比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 狗狗幣 > Info

MEV機器人被攻擊損失146萬美元事件分析_MEV

Author:

Time:1900/1/1 0:00:00

MEV機器人(0xBAD…)被(0xB9F78...)攻擊,導致146萬美元的資產受到損失。

雖然合約無法被看到并被證實,但交易流程顯示,漏洞合約被(0xBAD…)批準轉移了1101枚ETH。

此前,該MEV機器人本身也剛剛完成了一筆交易,從僅僅11美元的USDT交易中獲利了15萬美元。

什么是MEV

MEV是 “礦工可提取價值(Miner Extractable Value)”或 “最大可提取價值(Maximal Extractable Value)”的縮寫。礦工,或者更準確地說是驗證者(現在以太坊已經轉為Proof of Stake),有能力在區塊內對交易進行排序。這種重新安排交易順序的能力意味著他們可以領先于用戶的交易。

最常見的MEV的形式之一被人們稱為三明治攻擊,即驗證者看到有人試圖購買某種資產,所以他們在原始交易之前就“插隊”進行自己的交易并購買資產,然后加價賣給原始購買者。

Cosmos生態MEV基礎設施提供商Skip Protocol推出Skip API:7月20日消息,Cosmos生態MEV基礎設施提供商Skip Protocol推出Skip API,允許在Cosmos中的任何網絡之間進行一鍵跨鏈代幣兌換和轉移,通過集成Skip API,任何錢包、前端或DApp都可以非常輕松地在IBC鏈之間無縫轉移流動性。[2023/7/20 11:06:44]

通過此行為,他們可從用戶身上榨取價值,而用戶往往并不知道他們沒有得到他們所期望的價格。因此此類MEV機器人可以多次重復交易從而獲得豐厚的利潤。

這里有個很簡單的例子或許可以幫你直接理解:如果一個代幣的價格是1美元,你買了價值100萬美元的代幣,你自然會期待得到100萬個代幣(先忽略其他費用)。

但是,如果一個MEV機器人在一個未確認的區塊中發現了你的交易,它將在你之前以1美元的價格購買N量的代幣。在你的交易執行之前,價格可能會增加到2美元甚至更高,所以你最終只收到50萬個代幣。你的這筆交易也將代幣價格提升到了3美元。隨后,MEV機器人將以現在的高價出售它所在你之前就購買的代幣。

以太坊鏈上MEV bot遭受攻擊,攻擊者已盜取約115ETH:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,以太坊鏈上MEV bot 遭受攻擊,攻擊者(0x9e189A200E7e6b72a8fA9cCFbA8C800B01Bff520)使用同DubaiCEO代幣相同的合約,該合約存在refund和burnFromAddresses后門函數,其攻擊者通過銷毀MEV bot的token,使MEVbot只能買入而無法賣出。目前,攻擊者(0x9e189A200E7e6b72a8fA9cCFbA8C800B01Bff520)利用后門已盜取MEVbot約115ETH(價值22.5W美元)[2023/7/4 22:17:13]

事件總結

2022年9月27日,MEV機器人(0xBAD..)被攻擊利用,造成了1,463,112.71美元的資產損失。

BNB Chain驗證者和項目正討論將MEV集成到BSC網絡中:6月16日消息,BNB Chain在推特上表示,BNB Chain驗證者和項目正在討論將MEV集成到BSC網絡中,一些驗證者以各種格式試行MEV。社區編寫了一套相關的指導方針,有待討論,正在收集反饋。

根據該指導方針,”BSC MEV執行原則“提出并闡明了一套原則和指南,用于在BNB Smart Chain(BSC)網絡中進行最大可提取價值(MEV)操作,旨在確保此類操作不會損害用戶體驗或操縱用戶以獲取價值,處理交易優先級等具體做法強調用戶與BNB生態系統之間公平與效率之間所需的平衡。[2023/6/16 21:42:05]

MEV機器人的所有者給攻擊者發了一條信息,“祝賀”他們發現了 “難以發現”的漏洞,并為他們提供了20%的賞金以換取暫時不采取法律行動的”承諾“。該”承諾“的最后生效期限是北京時間2022年9月29日早7點59分。

Tether 已將與此前攻擊 MEV 事件相關地址列入黑名單:金色財經報道,Tether 已將與此前攻擊 MEV 事件相關地址(0x3c98)列入黑名單,該地址持有 300 萬枚 USDT。

此前報道,數個頂級的 MEV 機器人遭到黑客攻擊,黑客將 MEV 機器人的交易包拆解后將部分交易替換從而盜走了 MEV 機器人的資金,損失約 2500 萬美元,被分別存放在 0x3c98、0x5b04 和 0x27bf 開頭的地址中。[2023/4/11 13:56:52]

