Btctip MEV boti zvládnou vytradovat i 25 milionů, jedná se ale o podvádění ostatních uživatelů

MEV boti zvládnou vytradovat i 25 milionů, jedná se ale o podvádění ostatních uživatelů

Jaroslav Petřík Jaroslav Petřík
V poslední době se stále více objevují hackerské útoky prováděné za pomocí MEV botů. Ti mohou působit v sítích se smart kontrakty a nejčastěji se samozřejmě používají na ethereových decentralizovaných burzách. V této síti jsou totiž smart kontrakty základem a jsou také častým cílem útoků. Většinou se ale jedná o sofistikovaný hack cílící na chyby v protokolu nebo samotných smart kontraktech. MEV boti ale provádí frontrunning, tedy něco jako předbíhání ve frontě, aby okradli ostatní uživatele daného blockchainu. Například nedávno byl MEV bot použit jedním z validátorů Etherea k “odcizení” 25 milionů dolarů. 

Základem útoku je frontrunning

Útoky založené na frontrunningu využívají nejzákladnější proces každého blockchainu. Jedná se o přidávání transakcí do mempoolu, kde čekají na svého těžaře, který akceptuje nastavené poplatky a danou transakci ověří a zapíše do bloku. Znamená to tedy, že uživatelé blockchainu mohou nastavit pro svou transakci vyšší poplatek a motivovat tak těžaře, aby jeho transakci vyřídili přednostně. Ti si totiž transakce vybírají na základě velikosti poplatku, aby maximalizovali svůj zisk. Transakce z mempoolu se tedy neodebírají v pořadí, v jakém do něj byly přidány. Útoky pomocí frontrunningu využívají tohoto procesu a upravují transakční poplatky ve svůj prospěch. Útočník má schopnost zajistit, aby jeho transakce byla zpracována před jakoukoliv jinou transakcí tak, že u ní nastaví vyšší transakční poplatek.    Útočník díky tomu může například zjistit prodejní a nákupní ceny jednotlivých tokenů na burze u připravených nákupů a pomocí frontrunningu manipulovat pořadím transakcí a zajistit si tak vyšší zisk. Právě na decentralizovaných burzách může být rychlé obchodování pomocí botů velkou výhodou oproti ostatním uživatelům. Proti tomuto typu podvádění na burzách není moc způsobů obrany. Jednou z možných obranných taktik je nastavit tak vysoké poplatky za transakci, aby se útočníkovi nevyplatilo ji přeplatit a pokusit se dostat před ostatní transakce v mempoolu. Tato metoda je samozřejmě nákladná a dlouhodobě by vedla k vysokým poplatkům na celé síti. Druhou variantou je začít podvádět také, aby útočník neměl šanci transakci zachytit. Tato obrana byla již několikrát použita burzami k tomu, aby ochránily své vlastní transakce. Namísto veřejného obchodování poslaly transakci tajně přímo do mempoolu a byla hned zpracována. Transakce tak byla viditelná až ve chvíli, kdy byla bezpečně zapsána do blockchainu. Tuto metodu ale nemůže použít běžný uživatel decentralizované burzy.

Na Bitcoinu se MEV útoky nevyplatí

Aby útočníci používající MEV boty vytěžili z transakcí co nejvíce peněz, je potřeba provádět složitější transakce - smart kontrakty. Na Bitcoinu probíhá naprostá většina transakcí jednoduchou formou mezi dvěma uživateli. V takovém případě by sice mohl útočník vydělat něco málo na předbíhání ostatních, jeho výdělky budou ale vždy razantně vyšší na blockchainech se smart kontrakty. Zajímavý je také fakt, že jednotliví MEV boti se mohou předbíhat navzájem mezi sebou. Proti tomuto problému lze využít MEV relé, které implementuje do systému rozdělení práce. Část botů tedy tipuje transakce, další boti se snaží postavit blok s nejvýhodnějšími transakcemi a poslední v řadě tyto transakce ověřují. Tohoto principu využil také hacker, který získal 25 milionů dolarů. Kromě vyžití MEV botů se útočník stal také validátorem tak, že zastakoval 32 etherů, což mu navíc umožnilo přeuspořádat vlastní transakce. Pro nalezení správných transakcí poslal tento “validátor” neplatný blok na MEV relé. To odpovědělo transakcemi, které by se v bloku měly nacházet, ale kvůli jeho neplatnosti jej neodeslalo do sítě.  Díky tomu získal útočník přístup k obsahu připravovaného bloku a byl schopen provést sandwich útok. Ten zahrnoval vytvoření dvou transakcí, které mezi sebou uzavřely další transakci a zaručily útočníkovi zisk. Středová transakce totiž obsahovala cenu tokenu a útočník tak přesně znal středový kurz, který využil k nákupu a prodeji za ideální cenu. Útočník tedy provedl nákup za cenu o něco nižší, než ve středové transakci a tím zvýšil hodnotu tokenu. Autor středové transakce provedl stejný nákup o něco později a za vyšší cenu, čímž dále navyšoval hodnotu daného tokenu. Následně útočník provedl prodej svou druhou transakcí a vzal zisk. Během útoku, který se odehrál před pár dny byl takto útočník schopen analyzovat transakce a získat 25 milionů dolarů. Při těchto transakcích je totiž extrémně důležitá rychlost, kterou správně nastavení MEV boti dokáží zaručit a vše se stane ve zlomku vteřiny. Velice zjednodušeně řečeno je pomocí této metody schopen jeden člověk vykoupit všechny levnější nabídky, zvýšit cenu daného tokenu a zase tokeny prodat poptávajícím s vyšší nákupní cenou. 

Závěrem

Smutné na celé věci je fakt, že výše zmiňované MEV relé jsou navrženy tak, aby chránily před útoky souvisejícím s předbíháním transakcí. Bohužel většina uživatelů těchto relé jsou samotní útočníci a jsou si dobře vědomi, jak celý systém funguje. Útočník, který vydělal 25 milionů dolarů podvodem využil zranitelnosti ve způsobu fungování takového MEV relé. Způsobil, že mu relé odhalilo obsah navrhovaných bloků, které se ještě nedostaly k těžařům. Nové úpravy relé mají zaručit, že obsah těchto bloků bude odhalen až ve chvíli, kdy bude úspěšně odeslán do sítě. Navíc bude relé obsahovat časové zpoždění, které má zkomplikovat práci útočníka. Pořád se ale jedná o rychlé obchodování pomocí botů, které je dlouhodobě blokováno na všech typech obchodních platforem.
4.8/5 - (5 votes)
Jaroslav Petřík

Jaroslav Petřík

Hrozně rád čtu a ještě raději píšu - o kryptoměnách, nových technologiích a knihách. Autora můžete podpořit prostřednictvím Lightning Network zde: petrik@lnbc.cz NOSTR:npub1ntvcjwhawvyxz8cyjywthdcnskvfdsum33f6x0vemvsu3njxaumqtn2uq5

Víc o autorovi

Komentáře (0)

Zatím nebyly přidány žádné komentáře.

Připojte se k diskuzi

Zde napište svou odpověď
Vaše jméno
Váš e-mail
Odeslaním komentáře souhlasíte se zpracováním osobních údajů.

Recenze burz a směnáren

Zobrazit více

Největší kryptoměny

Zobrazit více
Nejnovější články
Simplecoin směnárna koupit bitcoin

Buďte v obraze a
nenechte si ujít novinky z krypto-světa.

Relevantní články, dvakrát měsíčně do vaší emailové schránky.

Váš e-mail
Ukládám..
Odesláním souhlasíte se zpracováním osobních údajů.