以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

USH:夾子被夾子夾了,解析 MEV 機器人如何淪為黑客提款機

Author:

Time:1900/1/1 0:00:00

作者:秦曉峰,ODAILY星球日報

今天下午,加密用戶?3155.eth?發文稱,一些頂級?MEV?機器人正成為黑客的攻擊目標,其「三明治攻擊」中的交易模塊被替換,目前已造成超過2000萬美元的損失,這可能成為整個?MEV?生態系統的主要轉折點。

Odaily星球日報查詢發現,黑客攻擊發生在約10小時前,黑客使用了八個錢包地址,對五個MEV機器人實施攻擊,分別是:

根據鏈上分析機構?Lookonchain?統計,目前總損失約2520萬美元,主要涉及五大幣種,具體如下:?7461?個WETH、?530萬美元?USDC、?300萬美元?USDT、?65個WBTC以及170萬美元DAI。

約2.3億枚USDC從USDC國庫轉移到未知錢包:金色財經報道,據WhaleAlert監測,229,999,995USDC(229,999,995美元)從USDC國庫轉移到未知錢包。[2023/5/19 15:12:34]

在了解本次攻擊前,我們首先需要知道什么是MEV以及MEV是如何實現三明治攻擊的?

所謂MEV是“礦工可提取價值”或“最大可提取價值”的縮寫。礦工或者驗證者,有能力在區塊內對交易進行排序,從而使得部分交易可以搶先交易。通常的做法是,一些MEV機器人會支付高昂的GAS費用從而獲得驗證者優先排序處理交易,通過價差獲利;當然,也會有驗證者直接下場,沒有支付高昂GAS費用但優先打包自己的交易。

Zcash推出V5.5.0版本,引入按比例收費機制:4月28日消息,據官方博客。加密隱私貨幣協議Zcash推出V5.5.0版本,該版本進行了多個漏洞修復,并引入按比例收費機制,可能有助于解決未來區塊鏈上高交易負載的問題。此外,該版本為下一版本的資金可用性功能奠定了基礎。[2023/4/28 14:32:16]

良性的MEV形式是套利、清算,而被?DeFi?玩家詬病的則是「三明治攻擊」,即在原始交易之前就“插隊”進行自己的交易購買資產,然后加價賣給原始購買者。通常而言,bundle可以拆分為三筆交易:?1?)大量買入,?2?)被夾用戶的交易;3?)大量賣出。

知情人士:亞馬遜將于4月24日上線NFT平臺:金色財經報道,亞馬遜將于4月24日上線NFT平臺,計劃通過“Amazon Digital Marketplace”選項卡在亞馬遜網站上提供,且最初僅在美國可用,將逐步向包括歐洲在內的世界其他地區開放。

此前報道,消息人士表示亞馬遜正在推出一家數字資產企業,預計將在春季推出NFT計劃,重點是基于區塊鏈的游戲和相關NFT應用程序,可能的用例包括讓亞馬遜的客戶玩加密游戲,并在這個過程中獲得免費的NFT。[2023/3/7 12:45:44]

安全公司Certik告訴Odaily星球日報,本次黑客攻擊之所以能夠成功,在于黑客自己成為驗證器,可以看到MEV機器人的bundle原始信息,從而將第二步替換了成自己的交易,用便宜的Token換走了MEV機器人的資金。

Sushi DAO社區新提案提議通過重組法人實體來改革法律結構以降低監管風險:10月10日消息,Sushi DAO正在考慮改革其法律結構以降低監管風險,或將DAO分成三個位于巴拿馬和開曼群島的法人實體。Sushi已聘請法律顧問就Sushi法律結構的規劃和執行提供建議,律師事務所Fenwick & West LLP于9月22日在SushiSwap治理論壇發布了該提案。

根據該提案,其中一個實體為開曼群島基金會(DAO基金會),將管理SushiDAO IRL;DAO基金會將有一個治理委員會,可以靈活地管理Sushi鏈上治理過程并促進鏈下活動。另一個實體巴拿馬基金會將管理現有的Sushi協議,包括與AMM/訂單簿、Kashi和質押相關的智能合約。第三個實體巴拿馬公司將運營協議的GUI層,即巴拿馬公司將成為巴拿馬基金會的全資子公司,并將與服務提供商簽訂服務協議,以協助開發和維護協議的GUI層。(CoinDesk)[2022/10/10 12:51:56]

