Güvenliği en üst düzeye çıkarma: DeFi'de MEV saldırılarıyla nasıl başa çıkılır?

Bu makalenin özeti (SHA 1): b366289db9b21c3e9b6668c274e4a179be57a463

No.: Lianyuan Güvenlik Bilgi No.008

Geçtiğimiz birkaç yılda, blok zinciri ekonomisi özellikle 2022'de DeFi ekosisteminin kilitli değerinin $300 milyarlık bir zirveye ulaştığı üstel büyüme yaşadı. Web3 ayrıca çeşitli saldırı yöntemleri ve mantıksal güvenlik açıkları gördü. 2017'den beri, Maksimum Çıkarılabilir Değer (MEV), ETH zincirinde kayıplara neden olan saldırı yöntemlerinin ön saflarında yer aldı. ChainSource Güvenlik Ekibi, okuyucuların korumalarını iyileştirmelerine yardımcı olmayı umarak MEV'in temel ilkeleri ve koruma yöntemleri hakkında ilgili analiz ve sıralama gerçekleştirdi. Kişinin kendi varlıklarının güvenliğini sağlama yeteneği.

MEV Temel İlkeleri

Tam adı Maximum Extractable Value olan MEV, Ethereum'un POW döneminde Miner Extractable Value olarak da adlandırılıyordu. Çok sayıda blockchain POS'a geçtikten sonra adı Maximum Extractable Value olarak değiştirildi. Çünkü artık blok üreticileri işlemlerin sırasına karar veren tek kişiler değil (şu anda bu iki izne sahip iki rol madenciler ve doğrulayıcılardır, ancak daha önce yalnızca madenciler vardı).

MEV, doğrulayıcılar veya sıralayıcılar gibi katılımcıların ürettikleri bloklar içerisinde işlemler üzerinde seçici işlemler (işlemler, işlemleri sıralama ve işlemleri yeniden düzenleme) gerçekleştirerek elde ettikleri kârın bir ölçüsünü ifade eder.

Doğrulayıcılar: İşlemleri doğrulamaktan ve blok üretmekten sorumlu katılımcılar;

Sıralayıcı: İşlemlerin sırasını belirlemekten sorumlu katılımcı;

İşlemleri dahil et: bloğa hangi işlemlerin dahil edileceğini seçin;

İşlemleri hariç tut: bloğa dahil edilmeyecek işlemleri seçin;

İşlemleri yeniden sırala: Bir bloktaki işlemlerin sırasını belirle;

Şu anda, MEV kullanan hacker'lar çoğunlukla airdrop anlık görüntü niteliklerini elde etmiş ve taahhüt edilen token'ları kilidi açılmak üzere olan cüzdan adreslerini hedef alıyor. Hacker'ların bu tür saldırıları başlatmasının ön koşulu, cüzdan özel anahtarını elde etmek, ardından dinamik Gas izlemeyi açmak ve kullanıcıları beklemektir. Token'lar veya gas ücretleri alındıktan sonra, aynı blokta veya bitişik bloklarda bir çekme işlemi gönderilir, buna ön çalıştırma işlemi denir. Bu tür izleme robotuna Sweeper robot adını veriyoruz.

Koruma yöntemleri (ETH'yi örnek alalım)

Öncelikle, bu tür koruma için iki fikir vardır. Amaç hız açısından hackerlarla rekabet etmek olduğundan, ilk yaklaşım Gas fiyatını ve işlem sıralama Nonce'unu artırmaktır.

Ethereum işlem ücreti = Gas (miktar) * Gas Fiyatı (birim fiyat) olduğundan ve her Ethereum bloğunun Gas Limit kapasitesi sabit olduğundan, daha yüksek bir Gas Fiyatı olanın işlemi önce bloğa paketlenecektir. Blok onayı, ayrıca, Ethereum'daki nonce işlem sayısını temsil eder. Bu kavram, Ethereum'un kendisinin hesap tabanlı olması gerçeğiyle birleştirilmelidir, bu nedenle her farklı hesap kendi nonce'unu korur ve Ethereum'daki her hesabın her işlemi Her işlemin benzersiz bir nonce'u vardır, bu da tekrar saldırılarını önleyebilir (aynı işlem birden çok kez işlenir) ve EVM sanal makinesinin işlem sırasını netleştirmesine olanak tanır (örneğin, bir işlemin nonce'u 5 ise, o zaman bu işlemde İşlem işlenmeden önce, hesaptaki nonce'u 4 olan işlem işlenmiş olmalıdır)

İkinci fikir, daha hızlı onay hızına ve daha yüksek işlem karartmasına sahip düğümlere bağlanmaktır

Bağlantı düğümünü değiştirmek istiyorsanız, önerilen ilk düğüm TAICHI ağ düğümüdür. Bu ağ, ETH ve Solana gibi blok zincirlerine dayalı bir gizlilik ve güvenlik çözümüdür. Bir dizi röle düğümü tanıtarak işlem karartma ve gizlilik koruması sağlar. Düğüm, kullanıcıların işlem isteğini almaktan ve işlemin kaynağını ve amacını gizlemek için diğer işlemlerle karıştırmaktan sorumludur.

