MEV-ბოტებზე თავდასხმის შედეგად $25 მილიონია დაკარგული
MEV ბოტები ფუნქციონირებენ, როგორც მაღალსიხშირული ტრეიდერები, რომლებიც სარგებლობენ არბიტრაჟის შესაძლებლობებით და ამისთვის ბლოკჩეინის ოპერაციების სიჩქარესა და სხვადასხვა ასპექტებს იყენებენ. თუმცა, ეს ბოტები რისკის ქვეშ აყენებენ დიდ თანხებს, რათა ფასებით მანიპულაცია მაღალ დონემდე მოახდინონ, რაც მათ ექსპლოიტების მიმართ მოწყვლადს ხდის.
3 აპრილს, ბოროტმოქმედმა რამდენიმე MEV-ბოტის კომპრომეტირება მოახდინა, როდესაც მათი ჩვეული ტრანზაქციები მავნეებით ჩაანაცვლა. ამან სახსრების მოპარვა და MEV–ბოტებისთვის მნიშვნელოვანი ზარალი გამოიწვია. Wintermute-ის ტრეიდერმა, ჯოზეფ პლაზამ განმარტა, რომ MEV–ბოტების შესატყუებლად ბოროტმოქმედმა სატყუარა–ტრანზაქციები გამოიყენა და სახსრების მითვისების მიზნით ისინი მავნე ტრანზაქციებით ჩაანაცვლა. ინციდენტამდე 18 დღით ადრე, ბოროტმოქმედმა ანგარიში 32 ETH–ითაც კი შეავსო, რათა ვალიდატორი გამხდარიყო და თავდასხმისთვის მომზადებულიყო.
პლაზამ ივარაუდა, რომ ბოროტმოქმედი დაელოდა თავის რიგს, რათა ბლოკი ვალიდატორის რანგში შეეთავაზებინა, რამაც საშუალება მისცა, მოეხდინა ბლოკის შინაარსის რეორგანიზაცია და შეექმნა ახალი, რომელიც აქტივების გასატანის მიზნით შესრულებულ მავნე ტრანზაქციებს მოიცავდა. მოგვიანებით კომპანიამ PeckShield მოპარულ აქტივებს მიაკვლია სამ Ethereum-მისამართზე, რომლებიც სახსრების კონსოლიდირებას რვა სხვა მისამართიდან ახდენდნენ.
MEV-Boost-ის დეველოპერი Flashbots ინციდენტს გამოეხმაურა ფუნქციის დანერგვით, რომელიც რელეებს აძლევს ინსტრუქციას, გამოაწვეყნონ ხელმოწერილი ბლოკი, სანამ მის შინაარსს პროპოზერს გადასცემენ. ამ დამატებითი ნაბიჯის მიზანია, შეამციროს იმის ალბათობა, რომ MEV-Boost-ის ფარგლებში თავდამსხმელი შესთავაზებს ბლოკს, რომელიც განსხვავდება იმისგან, რაც მან რელესგან მიიღო და მომავალში მსგავსი ინციდენტების პრევენცია მოახდინოს. ეს ბოლოდროინდელი ექსპლოიტი ბოროტმოქმედებისგან ბლოკჩეინ–ტრანზაქციების დასაცავად უსაფრთხოების უფრო ეფექტური ზომების აუცილებლობას უსვამს ხაზს.
პლაზამ ივარაუდა, რომ ბოროტმოქმედი დაელოდა თავის რიგს, რათა ბლოკი ვალიდატორის რანგში შეეთავაზებინა, რამაც საშუალება მისცა, მოეხდინა ბლოკის შინაარსის რეორგანიზაცია და შეექმნა ახალი, რომელიც აქტივების გასატანის მიზნით შესრულებულ მავნე ტრანზაქციებს მოიცავდა. მოგვიანებით კომპანიამ PeckShield მოპარულ აქტივებს მიაკვლია სამ Ethereum-მისამართზე, რომლებიც სახსრების კონსოლიდირებას რვა სხვა მისამართიდან ახდენდნენ.
MEV-Boost-ის დეველოპერი Flashbots ინციდენტს გამოეხმაურა ფუნქციის დანერგვით, რომელიც რელეებს აძლევს ინსტრუქციას, გამოაწვეყნონ ხელმოწერილი ბლოკი, სანამ მის შინაარსს პროპოზერს გადასცემენ. ამ დამატებითი ნაბიჯის მიზანია, შეამციროს იმის ალბათობა, რომ MEV-Boost-ის ფარგლებში თავდამსხმელი შესთავაზებს ბლოკს, რომელიც განსხვავდება იმისგან, რაც მან რელესგან მიიღო და მომავალში მსგავსი ინციდენტების პრევენცია მოახდინოს. ეს ბოლოდროინდელი ექსპლოიტი ბოროტმოქმედებისგან ბლოკჩეინ–ტრანზაქციების დასაცავად უსაფრთხოების უფრო ეფექტური ზომების აუცილებლობას უსვამს ხაზს.
