本文 Hash (SHA 1）): b366289db9b21c3e9b6668c274e4a179be57a463

Numurs: Lianyuan drošības zināšanas Nr.008

Dažu pēdējo gadu laikā blokķēdes ekonomika ir piedzīvojusi eksponenciālu izaugsmi, īpaši 2022. gadā, kad DeFi ekosistēmas bloķētā vērtība sasniedza 300 miljardu dolāru maksimumu. Attīstoties Web3, ir parādījušās dažādas uzbrukuma metodes un loģiskās drošības ievainojamības Kopš 2017. gada maksimālā ekstrahējamā vērtība (MEV) ir bijusi uzbrukuma metožu priekšgalā, kas rada zaudējumus ETH ķēdei visu gadu. Chainsource drošības komanda ir analizējusi un sakārtojusi MEV pamatprincipus un aizsardzības metodes, cerot palīdzēt lasītājiem uzlabot spēju aizsargāt savus īpašumus.

MEV pamatprincipi

MEV, pilnais nosaukums ir Maksimālā ekstrahējamā vērtība. Ethereum POW laikmetā to sauca arī par Miner Extractable Value vienīgā loma, kas nosaka darījumu secību (pašreizējās lomas ar šīm divām atļaujām ir ieguvēji un pārbaudītāji, pirms tikai kalnračiem).

MEV attiecas uz peļņas mēru, ko guvuši dalībnieki, piemēram, pārbaudītāji vai sekvencētāji, veicot selektīvas operācijas ar darījumiem (tostarp darījumiem, kārtošanas darījumiem un pārkārtošanas darījumiem) blokos, kurus tie ražo.

·Verificētājs: dalībnieks, kas atbild par darījumu pārbaudi un bloku veidošanu;

·Sekvencētājs: dalībnieks, kas atbild par darījumu secības noteikšanu;

·Iekļaut transakcijas: Izvēlieties, kuras transakcijas tiks iekļautas blokā;

·Izslēgt darījumus: Izvēlieties, kuras transakcijas netiks iekļautas blokā;

·Pārkārtot darījumus: nosaka darījumu secību blokā;

Hakeri, kas pašlaik izmanto MEV, galvenokārt mērķē uz maka adresēm, kuras ir ieguvušas airdrop momentuzņēmuma kvalifikāciju un kuru ieķīlātie marķieri tiks atbloķēti. Priekšnoteikums, lai hakeri varētu uzsākt šādus uzbrukumus, ir iegūt maka privāto atslēgu, pēc tam iespējot dinamisko gāzes uzraudzību un gaidīt lietotāja. atbilde Pēc marķiera vai gāzes maksas saņemšanas tajā pašā blokā vai blakus blokā tiek nosūtīts izņemšanas darījums, kas ir priekšējais darījums. Mēs saucam par Sweeper robotu. )

Aizsardzības metodes (kā piemēru ņemot ETH)

Pirmkārt, šāda veida aizsardzībai ir divas idejas, jo tā ir konkurēt ar hakeriem par ātrumu, pirmā ir palielināt Nonce of Gas cenu un darījumu šķirošanu.

Tā kā Ethereum darījuma maksa = Gāze (daudzums) * Gāzes cena (vienības cena), katra Ethereum bloka Gāzes limita jauda ir fiksēta, tātad kuram Gāzes cena ir augstāka, kura darījumi tiks iepakoti blokā pirmais Bloka apstiprinājums , turklāt nonce Ethereum apzīmē darījumu skaitu. Šis jēdziens ir jāapvieno ar to, ka pats Ethereum ir balstīts uz kontiem, tāpēc katrs atšķirīgais konts uztur savu nonce, un katrs Ethereum konta darījums būs. unikāla nonce, kas var ne tikai novērst atkārtošanas uzbrukumus (viens un tas pats darījums tiek apstrādāts vairākas reizes), bet arī ļauj EVM virtuālajai mašīnai precizēt transakciju secību (piemēram, ja noteikta darījuma nonce ir 5, tad šis darījums Pirms darījuma apstrādes ir jābūt apstrādātam darījumam ar nonce 4 kontā)

Otra ideja ir savienot mezglus ar ātrāku apstiprināšanas ātrumu un lielāku darījumu neskaidrību.

Mainot savienojuma mezglu, pirmais ieteikums ir TAICHI tīkla mezgls. Šis tīkls ir privātuma drošības risinājums, kas balstīts uz tādām blokķēdēm kā ETH un Solana. Tas ievieš darījumu apjukumu un privātuma aizsardzību, ieviešot vairākus releja mezglus atbildīgs par lietotāju darījumu pieprasījumu saņemšanu un to sajaukšanu ar citiem darījumiem, lai slēptu darījuma avotu un mērķi.

·Releja mezgli: šie mezgli ir TAICHI tīkla kodols, tie ir atbildīgi par transakciju saņemšanu, sajaukšanu un pārsūtīšanu;

Darījumu sajaukšana: sajaucot vairākus darījumus, releja mezgli var efektīvi paslēpt viena darījuma avotu un mērķi;

· Privātuma aizsardzība: šī metode var efektīvi novērst datu analīzi un izsekošanu ķēdē un aizsargāt lietotāju privātumu;

Sweeper darbības veids ir transakciju ierakstu uzraudzība publiskās atmiņas pūlā, lai panāktu preventīvus darījumus, taču TAICHI mezgls ļauj mums iesniegt parakstītus darījumus tieši kalnračiem bez apraides caur publisko atmiņas kopu, kas nozīmē, ka Sweeper ir liela uzraudzības iespējamība. Ja nē, pastāv iespēja steidzināt Sweeper (publiskās atmiņas baseins attiecas uz transakciju kolekciju, kas ir pārraidītas, bet vēl nav iepakotas blokos). )

Otrais ieteicamais mezgls ir FlashProtect ir MEV problēmas risinājums, ko nodrošina FlashBots organizācija. Tā darbības princips ir iesaiņot lietotāja darījumus un nosūtīt tos tieši kalnračiem, nevis caur publisko atmiņas kopu. Lai neļautu ļaunprātīgiem kalnračiem un robotiem atklāt un izmantot šos darījumus, lai izņemtu līdzekļus, izmantojot MEV, tā trūkums ir tas, ka darījumi ir ļoti lēni, jo tiek izmantots Flashbots mempool, kuram ir daudz mazāk pārbaudītāju nekā publiskajam mempool .

Secinājums

Kopumā dažādas aizsardzības metodes ir paredzētas arī, lai uzturētu decentralizēto darījumu šķirošanas procesu un nodrošinātu, ka viedie līgumi darījumus apstrādā godīgi, taču fundamentālākajam risinājumam jābūt korekciju veikšanai no kalnraču un verificētāju viedokļa.

Chainyuan Technology ir uzņēmums, kas koncentrējas uz blokķēdes drošību. Mūsu pamatdarbs ietver blokķēdes drošības izpēti, datu analīzi ķēdē, kā arī līdzekļu un līgumu ievainojamības glābšanu, un mēs esam veiksmīgi atguvuši daudzus nozagtus digitālos īpašumus personām un iestādēm. Tajā pašā laikā mēs esam apņēmušies nodrošināt projektu drošības analīzes ziņojumus, ķēdes izsekojamību un tehnisko konsultāciju/atbalsta pakalpojumus nozares organizācijām. )

Paldies, ka izlasījāt, mēs turpināsim pievērsties blokķēdes drošības saturam un kopīgot to. )