Hash (SHA 1):b366289db9b21c3e9b6668c274e4a179be57a463

Numara: Lianyuan Güvenlik Bilgisi No.008

Geçtiğimiz birkaç yılda, blockchain ekonomisi katlanarak büyüme yaşadı, özellikle de DeFi ekosisteminin kilitli değerinin 300 milyar dolarlık zirveye ulaştığı 2022'de. Web3'ün gelişmesiyle birlikte çeşitli saldırı yöntemleri ve mantıksal güvenlik açıkları ortaya çıktı. 2017 yılından itibaren ETH zincirine tüm yıl boyunca zarar veren saldırı yöntemlerinin başında Maksimum Çıkarılabilir Değer (MEV) geliyor. Chainsource güvenlik ekibi, okuyucuların kendi varlıklarını koruma becerilerini geliştirmelerine yardımcı olmayı umarak MEV'in temel ilkelerini ve koruma yöntemlerini analiz edip sıraladı.

MEV'in temel prensipleri

MEV, tam adı Maksimum Çıkarılabilir Değer'dir. Ethereum'un POW döneminde, çok sayıda blok zincirinin POS'a dönüştürülmesinden sonra, artık blok üreticisi olmadığı için, Madenci Çıkarılabilir Değer olarak da adlandırılmıştır. işlemlerin sırasını belirleyen tek rol (bu iki izne sahip mevcut roller, yalnızca madencilerden önce madenciler ve doğrulayıcılardır).

MEV, doğrulayıcılar veya sıralayıcılar gibi katılımcıların, ürettikleri bloklar içindeki işlemler (işlemler, sıralama işlemleri ve yeniden sıralama işlemleri dahil) üzerinde seçici işlemler gerçekleştirerek elde ettikleri kârın ölçüsünü ifade eder.

·Doğrulayıcı: İşlemlerin doğrulanmasından ve blok üretiminden sorumlu katılımcı;

· Sıralayıcı: İşlemlerin sırasına karar vermekten sorumlu katılımcı;

·İşlemleri dahil et: Bloğa hangi işlemlerin dahil edileceğini seçin;

·İşlemleri hariç tut: Hangi işlemlerin bloğa dahil edilmeyeceğini seçin;

· İşlemleri yeniden sıralayın: bloktaki işlemlerin sırasını belirleyin;

Şu anda MEV kullanan bilgisayar korsanları, çoğunlukla airdrop anlık görüntüsü niteliklerini elde etmiş ve taahhüt edilen tokenlerin kilidi açılmak üzere olan cüzdan adreslerini hedef alıyor. Bilgisayar korsanlarının bu tür saldırıları başlatmasının ön koşulu, cüzdan özel anahtarını elde etmek, ardından dinamik Gaz izlemeyi etkinleştirmek ve kullanıcının şifresini beklemektir. Token veya gas ücreti geldikten sonra aynı blokta veya bitişik blokta para çekme işlemi gönderilir, bu da önden çalışan bir işlemdir. Bu tür izleme robotlarına Süpürücü robot diyoruz.​

Koruma yöntemleri (ETH'yi örnek alarak)

Öncelikle bu tür bir koruma için iki fikir var. Hız konusunda hackerlarla rekabet etmek olduğundan, ilki Nonce of Gas fiyatını ve işlem sıralamasını artırmak.

Ethereum'un işlem ücreti = Gas (miktar) * Gas ​​Fiyatı (birim fiyat) olduğundan, her Ethereum bloğunun Gas Limit kapasitesi sabittir, yani kimin Gas Fiyatı daha yüksekse, kimin işlemleri ilk olarak bloğa paketlenecektir Blok onayı Buna ek olarak Ethereum'daki nonce, işlem sayısını temsil eder. Bu kavram, Ethereum'un kendisinin hesaplara dayandığı gerçeğiyle birleştirilmelidir, bu nedenle her farklı hesap kendi nonce'sini korur ve Ethereum'daki her hesabın her işlemi olacaktır. Yalnızca yeniden oynatma saldırılarını engellemekle kalmayıp (aynı işlem birden çok kez işlenir), aynı zamanda EVM sanal makinesinin işlemlerin sırasını netleştirmesine de olanak tanıyan benzersiz bir tek seferlik (örneğin, belirli bir işlemin tek seferlik değeri 5 ise, o zaman Bu işlem İşlemin gerçekleştirilebilmesi için hesapta nonce değeri 4 olan işlemin işlenmiş olması gerekir)

İkinci fikir, düğümleri daha hızlı onay hızı ve daha yüksek işlem karışıklığı ile birbirine bağlamaktır.