在MEV機器人被利用之前,它已經預先運行了一筆交易,該交易從僅僅11美元的USDT中獲利了15萬美元。該交易是一個180萬美元的系列兌換,從cUSD 兌換成WETH再到USDC。由于交易過程中的價格下跌,180萬美元的SWAP只換來了約500美元的USDC。

dYdX:將分配資源用于構建針對v4版本的MEV解決方案:金色財經報道,dYdX官方發文討論了v4版本及MEV相關問題。文章指出,dYdX v4版本的完全去中心化和高性能的內存訂單簿可能會導致MEV問題。不過,與用智能合約環境不同,Cosmos基礎設施使得dYdX能夠構建獨特的MEV解決方案,使驗證者的激勵與用戶的激勵保持一致。dYdX正在積極致力于研究和構建這些解決方案,并計劃為此分配大量資源。[2023/3/30 13:34:16]

在MEV機器人漏洞被公開后,錢包所有者給MEV漏洞利用者發了消息。除了請求歸還資金以及提供“漏洞發現的獎勵”,還解釋說他們錯誤地觸發了SWAP。而真正的目的其實是為了分裝他們的代幣。

 

攻擊流程

MEV機器人的代碼不是開源的,因此我們很難看到這個漏洞到底是如何被利用的。但是CertiK的安全專家還是確定了以下一些細節:

① 漏洞利用者的EOA(外部擁有的地址)在漏洞合約上調用了contract.exexute

② 漏洞合約調用dydx.SoloMargin.operate,params actionType = 8,對應ICallee(args.callee).callFunction()

③ dydx.SoloMargin.operate觸發 delegateCall dydx.OperationImpl.operate。

④ delegateCall是MEVBot.callFunction(byte4),byte4是WETH9.approval(exploit contract,wad)。攻擊合約獲得批準,1101枚ETH被發送到了漏洞利用者的錢包。

鏈上活動

首先,有180萬美元被換成了大約500美元的穩定幣。

其次在這筆交易中,我們可以看到0x430a向Uniswap發送了180萬美元的cUSDC,并收到528美元的穩定幣作為回報。

MEV機器人(0xBAD…)在下圖的交易中賺取了1101枚ETH。

就在幾個小時后,我們看到一筆價值1,463,112.71美元的WETH交易通過一個未知的函數被發送到0xB9F7,這就是被攻擊利用的那筆交易。

隨后,盡管MEV機器人所有者向該事件的“始作俑者”發出信息,要求歸還他們資金,但這次似乎不像其他的攻擊,社群未對被攻擊者有憐憫之心。

MEV在那些不怎么使用它的人群中是非常不受歡迎的,因為以太坊的高額費用和擁堵問題,加上DeFi生態系統十分活躍,讓MEV機器人有了很多坐收漁利的可乘之機。許多用戶在交易過程中都不可避免地要經歷被MEV機器人套取價值,因此很多用戶都在交易中為攻擊發起者拍手稱快以表達自己的不滿。

當然也有一些人則趁機要求分一杯羹。

寫在最后

攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于金色財經及官方公眾號發布與項目預警(攻擊、欺詐、跑路等)相關的信息。請大家持續關注!

CertiK中文社區

企業專欄

閱讀更多

財經法學

成都鏈安

金色早8點

Bress

鏈捕手

PANews

Odaily星球日報

Tags:MEVETHDYDXUSDMEVFREEEETH價格dydx幣最新價格CUSD價格

狗狗幣
以太坊合并后展望與機構DeFi的未來_以太坊

機構 DeFi 的機會是巨大的,Merge 會幫助市場變得成熟,為投資者在高風險領域追逐收益創造機會.

1900/1/1 0:00:00
解讀:白宮的加密行業報告_BDC

本文原發表于Coindesk,作者Nikhilesh De,編譯Derrick Chen為回復總統拜登的行政命令,白宮發布了一系列有關加密行業的報告,由不同部門編輯.

1900/1/1 0:00:00
金色Web3.0日報 | OpenSea與華納音樂集團達成合作_區塊鏈

1.DeFi代幣總市值:448.63億美元 DeFi總市值 數據來源:coingecko2.過去24小時去中心化交易所的交易量30.

1900/1/1 0:00:00
時代又不打招呼了 已經有多少人在偷偷使用Web3?_WEB

去年以來,「Web3」開始不斷出現在越來越多人的視野中,人人都在談論 Web3,然而似乎仍有大多數人不知道 Web3 究竟是什么,也沒有人能夠說清 Web3 現在到底有多少用戶.

1900/1/1 0:00:00
晚間必讀 | 詳解全球 Top10 加密風投機構_SDT

NFT是一種投資還是一種數字收藏品——對于那些活躍在行業的人來說,這是我最喜歡的問題之一。建設者傾向于“不是投資”,因為,美國SEC主席Gary Gensler正在看著你.

1900/1/1 0:00:00
Dfinity基金會創始人Dominic Williams:首個真正的世界計算機 互聯網計算機區塊鏈_FIN

9月20日,由萬向區塊鏈實驗室主辦的第八屆區塊鏈全球峰會在上海舉行。Dfinity基金會創始人兼首席科學家Dominic Williams發表主題為《首個真正的世界計算機-互聯網計算機區塊鏈》的.

1900/1/1 0:00:00
ads