安全最大化:如何應對DeFi中的MEV攻擊

2024-07-18 16:07:02

本文 Hash(SHA 1):b366289db9b21c3e9b6668c274e4a179be57a463

編號:鏈源 Security Knowledge No.008

在過去幾年中,區塊鏈經濟經歷了指數級的增長,尤其是 2022 年 DeFi 生態系統的鎖定價值達到峯值 3000 億美元。Web3發展到現在也已經出現了形形色色的攻擊方法和邏輯安全漏洞,從 2017 年开始,最大可提取值(MEV)就常年佔據 ETH 鏈損失金額的攻擊方法前列。鏈源安全團隊對 MEV 的基本原理和防護手法做了相關的分析和梳理,希望能夠幫助讀者提高保護自身資產安全的能力。

MEV 基本原理

MEV,全稱 Maximum Extractable Value(最大可提取價值),在以太坊的 POW 時代又被稱為 Miner Extractable Value(礦工可提取價值),在大量的區塊鏈轉為 POS 之後更名為最大可提取價值,因為區塊生產者不再是唯一決定交易排序的角色(目前有這兩種權限的角色是礦工和驗證者,之前只有礦工)。

MEV 是指驗證者或排序器等參與者,通過在他們生產的區塊內,對交易進行選擇性操作(包含交易、排序交易、重排序交易)所獲得的利潤的度量。

·驗證者:負責驗證交易和生產區塊的參與者;

·排序器:負責決定交易順序的參與者;

·包含交易:選擇哪些交易會被包含在區塊中;

·排除交易:選擇哪些交易不會被包含在區塊中;

·重排序交易:決定交易在區塊中的順序;

當前使用 MEV 的黑客主要針對的是那些獲得了空投快照資格、質押代幣即將解除鎖定的錢包地址,黑客發起這類攻擊的前提是需要拿到錢包私鑰,然後开啓動態 Gas 監控,等待用戶的代幣或者 Gas 費到账後在同一區塊或者相鄰區塊內發送一筆提取的交易,也就是搶跑交易,這類作為監控的機器人我們稱之為 Sweeper 機器人。

防護手法(以 ETH 為例)

首先這類防護有兩種思路,由於是要和黑客競爭搶跑的速度,所以說第一種就是提高 Gas price 和交易排序的 Nonce。

因為以太坊的交易手續費=Gas (數量) * Gas Price (單價),每個以太坊區塊的 Gas Limit 容量是固定的,那么誰的 Gas Price 更高,誰的交易就優先被打包進區塊確認,另外就是以太坊中的 nonce 代表着交易次數,這個概念要結合以太坊本身是基於账戶的,所以每一個不同的账戶維護着它們各自的 nonce,而以太坊每個账戶的每筆交易都會有一個唯一的 nonce,這既可以防止重放攻擊(同一個交易被多次處理),又可以讓 EVM 虛擬機來明確交易的順序(比如說某筆交易的 nonce 是 5 ,那么在這筆交易被處理之前,账戶中 nonce 為 4 的交易必須已被處理)

第二種思路就是連接確認速度更快,交易混淆度更高的節點

而更換連接節點的話在這裏首先推薦的是 TAICHI 網絡節點,這個網絡是基於 ETH、Solana 等區塊鏈的隱私安全解決方案,它通過引入一系列中繼節點來實現交易的混淆和隱私保護,這些節點負責接收用戶的交易請求,並將之與其他交易混合,以隱藏交易的來源和目的。

·中繼節點:這些節點是 TAICHI 網絡的核心,它們負責接收、混合和轉發交易;

·交易混合:通過將多個交易混合在一起,中繼節點能夠有效地隱藏單個交易的來源和目的;

·隱私保護:這種方法能夠有效地防止鏈上數據分析和跟蹤,保護用戶的隱私;

Sweeper 的工作方式就是監控公共內存池中的交易記錄來實現搶先交易,但是 TAICHI 節點允許我們將籤名的交易直接提交給礦工,而無需通過公共內存池進行廣播,這意味着 Sweeper 很大概率是監控不到的,也就有了搶跑 Sweeper 的可能性(公共內存池指的是那些已經廣播但尚未被打包進區塊的交易的集合)。

第二個推薦的節點就是 FlashProtect,FlashProtect 是 FlashBots 組織提供的以太坊系統中 MEV 問題的解決方案,它的工作原理是將用戶的交易打包後通過 Flashbots 直接發送給礦工,而不是通過公共內存池,來防止惡意礦工和機器人在公共內存池中發現和利用這些交易來使用 MEV 提取資金,它的缺點是交易速度很慢,因為使用的是 Flashbots 內存池,其中的驗證者比公共內存池少得多。

結語

總的來說各類防護手法也是為了維護去中心化交易的排序過程,確保智能合約以公平的方式處理交易,但最根本的解決方法一定是要在礦工和驗證者角度來作出調整。

鏈源科技是一家專注於區塊鏈安全的公司。我們的核心工作包括區塊鏈安全研究、鏈上數據分析,以及資產和合約漏洞救援,已成功為個人和機構追回多起被盜數字資產。同時,我們致力於為行業機構提供項目安全分析報告、鏈上溯源和技術咨詢/支撐服務。

感謝各位的閱讀,我們會持續專注和分享區塊鏈安全內容。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

AI Agent 2024年回顧展望:我們從哪兒來,又將到哪兒去?

0x Jeff @web3_golem 2024 年 AI Agent 發展回顧 2024 年對於...

星球日報
3 1小時前

起底OKX客服部:平均3分鐘回復、100%反饋率、變被動為主動

Star 鮮少出席线下活動,卻以开放的姿態活躍於 X 平臺。他的推特傾向於親自回復用戶疑問和跟進用...

星球日報
2 1小時前

如何理解近期下跌走勢:第一波“特朗普震撼”來襲

作者 : @Web3_Mario 摘要 :上周加密貨幣市場經受了較大的回撤,市場上普遍歸因為美聯儲...

馬裏奧看Web3
2 1小時前

一文盤點 2025 年七大 DeFi 質押平臺:如何最大化 DeFi 質押收益?

撰文:Siddhant Kejriwal 編譯:Glendon,Techub News 加密貨幣行...

TechubNews
2 1小時前

特朗普也被“割”?旗下加密項目浮虧超百萬美元

聖誕節前後,加密市場似乎也隨着節日的到來進入休整。 自上周鮑威爾一句話帶崩加密市場後,整體市場下挫...

陀螺財經
2 1小時前

Blockworks Mippo:關於2025年的27個加密猜想

原文來源: @Mippo 編譯: Odaily星球日報( @OdailyChina ) 譯者:We...

星球日報
2 1小時前