“為了挖掘交易,驗證者需要訪問某些特定信息,就像在公共mempool一樣,惡意驗證者可以獲取bundle的信息。通常情況下,flashbot驗證者都是可靠的,并且通過了驗證,以增加可信數據來源。但在本次事件中,惡意驗證器獲取了必要信息,從而可以領先于MEV機器人進行行動。”

Odaily星球日報查詢鏈上數據發現,以太坊區塊16964664屬于Slot6137846?,由驗證器552061提議,該驗證器的32ETH資金是黑客在18天通過隱私保護協議AztecNetwork進行轉賬,匯入?0x?873?f?73開頭的地址,如下所示:

在完成了前期準備之后,攻擊者會試探MEV機器人是否會搶跑交易。例如下圖中,我們可以看到攻擊者通過0.04WETH試探MEV機器人,勾引MEV機器人進行搶跑套利;發現?Uniswap??V2的ETH/Threshold池中確實有MEV機器人進行監控,并且還會使用其所有的資金進行套利。在此期間,黑客也一直在試探MEV是否使用自己的驗證器進行出塊。

試探成功后,黑客會使用預先在UniswapV3中兌換出來的大量代幣,在低流動性的V2池內進行兌換操作,勾引MEV使用全部的WETH進行搶跑購買不值錢的Threshold代幣;再用Threshold代幣換走MEV機器人投入的所有WETH。由于MEV進行搶跑的WETH已經被攻擊交易兌換出來,所以MEV機器人想要重新換回WETH的操作會執行失敗。

除了上面提到的?Threshold代幣,黑客還還操縱其他七個地址對?UniswapV2池中的AAVE、STG、SHIB、CRV、BIT、UNI以及MKR等七個代幣進行價格操縱,實現獲利,如下所示:

安全公司Beosin認為,黑客能夠成功的原因主要有三個:一是MEV每次在低流動性池中套利會使用自身所有的資金,沒有風險控制;二是V2池流動性不高,并被黑客操縱;三是具有驗證節點權限,可以修改bundle。

本次攻擊事件,也給MEV搜尋者提了個醒,為了避免「三明治攻擊」,需要及時調整交易策略,并選擇一些有驗證歷史記錄的“靠譜”驗證者。目前相關資金已經匯聚到下面三個地址中,等待下一步行動,Odaily星球日報也將持續關注后續動向:

0x3c98d617db017f51c6a73a13e80e1fe14cd1d8eb;

0x5B04db6Dd290F680Ae15D1107FCC06A4763905b6;

0x27bf8f099Ad1eBb2307DF1A7973026565f9C8f69。

?

Tags:MEVSHIETHUSHGameVerseALL BEST ICO SATOSHIethical詞根makerdao創始人mushgain

中幣下載
AIN:ChainCatcher “Zhen” 系列活動第一期圓滿舉辦,華人 builder 齊聚探討 Web3 新審美觀

4月10日,由ChainCatcher主辦的“Zhen”系列活動第一期在香港成功舉行,首期主題為「“華人builder”的新審美觀」.

1900/1/1 0:00:00
INTER:做市還是做莊?一文解析做市商(MM)的具體機制以及潛在風險

文章來源:https://twitter.com/thiccythot_/status/1643753971172151298?s=20 作者:Alex 編譯:深潮TechFlow當今的數字資產.

1900/1/1 0:00:00
IMI:未來 Zk Rollup 將會與 Op Rollup 形成怎樣的競爭格局??

撰文:雨中狂睡 在OptimisticRollup起勢之后,ZkRollup正在迎來屬于它的春天.

1900/1/1 0:00:00
NLA:以太坊再質押協議 EigenLayer 在以太坊 Goerli 網絡發布第一階段測試網,目前僅支持流動性重質押和原生重質押

以太坊再質押協議EigenLayer在以太坊Goerli網絡上發布EigenLayer協議第一階段測試網,目前僅支持流動性重質押和原生重質押.

1900/1/1 0:00:00
ACI:LSDFi 協議 0xAcid 的 90% APR 是真實收益嗎?

作者:CabinCrew,CabinVC以太坊上海升級完成后,ETH的質押收益率可以看作是以太坊的無風險國債利率,基于這一利率衍生出了多種LSDFi協議,在近期都獲得了大量的曝光.

1900/1/1 0:00:00
ROL:一文詳解模塊化公鏈及市場競爭格局

原文《模塊化執行層能的通用之路》作者:KyleLiu,BingVentures投資經理 主旨概要: 模塊化公鏈執行層類項目之間存在一定程度的競爭和合作,因為它們都面臨著共同的挑戰和機遇.

1900/1/1 0:00:00
ads