链资讯 链资讯
Ctrl+D收藏链资讯
首页 > TUSD > 正文

OLE:MEV机器人被攻击损失146万美元事件分析_CAL

作者:

时间:

MEV机器人(0xBAD…)被(0xB9F78...)攻击,导致146万美元的资产受到损失。

虽然合约无法被看到并被证实,但交易流程显示,漏洞合约被(0xBAD…)批准转移了1101枚ETH。

此前,该MEV机器人本身也刚刚完成了一笔交易,从仅仅11美元的USDT交易中获利了15万美元。

什么是MEV

MEV是 “矿工可提取价值(Miner Extractable Value)”或 “最大可提取价值(Maximal Extractable Value)”的缩写。矿工,或者更准确地说是验证者(现在以太坊已经转为Proof of Stake),有能力在区块内对交易进行排序。这种重新安排交易顺序的能力意味着他们可以领先于用户的交易。

最常见的MEV的形式之一被人们称为三明治攻击,即验证者看到有人试图购买某种资产,所以他们在原始交易之前就“插队”进行自己的交易并购买资产,然后加价卖给原始购买者。

以太坊客户端Prysm发布v4.0.2版本,修复与mev-boost交互时的严重漏洞:4月13日消息,据官方推特,以太坊客户端Prysm已发布v4.0.2版本,该版本包括修复验证器与mev-boost交互时的严重漏洞。如果用户正在运行mev-boost,则必须升级。V4.0.2还包含其他杂项优化和修复。[2023/4/13 14:01:11]

通过此行为,他们可从用户身上榨取价值,而用户往往并不知道他们没有得到他们所期望的价格。因此此类MEV机器人可以多次重复交易从而获得丰厚的利润。

这里有个很简单的例子或许可以帮你直接理解:如果一个代币的价格是1美元,你买了价值100万美元的代币,你自然会期待得到100万个代币(先忽略其他费用)。

但是,如果一个MEV机器人在一个未确认的区块中发现了你的交易,它将在你之前以1美元的价格购买N量的代币。在你的交易执行之前,价格可能会增加到2美元甚至更高,所以你最终只收到50万个代币。你的这笔交易也将代币价格提升到了3美元。随后,MEV机器人将以现在的高价出售它所在你之前就购买的代币。

BIS报告:MEV对新DeFi应用构成威胁,未来还可能加剧:6月17日消息,根据国际清算银行(BIS)一份关注加密挖矿行业常见不当行为的新报告,自2020年以来,以太坊区块链上的矿工已经从其他投资者那里“提取”了约6亿美元。该报告得出了三个关键结论:

1. 基于以太坊的DeFi协议和ETH“依赖于验证器或‘矿工’作为中介来验证交易和更新分类账。

2. MEV类似于传统市场中券商的抢先交易,但与这种做法不同,它本身并不违法。

3. MEV是伪匿名区块链的一个内在缺陷,因此没有简单的方法来摆脱它。根据BIS的说法,这对一系列新的DeFi应用构成了威胁,并可能在未来加剧,使其不可避免。

尽管如此,该报告也推荐了一种解决MEV的方法,即基于身份公开的可信中介网络的许可分布式账本技术,但这也意味着放弃区块链匿名的核心价值。(Cointelegraph)[2022/6/17 4:35:53]

事件总结

BSC和Animoca Brands为加密游戏初创公司推出2亿美元基金GameVest:12月3日消息,Binance Smart Chain和Animoca Brands合作推出了2亿美元的基金GameVest,以加速和孵化早期的加密游戏初创公司。目标是显著增加区块链技术的主流采用。(VentureBeat)[2021/12/3 12:47:31]

2022年9月27日,MEV机器人(0xBAD..)被攻击利用,造成了1,463,112.71美元的资产损失。

MEV机器人的所有者给攻击者发了一条信息,“祝贺”他们发现了 “难以发现”的漏洞,并为他们提供了20%的赏金以换取暂时不采取法律行动的”承诺“。该”承诺“的最后生效期限是北京时间2022年9月29日早7点59分。

F2Pool鱼池ETH挖矿支付已包含Flashbots MEV收入:官方消息,F2Pool鱼池近期完成了Flashbots的技术测试与部署,并已于4月14日开始将Flashbots产生的MEV(矿工可提取价值)收入添加至ETH挖矿收入支付中。[2021/4/20 20:39:36]

在MEV机器人被利用之前,它已经预先运行了一笔交易,该交易从仅仅11美元的USDT中获利了15万美元。该交易是一个180万美元的系列兑换,从cUSD 兑换成WETH再到USDC。由于交易过程中的价格下跌,180万美元的SWAP只换来了约500美元的USDC。

在MEV机器人漏洞被公开后,钱包所有者给MEV漏洞利用者发了消息。除了请求归还资金以及提供“漏洞发现的奖励”,还解释说他们错误地触发了SWAP。而真正的目的其实是为了分装他们的代币。

