本文 Hash (SHA 1): b366289db9b21c3e9b6668c274e4a179be57a463
Nummer: Lianyuan Security Knowledge No.008
In den letzten Jahren verzeichnete die Blockchain-Wirtschaft ein exponentielles Wachstum, insbesondere im Jahr 2022, als der gebundene Wert des DeFi-Ökosystems einen Höchststand von 300 Milliarden US-Dollar erreichte. Mit der Entwicklung von Web3 sind verschiedene Angriffsmethoden und logische Sicherheitslücken entstanden. Seit 2017 steht der Maximum Extractable Value (MEV) an der Spitze der Angriffsmethoden, die das ganze Jahr über Verluste in der ETH-Kette verursachen. Das Chainsource-Sicherheitsteam hat die Grundprinzipien und Schutzmethoden von MEV analysiert und geordnet, in der Hoffnung, den Lesern dabei zu helfen, ihre Fähigkeit zum Schutz ihrer eigenen Vermögenswerte zu verbessern.
MEV-Grundprinzipien
MEV, der vollständige Name ist Maximum Extractable Value. In der POW-Ära wurde es auch Miner Extractable Value genannt. Nachdem eine große Anzahl von Blockchains in POS umgewandelt wurde, wurde es in Maximum Extractable Value umbenannt die einzige Rolle, die die Reihenfolge der Transaktionen bestimmt (die aktuellen Rollen mit diesen beiden Berechtigungen sind Miner und Validatoren, vor nur Minern).
MEV bezieht sich auf ein Maß für den Gewinn, den Teilnehmer wie Validatoren oder Sequenzierer durch die Durchführung selektiver Operationen an Transaktionen (einschließlich Transaktionen, Sortiertransaktionen und Neuordnungstransaktionen) innerhalb der von ihnen erzeugten Blöcke erzielen.
·Verifizierer: Der Teilnehmer, der für die Überprüfung von Transaktionen und die Erstellung von Blöcken verantwortlich ist;
·Sequenzer: Der Teilnehmer, der für die Entscheidung über die Reihenfolge der Transaktionen verantwortlich ist;
·Transaktionen einschließen: Wählen Sie aus, welche Transaktionen in den Block aufgenommen werden sollen.
·Transaktionen ausschließen: Wählen Sie aus, welche Transaktionen nicht in den Block aufgenommen werden sollen;
·Transaktionen neu anordnen: Bestimmen Sie die Reihenfolge der Transaktionen im Block;
Hacker, die MEV derzeit verwenden, zielen hauptsächlich auf Wallet-Adressen ab, die Airdrop-Snapshot-Qualifikationen erhalten haben und deren verpfändete Token kurz vor der Freischaltung stehen. Die Voraussetzung für Hacker, um solche Angriffe zu starten, besteht darin, den privaten Wallet-Schlüssel zu erhalten, dann die dynamische Gasüberwachung zu aktivieren und auf den Benutzer zu warten Nachdem die Token- oder Gasgebühr eingegangen ist, wird eine Auszahlungstransaktion im selben Block oder angrenzenden Block gesendet. Dies ist eine Front-Running-Transaktion. Wir nennen diese Art von Überwachungsroboter einen Sweeper-Roboter.
Schutzmethoden (am Beispiel der ETH)
Erstens gibt es zwei Ideen für diese Art von Schutz: Da es darum geht, mit Hackern um Geschwindigkeit zu konkurrieren, besteht die erste darin, den Nonce of Gas-Preis und die Transaktionssortierung zu erhöhen.
Da die Transaktionsgebühr von Ethereum = Gas (Menge) * Gaspreis (Einheitspreis) ist, ist die Gaslimitkapazität jedes Ethereum-Blocks festgelegt. Wessen Gaspreis also höher ist, dessen Transaktionen werden zuerst in den Block gepackt, Blockbestätigung Darüber hinaus stellt die Nonce in Ethereum die Anzahl der Transaktionen dar. Dieses Konzept muss mit der Tatsache kombiniert werden, dass Ethereum selbst auf Konten basiert, sodass jedes unterschiedliche Konto seine eigene Nonce verwaltet und jede Transaktion jedes Kontos in Ethereum vorhanden ist Eine eindeutige Nonce, die nicht nur Wiederholungsangriffe verhindern kann (dieselbe Transaktion wird mehrmals verarbeitet), sondern auch der virtuellen EVM-Maschine ermöglicht, die Reihenfolge der Transaktionen zu klären (z. B. ist die Nonce einer bestimmten Transaktion 5, dann in diesem Fall). Transaktion Bevor die Transaktion verarbeitet wird, muss die Transaktion mit einer Nonce von 4 im Konto verarbeitet worden sein)
Die zweite Idee besteht darin, Knoten mit schnellerer Bestätigungsgeschwindigkeit und größerer Transaktionsverwirrung zu verbinden.
