Посібник із MEV: критичні проблеми та найкращі методи безпеки

Час читання: 6 протокол

Отримання прибутку є кінцевою метою будь-якої роботи, яку виконує людина. У зв’язку з цим MEV, що розшифровується як Maximal Extractable Value, означає прибуток, який валідатор отримує від блокчейна з підтримкою смарт-контрактів за включення, виключення або зміну порядку транзакцій у блоках. 

Коротше кажучи, MEV являє собою міру прибутку, яку майнер/валідатор може отримати за перегляд транзакцій у мережі блокчейн. Детальніше про MEV – добре й погане, уявлення про захист коштів від хитрощів MEV – це основні моменти цього блогу. 

Що таке MEV? Як це працює?

Згідно з консенсусом підтвердження роботи, майнери відповідали за додавання транзакцій, які раніше називалися значенням, що видобувається Майнером. Але з Зрушення Ethereum до Proof-of-stake валідатори є тими, хто оцінює транзакції, які він отримав, змінюючи максимальну витягнуту вартість (MEV). 

Як правило, користувач платить комісію в блокчейні за переміщення транзакцій у блоці. Ця сума комісії є додатковою платою, яку користувач вважає за краще платити за те, щоб майнер вибирав свою транзакцію за пріоритетом. 

Ця сума MEV, яка є нічим іншим, як платою за газ, яку сплачує користувач, фільтрується валідаторами в порядку найбільшої суми, щоб зробити її більш вигідною для них. Боти використовуються для автоматизації процесу подання прибуткових транзакцій із високою комісією за газ, що стимулює валідаторів. 

Незважаючи на таку практику пріоритетності транзакцій на основі сплаченої комісії за газ, MEV також запроваджує кілька інших ефектів у блокчейні. Ми побачимо, як маніпулюють MEV, щоб отримати переваги в майбутньому проходженні.

Як тактично використовуються MEV?

Валідатори та хакери, які намагаються знайти можливості, використовуючи MEV, ставлять користувачів у економічну скруту. Але які це способи МЕВ використовуються на користь хакера?

Давайте зараз розберемося в деталях!

Передні: Усі транзакції, які потребують перевірки, зберігаються в mempool, де валідатори або узагальнені лідери (боти) проходять через них і здійснюють прибуткові операції. Оскільки код відкритий у блокчейні, боти виявляють транзакції користувача з високою комісією за газ, тиражують їх і допомагають валідаторам знайти прибуткові. 

Таким чином, замовлення транзакцій передаються для переважного додавання до блоків. 

Сендвічна атака: Тут з’являється зловмисна форма авангарду, коли транзакція користувача вивчається для маніпулювання цінами на криптовалюти та здійснення торгівлі на користь хакера за рахунок користувачів. 

Щоб спростити це, припустімо різницю в ціні певної криптовалюти між DEX, Uniswap і Sushiswap. Користувач знаходить це та намагається отримати прибуток, купуючи актив у Uniswap за нижчою ціною та продаючи його на Sushiswap за вищою ціною. 

Таким чином, ліквідність криптовалют підтримується на різних децентралізованих біржах. Але ось де проблема. Коли користувач ініціює транзакцію для ордерів на купівлю та продаж, він залишається в mempool для перевірки. 

Тим часом боти визначають цю потенційну можливість отримання прибутку та повторюють ту саму транзакцію з високою комісією за газ. 

В результаті ордер на покупку бота виконується раніше користувача, прокачуючи ціну токена. 

Після цього замовлення користувача на купівлю обробляється, і користувач купує токен за високою ціною. 

Потім бот ініціює замовлення на продаж активу за підвищеною ціною, отримуючи корисні прибутки з відома користувача, який в кінцевому підсумку позбавляється грошей, які він збирався заробити. 

Ціна, яку жертва MEV сплачує через маніпуляцію, — це сума «ковзання», яку вона ввела під час здійснення транзакції. 

PS Ковзання - це різниця в ціні між часом ініціації торгівлі та моментом виконання. 

Користувач може купити токени за нижчою ціною в одному DEX і продати їх на дорогому DEX за одну транзакцію, обмінявши токени. 

Арбітраж DEX: Арбітраж DEX — одна з найвідоміших можливостей MEV, за допомогою якої користувачі можуть отримувати прибуток від різниці цін між двома DEX. 