Bitfly:将为矿工分配80%MEV收入作为EIP-1559补偿:3月18日,Ethermine矿池母公司Bitfly官方宣布,为补偿由于即将到来的EIP-1559而导致的挖矿奖励减少,已启动Ethermine MEV测试计划。根据该计划,MEV收入的80%将与挖矿区块奖励一起分配,5%将通过gitcoin资助用于支持生态系统发展,剩余资金将用于进一步扩展MEV策略。官方表示,预计矿工挖矿奖励将增加1-10%。

与此同时,Bitfly声明称,反对EIP-1559是出于安全考虑。这些安全担忧可以通过EIP-3368得到缓解。无论EIP-1559和EIP-3368结果如何,Bitfly永远不会支持或参与矿工对以太坊网络的任何敌对行动。[2021/3/18 18:55:24]

 

攻击流程

MEV机器人的代码不是开源的,因此我们很难看到这个漏洞到底是如何被利用的。但是CertiK的安全专家还是确定了以下一些细节:

① 漏洞利用者的EOA(外部拥有的地址)在漏洞合约上调用了contract.exexute

② 漏洞合约调用dydx.SoloMargin.operate,params actionType = 8,对应ICallee(args.callee).callFunction()

③ dydx.SoloMargin.operate触发 delegateCall dydx.OperationImpl.operate。

④ delegateCall是MEVBot.callFunction(byte4),byte4是WETH9.approval(exploit contract,wad)。攻击合约获得批准,1101枚ETH被发送到了漏洞利用者的钱包。

链上活动

首先,有180万美元被换成了大约500美元的稳定币。

其次在这笔交易中,我们可以看到0x430a向Uniswap发送了180万美元的cUSDC,并收到528美元的稳定币作为回报。

MEV机器人(0xBAD…)在下图的交易中赚取了1101枚ETH。

就在几个小时后,我们看到一笔价值1,463,112.71美元的WETH交易通过一个未知的函数被发送到0xB9F7,这就是被攻击利用的那笔交易。

随后,尽管MEV机器人所有者向该事件的“始作俑者”发出信息,要求归还他们资金,但这次似乎不像其他的攻击,社群未对被攻击者有怜悯之心。

MEV在那些不怎么使用它的人群中是非常不受欢迎的,因为以太坊的高额费用和拥堵问题,加上DeFi生态系统十分活跃,让MEV机器人有了很多坐收渔利的可乘之机。许多用户在交易过程中都不可避免地要经历被MEV机器人套取价值,因此很多用户都在交易中为攻击发起者拍手称快以表达自己的不满。

当然也有一些人则趁机要求分一杯羹。

写在最后

攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于金色财经及官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。请大家持续关注!

CertiK中文社区

企业专栏

阅读更多

财经法学

成都链安

金色早8点

Bress

链捕手

PANews

Odaily星球日报

标签:OLEASTFASTCALWHOLE币ASTAXForce For Fast Tokenopticalnetwork

TUSD热门资讯
元宇宙:元宇宙产业园的合规问题_ETH以太坊今日行情

在元宇宙浪潮兴起与利好政策出台的形势下,元宇宙已经从虚幻的概念走向了现实,各地纷纷开始布局元宇宙产业园,抢占元宇宙新赛道.

LED:元宇宙带火VR头显产品 底层显示技术正不断演进_元宇宙概念是什么意思知乎

”元宇宙“概念让VR头显产品的热度居高不下。随着VR技术不断发展,作为底层显示技术支撑的LCD和OLED也在不断演进当中。目前来看,两者为了争锋元宇宙,正使出浑身解数.

LED:美国将祭出稳定币法案 哪些稳定币面临风险?_稳定币

美国众议院提出稳定币法案草案,认为发行和创建新的“内生抵押稳定币”是非法的。在Terra/UST这一套算法稳定币体系崩溃之后,美国加强了对稳定币的关注.

以太坊:以太坊合并完成前夕 你都准备好了吗?_Outpost

就连 Google 都为以太坊合并(The Merge)上线了倒计时功能,可想而知这一事件的热度有多高。 截止发稿时,距离合并完成还不到不到 19 个小时.

以太坊:黄仁勋口中的元宇宙 英伟达心中的生意经_togetherbnb手游下载女鬼

虽然黄仁勋嘴里口口声声喊着“元宇宙”的主意,但内心却满是英伟达的生意。日前,英伟达在GTC大会上正式发布了采用Ada Lovelace架构的RTX 40系列GPU,首发型号共包括RTX 4090.

VERSE:Synthetix 的现状与展望_USD

我们之前专门写了一篇文章介绍Synthetix的底层机制和原理,这篇文章我们想进行一个项目跟踪,顺便说说我们对于合成资产的理解.