Tối đa hóa bảo mật: Cách đối phó với các cuộc tấn công MEV trong DeFi

avatar
PandaLY 链源科技
5tháng trước
Bài viết có khoảng 2661từ,đọc toàn bộ bài viết mất khoảng 4 phút
Các phương pháp bảo vệ khác nhau cũng được sử dụng để duy trì quá trình sắp xếp các giao dịch phi tập trung và đảm bảo rằng hợp đồng thông minh xử lý các giao dịch một cách công bằng, nhưng giải pháp cơ bản nhất phải là điều chỉnh từ góc độ của người khai thác và người xác minh.

Hash của bài viết này (SHA 1): b366289db9b21c3e9b6668c274e4a179be57a463

Số: Kiến thức bảo mật Chainsource số 008

Tối đa hóa bảo mật: Cách đối phó với các cuộc tấn công MEV trong DeFi

Nền kinh tế blockchain đã có sự tăng trưởng theo cấp số nhân trong vài năm qua, đặc biệt là với hệ sinh thái DeFi đạt đỉnh giá trị 300 tỷ USD vào năm 2022. Kể từ khi Web3 phát triển, nhiều phương thức tấn công và lỗ hổng bảo mật logic khác nhau đã xuất hiện Kể từ năm 2017, Giá trị trích xuất tối đa (MEV) đã dẫn đầu trong các phương thức tấn công gây tổn thất cho chuỗi ETH quanh năm. Nhóm bảo mật Chainsource đã phân tích và sắp xếp các nguyên tắc cơ bản cũng như phương pháp bảo vệ của MEV, hy vọng có thể giúp độc giả nâng cao khả năng bảo vệ tài sản của chính mình.

Thông tin cơ bản về MEV

Tối đa hóa bảo mật: Cách đối phó với các cuộc tấn công MEV trong DeFi

MEV, tên đầy đủ là Giá trị có thể trích xuất tối đa. Trong kỷ nguyên POW của Ethereum, nó còn được gọi là Giá trị có thể trích xuất của công cụ khai thác sau khi một số lượng lớn chuỗi khối được chuyển đổi thành POS, nó được đổi tên thành Giá trị có thể trích xuất tối đa. vai trò duy nhất xác định thứ tự của các giao dịch (các vai trò hiện tại có hai quyền này là người khai thác và người xác thực, trước đây chỉ là người khai thác).

MEV đề cập đến thước đo lợi nhuận mà những người tham gia thu được như người xác thực hoặc người sắp xếp thứ tự bằng cách thực hiện các hoạt động chọn lọc trên các giao dịch (bao gồm giao dịch, sắp xếp giao dịch và sắp xếp lại giao dịch) trong các khối mà họ tạo ra.

·Người xác minh: Người tham gia chịu trách nhiệm xác minh các giao dịch và tạo khối;

·Sequencer: Người tham gia chịu trách nhiệm quyết định thứ tự giao dịch;

·Bao gồm các giao dịch: Chọn những giao dịch nào sẽ được đưa vào khối;

·Loại trừ các giao dịch: Chọn những giao dịch sẽ không được đưa vào khối;

·Sắp xếp lại các giao dịch: xác định thứ tự các giao dịch trong khối;

Hiện tại, tin tặc sử dụng MEV chủ yếu nhắm mục tiêu vào các địa chỉ ví đã đạt được tiêu chuẩn chụp nhanh airdrop và có mã thông báo đã cam kết sắp được mở khóa. Điều kiện tiên quyết để tin tặc thực hiện các cuộc tấn công như vậy là lấy khóa riêng của ví, sau đó kích hoạt tính năng giám sát Gas động và chờ đợi. phản hồi của người dùng Sau khi có mã thông báo hoặc phí gas, giao dịch rút tiền sẽ được gửi trong cùng một khối hoặc khối liền kề, đây là giao dịch chạy trước. Chúng tôi gọi loại robot giám sát này là robot Sweeper.

Tối đa hóa bảo mật: Cách đối phó với các cuộc tấn công MEV trong DeFi

Phương pháp bảo vệ (lấy ETH làm ví dụ)

Trước hết, có hai ý tưởng cho kiểu bảo vệ này vì nó là để cạnh tranh với hacker về tốc độ, thứ nhất là tăng giá gas và đặt hàng giao dịch Nonce.

Vì phí giao dịch của Ethereum = Gas (số lượng) * Giá Gas (đơn giá), nên dung lượng Gas Limit của mỗi khối Ethereum là cố định, do đó Giá Gas của ai cao hơn, giao dịch của ai sẽ được đóng gói vào khối xác nhận Khối đầu tiên, trong Ngoài ra, nonce trong Ethereum đại diện cho số lượng giao dịch. Khái niệm này phải được kết hợp với thực tế là bản thân Ethereum dựa trên các tài khoản, do đó mỗi tài khoản khác nhau sẽ duy trì nonce của riêng mình và mỗi giao dịch của mỗi tài khoản trong Ethereum sẽ có một nonce duy nhất. nonce, điều này không chỉ có thể ngăn chặn các cuộc tấn công lặp lại (cùng một giao dịch được xử lý nhiều lần) mà còn cho phép máy ảo EVM làm rõ thứ tự các giao dịch (ví dụ: nonce của một giao dịch nhất định là 5, thì trong giao dịch này Trước giao dịch được xử lý, giao dịch có số không bằng 4 trong tài khoản phải được xử lý)

Ý tưởng thứ hai là kết nối các nút với tốc độ xác nhận nhanh hơn và độ nhầm lẫn trong giao dịch cao hơn.