Ліквідації: Ліквідація протоколу кредитування надає MEV можливість отримати прибуток від ліквідаційної комісії. Протоколи кредитування DeFi дозволяють користувачам депонувати деякі криптовалюти як заставу, а натомість позичати потрібні криптотокени.

Якщо користувач не може повернути позичені кошти, протокол дозволяє будь-кому ліквідувати заставу, надану позичальником, за що стягується значна плата за ліквідацію. Ця ліквідаційна плата надходить ліквідатору. 

Він використовується пошукачами MEV, які вистежують позичальників, чиї активи можуть бути ліквідовані, і отримують прибуток від ліквідаційної комісії. 

Світла та темна сторони MEV

Світла сторона MEV аргументує його роль у згладжуванні процесу ліквідації на різних децентралізованих біржах, виключаючи економічну неефективність.

Більше того, такі організації, як Flashbots, надають продукти, які пропонують першочергові послуги для впровадження прозорої екосистеми MEV без дозволів. 

З іншого боку, атаки на передньому плані та сендвіч-атаки призводять до більшої втрати доходу та втрачають арбітражні можливості для користувачів. Боти MEV ускладнюють для новачків трейдерів участь у протоколах DeFi, що шкодить аспекту безпеки. 

Крім того, узагальнені боти-лідери, що відтворюють транзакції з високою комісією за газ, створюють перевантаження мережі та збільшують комісію за транзакції, що впливає на користувача.  

Вимальовування нещодавнього сценарію злому бота MEV 

Схема атаки: Бот MEV OxBAD заробив ~150 тис. дол. США з 11 дол. США, попередньо провівши транзакцію. Невдовзі після обміну токеном для отримання прибутку неправильний код бота MEV був використаний у наступній транзакції https://t.co/FxXSY8AyhX, зливаючи 1,101 ETH.

Специфіка злому…

Бот MEV здійснив успішну спробу передового обміну на суму 1.8 мільйона доларів від cUSDC на деякі інші стейблкоїни. Це призвело до того, що користувач отримав активи на суму лише 500 доларів США.

Однак незабаром після цього бот MEV на ім'я Oxbad був обманом від експлуататора, щоб втратити отриманий прибуток. 

Подивившись на злом, експлуататор використав процедуру зворотного виклику бота, щоб схвалити довільні витрати, що призвело до втрати 1,101 ETH. 

Високі хаки

Приблизно в той же час у вересні 22 року були й інші експлойти 

• Помилка, виявлена ​​в інструменті Profanity, генераторі марних адрес Ethereum, призвела до витоку 3.3 мільйона доларів з різних гаманців.
• Через тиждень адресу гаманця було зламано, в результаті чого втрати ETH склали близько 1 мільйона доларів.

Початок практики безпеки

лід слідувати

Приватні мемпули: Як правило, транзакції залишаються в мемпулі, де вони публічно транслюються, щоб майнери/валідатори вибирали та додавали їх до блоків. У приватних мемпулах транзакції видимі лише для пулу й не відображаються для інших вузлів, що зменшує ймовірність вартості MEV.

Приклад: Taichi Network, BloXroute.

Флеш-боти: Flashbots — дослідницька організація, яка працює над вирішенням конфліктів MEV шляхом демократизації вилучення MEV через MEV-Geth. MEV-Geth надає механізм аукціону приватного блокового простору, за допомогою якого боти та майнери можуть спілкуватися щодо налаштувань порядку транзакцій. 

Це зменшує загальну вартість газу для користувачів і невдалі транзакції, що роздувають блокчейн. 

Ковзання: Користувачі можуть вводити мінімальне значення ковзання під час здійснення транзакцій. Таким чином, якщо різниця в ціні перевищує надто велику, транзакція автоматично скасовується. Таким чином можна вберегти користувачів від великих збитків.

QuillAudits у системі безпеки Web3

Існують постійні загрози, починаючи з рівня коду, які руйнують безпеку Web3. QuillAudits проводить широке дослідження напрямків атак на Web3 і усуває помилки, забезпечуючи захист проектів і коштів користувачів. 

Ознайомтеся з різноманітними охоронними послугами, які надає QuillAudits і захистіть себе від неприємностей Web3.

6 думки