Exploiter Front ۲۵ میلیون دلار از ربات‌های MEV با استفاده از اعتبارسنجی اتریوم هزینه می‌کند

در سرزمین قراردادهای هوشمند، به خوبی شناخته شده است که اگر آسیب‌پذیری در کد وجود داشته باشد، یک ویژگی است و نه یک اشکال. یک استثمارگر پیچیده هر چند با نیت بد یک اکسپلویت را با استفاده از اعتبار سنجی اتریوم با موفقیت اجرا کرده بود Flashbots MEV-relay، و گروهی از ربات‌های MEV را به مبلغ 25 میلیون دلار در زمان نگارش این مقاله تخلیه کرد.

بهره‌بردار حمله ساندویچ معکوس را با استفاده از گروهی از ربات‌های دارای حداکثر ارزش استخراج‌پذیر (MEV) پس از تأیید اینکه این ربات‌ها از اعتبارسنجی خود در استخرهای با نقدینگی پایین در طول یک عملیات 18 روزه استفاده می‌کنند، طراحی کرد.

ربات های MEV چیست؟

ربات‌های MEV از الگوریتم‌های پیچیده برای شناسایی و بهره‌برداری از فرصت‌های سودآور در اکوسیستم‌های DeFi استفاده می‌کنند. ربات‌های MEV از طریق فرصت‌های آربیتراژ، رویدادهای انحلال و سایر ناکارآمدی‌های بازار سود استخراج می‌کنند.

ربات‌های MEV از شفافیت و قابلیت برنامه‌ریزی شبکه‌های بلاک چین برای نظارت بر استخر تراکنش‌ها و شناسایی فرصت‌های استخراج ارزش استفاده می‌کنند. این ربات‌ها می‌توانند زمانی که اختلاف قیمت یا نقدینگی در پلتفرم‌های مختلف وجود دارد را تشخیص دهند و معاملاتی را برای کسب سود انجام دهند.

این بار چه شد؟

اعتبار سنجی اتریوم به عنوان ساندویچ چاک دهنده دارایی‌ها را در چندین توکن آماده کرد و گروه هدف ربات‌های MEV را طعمه قرار داد تا سعی کنند تراکنش خود را روی استخرهای V2 Uniswap با نقدینگی پایین انجام دهند.

به طور معمول، یک حمله ساندویچی زمانی اتفاق می‌افتد که یک ربات MEV یک تراکنش دریافتی را می‌خواند، و front سفارش را اجرا می‌کند و قیمت دارایی را برای خریدار اصلی بالا می‌برد.

خریدار با خرید همان دارایی‌هایی که در ابتدا در نظر گرفته شده بود، قیمت را حتی بیشتر افزایش می‌دهد. سپس ربات MEV بلافاصله پس از انجام معامله خریدار اصلی، دارایی را می فروشد و سود آربیتراژ را برای خریدار به ارمغان می آورد.

در این مورد، بهره‌بردار ربات‌های MEV را با یک تراکنش مورد سوء استفاده قرار داد مجبور کردن ربات ها به خرج کردن WETH برای آربیتراژ دارایی های طعمه شده در یک استخر با نقدینگی کم در حالی که بهره بردار نیازی به انجام معامله خرید واقعی نداشت.

بیشتر بخوانید: “هوش مصنوعی نمی تواند در یک بلاک چین زندگی کند”: آندره کرونیه از فانتوم

سپس بهره‌بردار سفارش تراکنش را در همان بلوک تغییر داد و تمام توکن‌های خود را (که قبل از حمله آماده کرده بود) بلافاصله پس از خرید دارایی‌های طعمه‌شده توسط ربات MEV فروخت. سپس بهره‌بردار توکن‌های خود را به قیمت بالاتری فروخت تا تمام WETH را از استخر نقدینگی پایین خارج کند و ربات MEV را با توکن‌های بی‌ارزشی که در این فرآیند به دست آورده بود، پشت سر بگذارد.

