区块见闻 区块见闻
Ctrl+D收藏区块见闻

wanchain:MEV机器人被攻击损失146万美元事件分析_WANTS

作者:

时间:

MEV机器人被攻击,导致146万美元的资产受到损失。

虽然合约无法被看到并被证实,但交易流程显示,漏洞合约被批准转移了1101枚ETH。

此前,该MEV机器人本身也刚刚完成了一笔交易,从仅仅11美元的USDT交易中获利了15万美元。

什么是MEV

MEV是“矿工可提取价值”或“最大可提取价值”的缩写。矿工,或者更准确地说是验证者,有能力在区块内对交易进行排序。这种重新安排交易顺序的能力意味着他们可以领先于用户的交易。

最常见的MEV的形式之一被人们称为三明治攻击,即验证者看到有人试图购买某种资产,所以他们在原始交易之前就“插队”进行自己的交易并购买资产,然后加价卖给原始购买者。

通过此行为,他们可从用户身上榨取价值,而用户往往并不知道他们没有得到他们所期望的价格。因此此类MEV机器人可以多次重复交易从而获得丰厚的利润。

CoW Swap通过批量拍卖解决去中心化交易中的MEV问题:金色财经报道,CoW Swap技术主管Leupold表示,该协议通过批量拍卖解决去中心化交易中的最大可提取价值(MEV)问题,Leupold表示,由于DeFi领域各种代币项目的出现”,市场流动性高度分散,为了在各种代币对之间创造流动性,做市商需要“介入并提供流动性”,这样的安排减少了MEV攻击,可以为交易找到最佳的链上路线。[2023/8/24 18:19:07]

这里有个很简单的例子或许可以帮你直接理解:如果一个代币的价格是1美元,你买了价值100万美元的代币,你自然会期待得到100万个代币。

但是,如果一个MEV机器人在一个未确认的区块中发现了你的交易,它将在你之前以1美元的价格购买N量的代币。在你的交易执行之前,价格可能会增加到2美元甚至更高,所以你最终只收到50万个代币。你的这笔交易也将代币价格提升到了3美元。随后,MEV机器人将以现在的高价出售它所在你之前就购买的代币。

Marlin宣布Polygon MEV Dashboard新增显示每日费用数据:4月26日消息,Marlin发推称,已更新Polygon MEV Dashboard的功能,可以追踪运行mev-bor的MATIC验证者收到多少额外费用,mev-bor是由Marlin构建和维护、用于Polygon的flashbots客户端。4月24日,InfStones从MEV捆绑包区块中获得248%的额外费用。explore.marlin.org已支持显示每日套利统计数据等信息。[2023/4/26 14:27:38]

事件总结

2022年9月27日,MEV机器人被攻击利用,造成了1,463,112.71美元的资产损失。

MEV机器人的所有者给攻击者发了一条信息,“祝贺”他们发现了“难以发现”的漏洞,并为他们提供了20%的赏金以换取暂时不采取法律行动的”承诺“。该”承诺“的最后生效期限是北京时间2022年9月29日早7点59分。

安全团队:MEV Bot 0x5f32遭闪电贷攻击,攻击者获利约10.8万美元:金色财经报道,据CertiK监测,MEV Bot 0x5f32遭到闪电贷攻击。攻击者0xa7f5...获利约10.8万美元。

攻击者合约地址: 0xf0be9805fe8e393e8f768fe8fe4d8b8531d2f61e。[2023/1/19 11:20:30]

在MEV机器人被利用之前,它已经预先运行了一笔交易,该交易从仅仅11美元的USDT中获利了15万美元。该交易是一个180万美元的系列兑换,从cUSD兑换成WETH再到USDC。由于交易过程中的价格下跌,180万美元的SWAP只换来了约500美元的USDC。

Aurora CEO:昨日攻击自动被彩虹桥看门狗和 MEV 机器人阻挡,黑客损失 2.5 ETH:5月2日消息,NEAR 生态 EVM 扩容网络 Aurora 的 CEO Alex Shevchenko 针对昨日彩虹桥攻击事件发推称,攻击是被自动阻挡的,彩虹桥看门狗( WatchDog)和 MEV 机器人挡住了黑客攻击,没有损失桥接资金,反而让攻击者损失了 2.5 个以太坊,这笔资金已支付给 MEV 机器人。Aurora Labs 将重新设计挑战支出机制,因此大部分中继者质押保留在合约中,还将为中继者增加大量的质押,之后类似的攻击成本会更大。[2022/5/2 2:45:03]