Beim Wechsel des Verbindungsknotens ist hier der TAICHI-Netzwerkknoten eine Lösung für die Privatsphäre, die auf Blockchains wie ETH und Solana basiert und eine Reihe von Relay-Knoten einführt Verantwortlich dafür, Benutzertransaktionsanfragen zu empfangen und sie mit anderen Transaktionen zu vermischen, um die Quelle und den Zweck der Transaktion zu verbergen.
·Relay-Knoten: Diese Knoten bilden den Kern des TAICHI-Netzwerks. Sie sind für den Empfang, das Mischen und die Weiterleitung von Transaktionen verantwortlich.
Transaktionsmischung: Durch die Mischung mehrerer Transaktionen können Relay-Knoten die Quelle und den Zweck einer einzelnen Transaktion effektiv verbergen.
·Datenschutz: Diese Methode kann die Analyse und Verfolgung von Daten in der Kette wirksam verhindern und die Privatsphäre der Benutzer schützen.
Die Funktionsweise von Sweeper besteht darin, Transaktionsdatensätze im öffentlichen Speicherpool zu überwachen, um präventive Transaktionen zu erreichen. Der TAICHI-Knoten ermöglicht es uns jedoch, signierte Transaktionen direkt an Miner zu übermitteln, ohne sie über den öffentlichen Speicherpool zu senden, was bedeutet, dass Sweeper eine hohe Überwachungswahrscheinlichkeit hat Wenn nicht, besteht die Möglichkeit, dass Sweeper überstürzt wird (der öffentliche Speicherpool bezieht sich auf die Sammlung von Transaktionen, die gesendet, aber noch nicht in Blöcke gepackt wurden).
Der zweite empfohlene Knoten ist FlashProtect, eine Lösung für das MEV-Problem im Ethereum-System, die von der FlashBots-Organisation bereitgestellt wird. Sein Arbeitsprinzip besteht darin, die Transaktionen des Benutzers direkt über Flashbots statt über den öffentlichen Speicherpool zu senden Um zu verhindern, dass böswillige Miner und Bots diese Transaktionen im öffentlichen Mempool entdecken und ausnutzen, um Gelder mit MEV abzuheben, besteht der Nachteil darin, dass Transaktionen sehr langsam sind, da der Flashbots-Mempool verwendet wird, der weitaus weniger Validatoren als der öffentliche Mempool hat.
Abschluss
Im Allgemeinen sollen verschiedene Schutzmethoden auch den Sortierprozess dezentraler Transaktionen aufrechterhalten und sicherstellen, dass Smart Contracts Transaktionen fair verarbeiten. Die grundlegendste Lösung muss jedoch darin bestehen, Anpassungen aus Sicht von Minern und Verifizierern vorzunehmen.
Chainyuan Technology ist ein Unternehmen, das sich auf Blockchain-Sicherheit konzentriert. Zu unseren Kernaufgaben gehören Blockchain-Sicherheitsforschung, On-Chain-Datenanalyse und die Behebung von Schwachstellen in Vermögenswerten und Verträgen. Wir haben viele gestohlene digitale Vermögenswerte für Einzelpersonen und Institutionen erfolgreich wiederhergestellt. Gleichzeitig sind wir bestrebt, Industrieorganisationen Berichte zur Projektsicherheitsanalyse, Rückverfolgbarkeit in der Kette und technische Beratungs-/Unterstützungsdienste bereitzustellen.
Vielen Dank fürs Lesen. Wir werden uns weiterhin auf Blockchain-Sicherheitsinhalte konzentrieren und diese teilen.