Bağlantı düğümünü değiştirirken buradaki ilk öneri TAICHI ağ düğümüdür. Bu ağ, ETH ve Solana gibi blockchainlere dayanan bir gizlilik güvenliği çözümüdür. Bu düğümleri bir dizi tanıtarak işlem karışıklığı ve gizlilik korumasını uygular. Kullanıcı işlem isteklerini almak ve işlemin kaynağını ve amacını gizlemek için bunları diğer işlemlerle karıştırmaktan sorumludur.

· Aktarma düğümleri: Bu düğümler TAICHI ağının çekirdeğidir, işlemlerin alınmasından, karıştırılmasından ve iletilmesinden sorumludurlar;

İşlem karıştırma: Aktarma düğümleri, birden fazla işlemi bir araya getirerek tek bir işlemin kaynağını ve amacını etkili bir şekilde gizleyebilir;

·Gizlilik koruması: Bu yöntem, zincir içi veri analizini ve takibini etkili bir şekilde önleyebilir ve kullanıcı gizliliğini koruyabilir;

Sweeper'ın çalışma şekli, önleyici işlemler gerçekleştirmek için genel bellek havuzundaki işlem kayıtlarını izlemektir, ancak TAICHI düğümü, imzalanmış işlemleri genel bellek havuzu aracılığıyla yayınlamadan doğrudan madencilere göndermemize olanak tanır; bu, Sweeper'ın izleme olasılığının yüksek olduğu anlamına gelir Aksi takdirde, Sweeper'ın aceleye getirilmesi olasılığı vardır (kamusal hafıza havuzu, yayınlanmış ancak henüz bloklar halinde paketlenmemiş işlemlerin toplanmasını ifade eder).​

Önerilen ikinci düğüm ise FlashProtect'tir. FlashProtect, Ethereum sistemindeki MEV sorununa FlashBots organizasyonu tarafından sağlanan bir çözümdür. Çalışma prensibi, kullanıcının işlemlerini paketleyip, genel hafıza havuzu yerine doğrudan madencilere göndermektir. Kötü niyetli madencilerin ve botların, MEV kullanarak para çekmek için genel bellek havuzundaki bu işlemleri keşfetmelerini ve kullanmalarını önlemek için, bunun dezavantajı, genel bellek havuzundan çok daha az doğrulayıcıya sahip olan Flashbots bellek havuzunun kullanılması nedeniyle işlemlerin çok yavaş olmasıdır.

Çözüm

Genel olarak çeşitli koruma yöntemleri de merkezi olmayan işlemlerin sıralama sürecini sürdürmek ve akıllı sözleşmelerin işlemleri adil bir şekilde işlemesini sağlamak için tasarlanmıştır ancak en temel çözüm, madenciler ve doğrulayıcılar açısından ayarlamalar yapmak olmalıdır.

Chainyuan Technology, blockchain güvenliğine odaklanan bir şirkettir. Temel çalışmalarımız arasında blockchain güvenlik araştırması, zincir içi veri analizi ve varlık ve sözleşme güvenlik açığı kurtarma yer alıyor ve bireyler ve kurumlar için çalınan birçok dijital varlığı başarıyla kurtardık. Aynı zamanda endüstri kuruluşlarına proje güvenliği analiz raporları, zincir üzerinde izlenebilirlik ve teknik danışmanlık/destek hizmetleri sağlamaya kararlıyız.​

Okuduğunuz için teşekkür ederiz. Blockchain güvenlik içeriğine odaklanmaya ve paylaşmaya devam edeceğiz.​