王纯:对于MEV可能存在的问题可通过代码的方式来应对:F2Pool联合创始人、stakefish创始人王纯在DeFi Discussions线上峰会探讨MEV(矿工可提取价值)话题时指出,以代码即法律的观点来讲,就要看代码是否允许提前交易重拍交易等矿工获取MEV的行为。这有些像探讨51%攻击一样,它是比特币的特点而不是bug。在2016年的The DAO事件时有许多关于分叉的争议,当时F2Pool可能是唯一不支持任何人为因素致使分叉的主流矿池,因为我们相信“代码即法律”。我们可能并不应该去限制自己这样的能力,而是在如果获取MEV成为问题或者对网络造成威胁,我们可以考虑创建一个API让每个人都能做到提前交易或者重排交易,依次来应对这个问题。这类似于Push Tx或者交易加速这种功能,目前已经有参与者询问我们是否可以提供在以太坊上类似的服务,我们可以看看这类服务如何影响网络。[2020/5/4]

在MEV机器人漏洞被公开后,钱包所有者给MEV漏洞利用者发了消息。除了请求归还资金以及提供“漏洞发现的奖励”,还解释说他们错误地触发了SWAP。而真正的目的其实是为了分装他们的代币。

攻击流程

MEV机器人的代码不是开源的,因此我们很难看到这个漏洞到底是如何被利用的。但是CertiK的安全专家还是确定了以下一些细节:

①漏洞利用者的EOA在漏洞合约上调用了contract.exexute

②漏洞合约调用dydx.SoloMargin.operate,paramsactionType=8,对应ICallee(args.callee).callFunction()

③dydx.SoloMargin.operate触发delegateCalldydx.OperationImpl.operate。

④delegateCall是MEVBot.callFunction(byte4),byte4是WETH9.approval(exploitcontract,wad)。攻击合约获得批准,1101枚ETH被发送到了漏洞利用者的钱包。

链上活动

首先,有180万美元被换成了大约500美元的稳定币。

其次在这笔交易中,我们可以看到0x430a向Uniswap发送了180万美元的cUSDC,并收到528美元的稳定币作为回报。

MEV机器人在下图的交易中赚取了1101枚ETH。

就在几个小时后,我们看到一笔价值1,463,112.71美元的WETH交易通过一个未知的函数被发送到0xB9F7,这就是被攻击利用的那笔交易。

随后,尽管MEV机器人所有者向该事件的“始作俑者”发出信息,要求归还他们资金,但这次似乎不像其他的攻击,社群未对被攻击者有怜悯之心。

MEV在那些不怎么使用它的人群中是非常不受欢迎的,因为以太坊的高额费用和拥堵问题,加上DeFi生态系统十分活跃,让MEV机器人有了很多坐收渔利的可乘之机。许多用户在交易过程中都不可避免地要经历被MEV机器人套取价值,因此很多用户都在交易中为攻击发起者拍手称快以表达自己的不满。

当然也有一些人则趁机要求分一杯羹。

写在最后

攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于金色财经及官方公众号发布与项目预警相关的信息。请大家持续关注!

来源:金色财经

标签:WANANCwanchainChainWANTSHiz FinanceChain Flowers

狗狗币价格热门资讯
ANK:实用贴 | 如何评估一个项目是否靠谱_TER

你评估项目的基本流程是什么?我跟别人聊过这个话题,无非就是以下几种:没有什么流程,只看别人的分析。这就导致很多人被利用,成为接盘侠。依赖于自己的直觉.

CLAIM:XEN Crypto 白皮书(中文版)_Transaction Service fee

XEN大众的加密货币 一般的 XEN的使命是什么? XEN旨在成为一个社区建立加密资产,将志同道合的人联系在一起.

区块链:最值得期待的公链之一 ----wanchain_ANC

??随着DEFI和NFT的流行,区块链公链达到了一个新的高潮.今年以来涌现出一大堆值得期待的公链,比如meta系的aptos,创始团队是原libra的原班人马.

ETH:看清加密市场 11 个必备数据工具推荐_CPI

其实从经历了六月的大跌后就打算写这篇专题了,但是磕磕绊绊了很久没有开始下笔,主要就是因为筛选重点的数据太难,尤其有些GlassNode独有的数据实在难以找到免费的获取渠道.

BTC:利用虚拟币等违法犯罪愈演愈烈 应如何应对?_ETH

近日,福安成功破获一起部挂账督办的数字人民币非法经营案,涉案金额高达1亿多元,该案嫌疑人王某辉等人涉嫌利用数字人民币、虚拟币等为境外、境外电诈等犯罪活动提供非法资金结算业务.

NFT:从估值、稀释和倍数的角度来看 Yuga labs 、Opensea 等明星 NFT 项目_Metasens

原文作者:VΔL|Ryan,由DeFi之道翻译编辑。最近,NFT领域的风险投资成为了热门话题,包括Doodles、Yugalabs、LimitBreak、Opensea、Proof以及Chiru.