متأسفانه، اگر بلوک امضا شده نامعتبر بود، هرگز توسط شبکه پذیرفته نمی شد، بنابراین اصلاً مسابقه ای وجود نداشت. با صفر کردن ریشه والد و ریشه حالت، این دقیقاً همان کاری است که اعتبار دهنده مخرب انجام داد. pic.twitter.com/2eDLPaTgQN

— samczsun (@samczsun) 3 آوریل 2023

در حالی که اجرای این اکسپلویت ساده بود، این معمولاً نمی تواند اتفاق بیفتد زیرا حفاظت های متعددی در طراحی مبادله ها وجود دارد. با این حال، از آنجایی که بهره‌بردار در حال اجرای اعتبارسنجی خود بود، مجوز تغییر پارامترهای رله MEV میزبانی شده در Flashbot را داشت.

بهره‌بردار موفق شد پنج ربات MEV را با استفاده از همان استراتژی در 24 تراکنش با موفقیت تخلیه کند. بهره‌بردار از آن زمان توکن‌های دزدیده شده را در سه کیف پول جداگانه توزیع کرده است که در زمان نگارش این مقاله، هر کدام به ترتیب در اختیار دارند. 20 میلیون دلار، 2.3 میلیون دلار & 2.9 میلیون دلار.

🚨🚨🚨 #MEV بسته‌های جالب از ربات‌های MEV متمرکز بر ساندویچ https://t.co/4AYDU3xkN3 شکسته به نظر می رسد backrun txs که قرار بود سوآپ معکوس را انجام دهند و سود ببرند، برگردانده شدند!

تجزیه و تحلیل ما نشان می دهد که txs قربانی با بهره برداری ربات جایگزین شده است. https://t.co/pMOkKpVM8v

— PeckShield Inc. (@peckshield) 3 آوریل 2023

وجوه دزدیده شده در
0x3c98d617db017f51c6a73a13e80e1fe14cd1d8eb (19,923,735.49 دلار)
0x5B04db6Dd290F680Ae15D1107FCC06A4763905b6 (2,334,519.51 دلار)
0x27bf8f099Ad1eBb2307DF1A7973026565f9C8f69 (2,971,393.59 دلار) https://t.co/TCuAWKZCL0

— Beosin Alert (@BeosinAlert) 3 آوریل 2023

چه اتفاقی افتاده است؟

انجمن Flashbot از آن زمان تا کنون یک پچ پهن کرد به همه رله ها برای جلوگیری از تکرار حملات بعدی مانند این. در حالی که کانال‌های رسمی این حمله را «مخفف» گزارش کرده‌اند، برخی از کاربران رمزارز توییتر در طرف دیگر حصار پیدا شدند، با این استدلال که حمله به ربات MEV بخشی از بازی بوده و هیچ بازی نادرستی انجام نشده است.

عدالت برای این کاربر مبتنی بر آنها هیچ اشتباهی نکردند.

— ZachXBT (@zachxbt) 3 آوریل 2023

بنابراین، اگر ربات‌های MEV از کاربرانی که در حال اجرا هستند، پول می‌گیرند و یک اعتبارسنجی فقط با اجرای واقعی ربات‌ها، آنها را بازی می‌کند.

آیا این بازی منصفانه محسوب نمی شود؟

– بی خوابی (@insomniac_ac) 3 آوریل 2023

دنیای Web3 می تواند کاملاً یک گردباد باشد. چه اخبار مربوط به رمزارزها در سنگاپور، آسیای جنوب شرقی یا حتی در سراسر جهان باشد، ما متوجه هستیم که صنعت چقدر شما را مشغول نگه داشته است، بنابراین هر هفته سه خبرنامه ارسال می کنیم:

• BlockBeat برای جمع بندی اخبار دارایی های دیجیتال هفته
• خلاصه Blockhead برای اتفاقات آخر هفته و همچنین آنچه در هفته پیش رو باید منتظر آن باشیم
• بولتن کسب و کار برای به روز رسانی های اقتصاد کلان و تحولات صنعت.

برای جلوگیری از FOMO و دسترسی به ویژگی های فقط اعضا، کلیک کنید اینجا برای اشتراک رایگان