北京时间4月3日,MEV机器人在以太坊的16964664区块被黑客利用。一名恶意验证者替换了数笔MEV交易,导致约2538万美元损失。
MEV机器人会不断追踪用户在mempool (内存池)中的交易,以寻找套利机会。它们经常进行所谓的“三明治攻击”,即在用户交易的前后分别放置一笔交易,将其“夹在中间”。三明治攻击类似于frontrun(抢先交易),用户可以通过预测下一轮交易进行获利,但不同之处在于,三明治攻击会在用户交易后发起第二笔交易。
攻击流程:
许多MEV机器人正在16964664区块进行三明治交易。在以太坊区块16964664中,有8个MEV交易某恶意验证者利用。
MEV项目ROOK拟将5000万美元平分给技术开发者和运营实体Incubator DAO:4月11日消息,MEV项目ROOK的开发实体Rook Labs发起一项社区提案投票,计划将近5000万美元的金库资产分成两半,分别分配给Rook技术的主要建设者和一个名为Incubator DAO的新社区运营实体。其中Incubator DAO将取代原先的去中心化运营实体Rook DAO,将完全独立于Rook,可决定如何使用近2500万美元资金。[2023/4/11 13:55:57]
该漏洞主要是由于验证者权力过于集中。MEV执行了一个三明治式攻击,他们抢先交易(front-run)然后进行尾随交易(back-run)以获利。恶意验证者front-run了MEVs back-run的交易。
P2P Validator捕获的689枚ETHMEV奖励已进入Lido奖励金库:4月10日消息,北京时间4月9日10:35,以太坊质押协议Lido在Epoch193,186捕获了689.02枚ETH的MEV奖励,这些MEV奖励可能与最近的Sushi Swap漏洞有关。质押解决方案技术开发商P2P Validator发推表示,MEV奖励已进入了Lido Rewards Vault,将与Lido和Sushi沟通探索解决方案。[2023/4/10 13:54:28]
我们以STG-WETH对https://etherscan.io/address/0x410fb10ba8af78a1e191fe3067208d3212ded961... 为例。合约0xe73F15想拉高交易对中的STG价格。每次试图拉高价格时,MEV机器人就会front-run 和 back-run以获取WETH利润。
王纯:对于MEV可能存在的问题可通过代码的方式来应对:F2Pool联合创始人、stakefish创始人王纯在DeFi Discussions线上峰会探讨MEV(矿工可提取价值)话题时指出,以代码即法律的观点来讲,就要看代码是否允许提前交易重拍交易等矿工获取MEV的行为。这有些像探讨51%攻击一样,它是比特币的特点而不是bug。在2016年的The DAO事件时有许多关于分叉的争议,当时F2Pool可能是唯一不支持任何人为因素致使分叉的主流矿池,因为我们相信“代码即法律”。我们可能并不应该去限制自己这样的能力,而是在如果获取MEV成为问题或者对网络造成威胁,我们可以考虑创建一个API让每个人都能做到提前交易或者重排交易,依次来应对这个问题。这类似于Push Tx或者交易加速这种功能,目前已经有参与者询问我们是否可以提供在以太坊上类似的服务,我们可以看看这类服务如何影响网络。[2020/5/4]
在一次MEV三明治攻击中,MEV调用swap函数换取STG代币后,恶意验证者利用抢先交易(front-run)替换了尾随交易(back-run)。结果导致2,454 WETH通过0xe73F15合约被转移至https://etherscan.io/address/0x84cb986d0427e48a2a72be89d78f438b3a3c58d1。
总共有大约2500万美元被盗,这也是我们迄今为止所见过的最大的MEV Bot漏洞损失之一。
本次MEV攻击事件的核心原因是拿到了bundle的原始信息,对交易进行了替换。但是MEV机器人的代码并不是开源的。验证者一般需要访问某些特定信息来挖掘交易,而恶意验证者其实可以从中诸如公共内存池(mempool)中获取bundle的信息。flashbot验证者通常比较可靠,因为他们都要通过MevHUB的KYC验证,以保证数据来源安全可信。在这种情况下,因为验证者掌握了信息,所以能先于mevsearcher或mevbot发起抢先交易。需要注意的是,该情况仅限于non-atomical 攻击或策略(如三明治攻击),因为恶意验证者无法从发送者身上套利,而只能从策略中获利(如清算)。
此事件也可能成为MEV生态系统的转折点:日后MEV搜寻者(Searchers)可能会对 non-atomical 策略(如三明治攻击)提高警惕。Flashbot团队或将可能更倾向于使用一些有验证历史记录的“靠谱”验证者。
CertiK中文社区
企业专栏
阅读更多
金色财经 善欧巴
金色早8点
白话区块链
欧科云链
Odaily星球日报
Arcane Labs
MarsBit
深潮TechFlow
BTCStudy
链得得
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。