Röle düğümleri: Bu düğümler TAICHI ağının çekirdeğini oluşturur ve işlemleri almak, karıştırmak ve iletmekten sorumludur;

İşlem karıştırma: Birden fazla işlemi bir araya getirerek, röle düğümleri bireysel işlemlerin kaynağını ve amacını etkili bir şekilde gizleyebilir;

Gizlilik koruması: Bu yöntem, zincir üstü veri analizini ve takibini etkili bir şekilde önleyerek kullanıcı gizliliğini koruyabilir;

Sweeper, işlemleri önceden tahmin etmek için genel bellek havuzundaki işlem kayıtlarını izleyerek çalışır; ancak TAICHI düğümü, imzalanmış işlemleri genel bellek havuzu üzerinden yayınlamadan doğrudan madencilere göndermemize olanak tanır; bu da Sweeper'ın muhtemelen izleme yapacağı anlamına gelir. Eğer mevcut değilse, Sweeper'ı önceden çalıştırma olasılığı vardır (genel bellek havuzu, yayınlanan ancak henüz bloğa paketlenmemiş işlemlerin koleksiyonunu ifade eder).

İkinci önerilen düğüm FlashProtect'tir. FlashProtect, Ethereum sistemindeki MEV sorununa FlashBots organizasyonu tarafından sağlanan bir çözümdür. Kullanıcı işlemlerini paketleyerek ve bunları genel bellek havuzundan ziyade doğrudan Flashbotlar aracılığıyla madencilere göndererek çalışır. Kötü niyetli madencilerin ve robotların genel bellek havuzundaki bu işlemleri keşfedip MEV kullanarak para çekmesini önlemek için. Dezavantajı, genel bellek havuzundan çok daha az doğrulayıcıya sahip olan Flashbots bellek havuzunu kullandığı için işlem hızının çok yavaş olmasıdır.

Çözüm

Genel olarak, merkezi olmayan işlemlerin sınıflandırma sürecini sürdürmek ve akıllı sözleşmelerin işlemleri adil bir şekilde ele almasını sağlamak için çeşitli koruma yöntemleri de hedeflenmektedir, ancak en temel çözüm madenciler ve doğrulayıcılar açısından ayarlamalar yapmak olmalıdır.

Lianyuan Technology, blok zinciri güvenliğine odaklanan bir şirkettir. Temel çalışmalarımız arasında blok zinciri güvenlik araştırması, zincir üstü veri analizi ve varlık ve sözleşme güvenlik açığı kurtarma yer alır. Bireyler ve kurumlar için birçok çalınan dijital varlığı başarıyla kurtardık. Aynı zamanda, endüstri kuruluşlarına proje güvenlik analizi raporları, zincir üstü izlenebilirlik ve teknik danışmanlık/destek hizmetleri sağlamaya kararlıyız.

Okuduğunuz için teşekkür ederiz. Blockchain güvenlik içeriğine odaklanmaya ve paylaşmaya devam edeceğiz.

Bu makale internetten alınmıştır: Güvenliği en üst düzeye çıkarma: DeFi'de MEV saldırılarıyla nasıl başa çıkılır

İlgili: Circle kurucusu: Neden kripto konusunda her zamankinden daha iyimserim

Orijinal yazar: Jeremy Allair Orijinal çeviri: TechFlow Kripto konusunda her zamankinden daha iyimserim. @Circle 11 yıldan uzun süredir inşa ediyorum ve hiç bu kadar iyimser olmamıştım. Ayrıca insanların büyük çoğunluğunun neler olup bittiğine dair son derece dar ve sınırlı bir anlayışa sahip olduğuna inanıyorum. Bu da iyimser olmak için bir sebep. Bu makale neden bu kadar iyimser olduğumu açıklıyor. Bakış açım, son 35 yıldır İnternet teknolojisi uygulamalarının yaşam döngüsünü yakından gözlemlememden geliyor. Açık ağların, açık protokollerin ve açık yazılımların ortaya çıkışına tanık olduk ve İnternet'teki altyapı sonsuz bir akışta ortaya çıktı, İnternet'in sosyal ve ekonomik faydasını derinleştirdi. Her dalga büyük endüstrileri dönüştürdü, insanların yaşam standartlarını iyileştirdi, bozdu veya…