Tối đa hóa bảo mật: Cách đối phó với các cuộc tấn công MEV trong DeFi

Khi thay đổi nút kết nối, đề xuất đầu tiên ở đây là nút mạng TAICHI. Mạng này là một giải pháp bảo mật quyền riêng tư dựa trên các chuỗi khối như ETH và Solana. Nó thực hiện sự nhầm lẫn trong giao dịch và bảo vệ quyền riêng tư bằng cách giới thiệu một loạt các nút chuyển tiếp. có nhiệm vụ tiếp nhận các yêu cầu giao dịch của người dùng và trộn lẫn với các giao dịch khác nhằm che giấu nguồn gốc và mục đích của giao dịch.

·Nút chuyển tiếp: Các nút này là cốt lõi của mạng TAICHI và chịu trách nhiệm nhận, trộn và chuyển tiếp các giao dịch;

Trộn giao dịch: Bằng cách trộn nhiều giao dịch với nhau, các nút chuyển tiếp có thể ẩn nguồn và mục đích của một giao dịch một cách hiệu quả;

·Bảo vệ quyền riêng tư: Phương pháp này có thể ngăn chặn hiệu quả việc phân tích và theo dõi dữ liệu trên chuỗi cũng như bảo vệ quyền riêng tư của người dùng;

Cách thức hoạt động của Sweeper là giám sát các bản ghi giao dịch trong nhóm bộ nhớ công cộng để đạt được các giao dịch được ưu tiên, nhưng nút TAICHI cho phép chúng tôi gửi các giao dịch đã ký trực tiếp cho các thợ mỏ mà không cần phát qua nhóm bộ nhớ công cộng, điều đó có nghĩa là Sweeper có xác suất giám sát cao Nếu không, có khả năng Sweeper chạy phía trước (nhóm bộ nhớ công cộng đề cập đến tập hợp các giao dịch đã được phát sóng nhưng chưa được đóng gói thành các khối).

Tối đa hóa bảo mật: Cách đối phó với các cuộc tấn công MEV trong DeFi

Nút được đề xuất thứ hai là FlashProtect là một giải pháp cho vấn đề MEV trong hệ thống Ethereum do tổ chức FlashBots cung cấp là đóng gói các giao dịch của người dùng và gửi chúng trực tiếp đến các thợ mỏ thông qua Flashbots thay vì thông qua nhóm bộ nhớ công cộng. Để ngăn chặn các công cụ khai thác và bot độc hại phát hiện và khai thác các giao dịch này trong mempool công cộng để rút tiền bằng MEV, điểm bất lợi là các giao dịch rất chậm vì mempool Flashbots được sử dụng, có ít trình xác nhận hơn nhiều so với mempool công khai.

Tối đa hóa bảo mật: Cách đối phó với các cuộc tấn công MEV trong DeFi

Phần kết luận

Nhìn chung, các phương pháp bảo vệ khác nhau cũng nhằm duy trì quá trình phân loại các giao dịch phi tập trung và đảm bảo rằng hợp đồng thông minh xử lý các giao dịch một cách công bằng, nhưng giải pháp cơ bản nhất phải là điều chỉnh từ góc độ của người khai thác và người xác minh.

Chainyuan Technology là một công ty tập trung vào bảo mật blockchain. Công việc cốt lõi của chúng tôi bao gồm nghiên cứu bảo mật blockchain, phân tích dữ liệu trên chuỗi cũng như giải cứu lỗ hổng tài sản và hợp đồng, đồng thời chúng tôi đã khôi phục thành công nhiều tài sản kỹ thuật số bị đánh cắp cho các cá nhân và tổ chức. Đồng thời, chúng tôi cam kết cung cấp các báo cáo phân tích an toàn dự án, truy xuất nguồn gốc trên chuỗi và các dịch vụ tư vấn/hỗ trợ kỹ thuật cho các tổ chức trong ngành.

Cảm ơn bạn đã đọc, chúng tôi sẽ tiếp tục tập trung và chia sẻ nội dung bảo mật blockchain.

Bài viết gốc, tác giả:PandaLY 链源科技。Tuyển dụng: Nhân viên kinh doanh phần mềm theo dự án report@odaily.email;Vi phạm quy định của pháp luật.

Odaily nhắc nhở, mời đông đảo độc giả xây dựng quan niệm đúng đắn về tiền tệ và khái niệm đầu tư, nhìn nhận hợp lý về blockchain, nâng cao nhận thức về rủi ro; Đối với manh mối phạm tội phát hiện, có thể tích cực tố cáo phản ánh với cơ quan hữu quan.

Đọc nhiều nhất
Lựa chọn của người biên tập