığında yalnızca 500 ABD doları değerinde varlıkla sonuçlandı.

Ancak bundan kısa bir süre sonra, Oxbad adlı MEV botu, bir sömürücü tarafından kandırılarak elde edilen karı kaybetmeye başladı. 

Saldırıya bakıldığında, istismarcı, 1,101 ETH kaybına yol açan keyfi harcamaları onaylamak için botun geri arama rutininden yararlandı. 

Yüksek Hack'ler

Eylül'22'de aynı zamanlarda sıradaki diğer istismarlar 

• Bir Ethereum makyaj adresi üreticisi olan Profanity aracında tespit edilen bir hata, çeşitli cüzdanlardan 3.3 milyon dolarlık fonun çekilmesine neden oldu.
• Bir hafta sonra, bir makyaj cüzdan adresi saldırıya uğradı ve yaklaşık 1 milyon dolar değerinde ETH olduğu tahmin edilen bir kayıp.

Güvenlik Uygulamasına Başlarken

Takip edilecek buzlar

Özel not havuzları: Genellikle işlemler, madencilerin/doğrulayıcıların bunları seçip bloklara eklemesi için herkese açık olarak yayınlandıkları mempool'da kalır. Özel mempool'larda, işlemler yalnızca havuza görünür ve diğer düğümlere gösterilmez, bu da MEV maliyeti olasılığını azaltır.

Örnek: Taichi Ağı, BloXroute.

Flash botlar: Flashbots, MEV-Geth aracılığıyla MEV çıkarımını demokratikleştirerek MEV çatışmalarını ele almak için çalışan bir araştırma kuruluşudur. MEV-Geth, botların ve madencilerin işlem emri tercihinde iletişim kurabileceği özel bir blok alanı açık artırma mekanizması sağlar. 

Bu, kullanıcılar için genel gaz maliyetini ve blok zincirini şişiren başarısız işlemleri azaltır. 

Kayma: Kullanıcılar işlemlere devam ederken minimum kayma değerini girebilir. Böylece fiyat farkının çok üzerine çıkması durumunda işlem otomatik olarak iptal edilir. Bu sayede kullanıcılar büyük kayıplardan kurtulabilmektedir.

Web3 Güvenliğinde QuillAudits

Web3 güvenliğini çökerten kod düzeyinden itibaren devam eden tehditler var. QuillAudits, Web3'teki saldırı vektörleri üzerinde kapsamlı araştırmalar yapar ve projelere ve kullanıcıların fonlarına koruma sağlayan hataları ayıklar. 

Tarafından sağlanan çeşitlendirilmiş güvenlik hizmetlerini tanıyın QuillDenetimleri ve kendinizi Web3 sorunlarından koruyun.

6 Görünümler