Hash(SHA 1):b366289db9b21c3e9b6668c274e4a179be57a463
Nomor: Pengetahuan Keamanan Lianyuan No.008
Dalam beberapa tahun terakhir, ekonomi blockchain telah mengalami pertumbuhan eksponensial, terutama pada tahun 2022 ketika nilai terkunci ekosistem DeFi mencapai puncaknya sebesar $300 miliar. Dengan berkembangnya Web3, berbagai metode serangan dan kerentanan keamanan logis telah muncul. Sejak tahun 2017, Nilai Maksimum yang Dapat Diekstraksi (MEV) telah menjadi yang terdepan dalam metode serangan yang menyebabkan kerugian pada rantai ETH sepanjang tahun. Tim keamanan Chainsource telah menganalisis dan memilah prinsip dasar dan metode perlindungan MEV, dengan harapan dapat membantu pembaca meningkatkan kemampuan mereka dalam melindungi aset mereka sendiri.
Prinsip dasar MEV
MEV, nama lengkapnya adalah Nilai Maksimum yang Dapat Diekstraksi. Di era POW Ethereum, itu juga disebut Nilai yang Dapat Diekstraksi Penambang. Setelah sejumlah besar blockchain diubah menjadi POS, namanya diubah menjadi Nilai Maksimum yang Dapat Diekstraksi satu-satunya peran yang menentukan urutan transaksi (saat ini peran dengan dua izin ini adalah penambang dan validator, sebelumnya hanya penambang).
MEV mengacu pada ukuran keuntungan yang diperoleh peserta seperti validator atau sequencer dengan melakukan operasi selektif pada transaksi (termasuk transaksi, pengurutan transaksi, dan pemesanan ulang transaksi) dalam blok yang mereka hasilkan.
·Verifier: Peserta yang bertanggung jawab memverifikasi transaksi dan memproduksi blok;
·Sequencer: Peserta yang bertanggung jawab untuk memutuskan urutan transaksi;
·Sertakan transaksi: Pilih transaksi mana yang akan dimasukkan dalam blok;
·Kecualikan transaksi: Pilih transaksi mana yang tidak akan dimasukkan dalam blok;
·Menyusun ulang transaksi: menentukan urutan transaksi dalam blok;
Peretas yang saat ini menggunakan MEV terutama menargetkan alamat dompet yang telah memperoleh kualifikasi snapshot airdrop dan token yang dijanjikan akan segera dibuka. Prasyarat bagi peretas untuk meluncurkan serangan tersebut adalah mendapatkan kunci pribadi dompet, kemudian mengaktifkan pemantauan Gas dinamis dan menunggu pengguna. respon. Setelah token atau biaya gas tiba, transaksi penarikan dikirim di blok yang sama atau blok yang berdekatan, yang merupakan transaksi yang berjalan di depan. Kami menyebut robot pemantau jenis ini sebagai robot Sweeper.
Metode perlindungan (mengambil ETH sebagai contoh)
Pertama-tama, ada dua ide untuk jenis perlindungan ini. Karena ini untuk bersaing dengan peretas dalam hal kecepatan, yang pertama adalah menaikkan harga Nonce Gas dan penyortiran transaksi.
Karena biaya transaksi Ethereum = Gas (kuantitas) * Harga Gas (harga satuan), kapasitas Batas Gas setiap blok Ethereum adalah tetap, jadi Harga Gas siapa yang lebih tinggi, yang transaksinya akan dikemas ke dalam blok terlebih dahulu Konfirmasi blok , selain itu, nonce di Ethereum mewakili jumlah transaksi. Konsep ini harus dikombinasikan dengan fakta bahwa Ethereum sendiri didasarkan pada akun, sehingga setiap akun yang berbeda mempertahankan nonce mereka sendiri, dan setiap transaksi dari setiap akun di Ethereum Akan ada. nonce unik, yang tidak hanya mencegah serangan replay (transaksi yang sama diproses beberapa kali), tetapi juga memungkinkan mesin virtual EVM memperjelas urutan transaksi (misalnya, jika nonce transaksi tertentu adalah 5, maka di transaksi ini Sebelum transaksi diproses, transaksi dengan angka nonce 4 di akun harus sudah diproses)
Ide kedua adalah menghubungkan node dengan kecepatan konfirmasi lebih cepat dan kebingungan transaksi lebih tinggi.
Saat mengubah node koneksi, rekomendasi pertama di sini adalah node jaringan TAICHI. Jaringan ini adalah solusi keamanan privasi berdasarkan blockchain seperti ETH dan Solana. Jaringan ini menerapkan kebingungan transaksi dan perlindungan privasi dengan memperkenalkan serangkaian node relai bertanggung jawab untuk menerima permintaan transaksi pengguna dan mencampurkannya dengan transaksi lain untuk menyembunyikan sumber dan tujuan transaksi.
·Relay node: Node ini adalah inti dari jaringan TAICHI, mereka bertanggung jawab untuk menerima, mencampur dan meneruskan transaksi;
Pencampuran transaksi: Dengan menggabungkan beberapa transaksi, node relai dapat secara efektif menyembunyikan sumber dan tujuan dari satu transaksi;
·Perlindungan privasi: Metode ini dapat secara efektif mencegah analisis dan pelacakan data on-chain serta melindungi privasi pengguna;
Cara kerja Sweeper adalah memantau catatan transaksi di kumpulan memori publik untuk mencapai transaksi preemptif, namun node TAICHI memungkinkan kita untuk mengirimkan transaksi yang ditandatangani langsung ke penambang tanpa menyiarkan melalui kumpulan memori publik, yang berarti Sweeper memiliki kemungkinan pemantauan yang tinggi Jika tidak, ada kemungkinan untuk melakukan rush Sweeper (kumpulan memori publik mengacu pada kumpulan transaksi yang telah disiarkan tetapi belum dikemas ke dalam blok).
Node kedua yang direkomendasikan adalah FlashProtect. FlashProtect adalah solusi untuk masalah MEV dalam sistem Ethereum yang disediakan oleh organisasi FlashBots, prinsip kerjanya adalah mengemas transaksi pengguna dan mengirimkannya langsung ke penambang melalui Flashbots, bukan melalui kumpulan memori publik. Untuk mencegah penambang dan bot jahat menemukan dan mengeksploitasi transaksi ini di mempool publik untuk menarik dana menggunakan MEV, kelemahannya adalah transaksi menjadi sangat lambat karena mempool Flashbots digunakan, yang memiliki validator jauh lebih sedikit daripada mempool publik.
Kesimpulan
Secara umum, berbagai metode perlindungan juga dimaksudkan untuk menjaga proses penyortiran transaksi yang terdesentralisasi dan memastikan bahwa kontrak pintar memproses transaksi dengan cara yang adil, namun solusi paling mendasar harus melakukan penyesuaian dari sudut pandang penambang dan verifikator.
Chainyuan Technology adalah perusahaan yang berfokus pada keamanan blockchain. Pekerjaan inti kami mencakup penelitian keamanan blockchain, analisis data on-chain, dan penyelamatan kerentanan aset dan kontrak, dan kami telah berhasil memulihkan banyak aset digital yang dicuri untuk individu dan institusi. Pada saat yang sama, kami berkomitmen untuk menyediakan laporan analisis keselamatan proyek, keterlacakan on-chain, dan layanan konsultasi/dukungan teknis kepada organisasi industri.
Terima kasih telah membaca, kami akan terus fokus dan berbagi konten keamanan blockchain.
