Nền kinh tế blockchain đã có sự tăng trưởng theo cấp số nhân trong vài năm qua, đặc biệt là với hệ sinh thái DeFi đạt đỉnh giá trị 300 tỷ USD vào năm 2022. Kể từ khi Web3 phát triển, nhiều phương thức tấn công và lỗ hổng bảo mật logic khác nhau đã xuất hiện. Bắt đầu từ 2017, Giá trị có thể trích xuất tối đa (MEV) đã đứng đầu trong các phương thức tấn công gây tổn thất cho chuỗi ETH quanh năm. Bài viết này sẽ phân tích và sắp xếp các nguyên tắc cơ bản cũng như phương pháp bảo vệ của MEV, giúp người dùng nâng cao khả năng bảo vệ tài sản của chính mình.
Thông tin cơ bản về MEV
MEV, tên đầy đủ là Giá trị có thể trích xuất tối đa. Trong kỷ nguyên POW của Ethereum, nó còn được gọi là Giá trị có thể trích xuất của công cụ khai thác sau khi một số lượng lớn chuỗi khối được chuyển đổi thành POS, nó được đổi tên thành Giá trị có thể trích xuất tối đa. vai trò duy nhất xác định thứ tự của các giao dịch (các vai trò hiện tại có hai quyền này là người khai thác và người xác thực, trước đây chỉ là người khai thác).
MEV đề cập đến thước đo lợi nhuận mà những người tham gia thu được như người xác thực hoặc người sắp xếp thứ tự bằng cách thực hiện các hoạt động chọn lọc trên các giao dịch (bao gồm giao dịch, sắp xếp giao dịch và sắp xếp lại giao dịch) trong các khối mà họ tạo ra.
- Người xác minh: Người tham gia chịu trách nhiệm xác minh các giao dịch và tạo khối;
- Sequencer: Người tham gia chịu trách nhiệm quyết định thứ tự giao dịch;
- Bao gồm các giao dịch: Chọn những giao dịch nào sẽ được đưa vào khối;
- Loại trừ các giao dịch: Chọn những giao dịch sẽ không được đưa vào khối;
- Sắp xếp lại các giao dịch: xác định thứ tự các giao dịch trong khối;
Hiện tại, tin tặc sử dụng MEV chủ yếu nhắm mục tiêu vào các địa chỉ ví đã đạt được tiêu chuẩn chụp nhanh airdrop và có mã thông báo đã cam kết sắp được mở khóa. Điều kiện tiên quyết để tin tặc thực hiện các cuộc tấn công như vậy là lấy khóa riêng của ví, sau đó kích hoạt tính năng giám sát Gas động và chờ đợi. phản hồi của người dùng Sau khi có mã thông báo hoặc phí gas, giao dịch rút tiền sẽ được gửi trong cùng một khối hoặc khối liền kề, đây là giao dịch chạy trước. Chúng tôi gọi loại robot giám sát này là robot Sweeper.
Phương pháp bảo vệ (lấy ETH làm ví dụ)
Trước hết, có hai ý tưởng cho kiểu bảo vệ này vì nó là để cạnh tranh với hacker về tốc độ, thứ nhất là tăng giá gas và đặt hàng giao dịch Nonce.
Vì phí giao dịch của Ethereum = Gas (số lượng) * Giá Gas (đơn giá), nên dung lượng Gas Limit của mỗi khối Ethereum là cố định, do đó Giá Gas của ai cao hơn, giao dịch của ai sẽ được đóng gói vào khối xác nhận Khối đầu tiên, trong Ngoài ra, nonce trong Ethereum đại diện cho số lượng giao dịch. Khái niệm này phải được kết hợp với thực tế là bản thân Ethereum dựa trên các tài khoản, do đó mỗi tài khoản khác nhau sẽ duy trì nonce của riêng mình và mỗi giao dịch của mỗi tài khoản trong Ethereum sẽ có một nonce duy nhất. nonce, điều này không chỉ có thể ngăn chặn các cuộc tấn công lặp lại (cùng một giao dịch được xử lý nhiều lần) mà còn cho phép máy ảo EVM làm rõ thứ tự các giao dịch (ví dụ: nonce của một giao dịch nhất định là 5, thì trong giao dịch này Trước giao dịch được xử lý, giao dịch có số không bằng 4 trong tài khoản phải được xử lý)
Ý tưởng thứ hai là kết nối các nút với tốc độ xác nhận nhanh hơn và độ nhầm lẫn trong giao dịch cao hơn.
Nếu bạn thay đổi nút kết nối, đề xuất đầu tiên ở đây là nút mạng TAICHI. Mạng này là một giải pháp bảo mật quyền riêng tư dựa trên các chuỗi khối như ETH và Solana. Nó thực hiện sự nhầm lẫn trong giao dịch và bảo vệ quyền riêng tư bằng cách giới thiệu một loạt các nút chuyển tiếp. có nhiệm vụ tiếp nhận các yêu cầu giao dịch của người dùng và trộn lẫn với các giao dịch khác nhằm che giấu nguồn gốc và mục đích của giao dịch.
·Nút chuyển tiếp: Các nút này là cốt lõi của mạng TAICHI và chịu trách nhiệm nhận, trộn và chuyển tiếp các giao dịch;
Trộn giao dịch: Bằng cách trộn nhiều giao dịch với nhau, các nút chuyển tiếp có thể ẩn nguồn và mục đích của một giao dịch một cách hiệu quả;
·Bảo vệ quyền riêng tư: Phương pháp này có thể ngăn chặn hiệu quả việc phân tích và theo dõi dữ liệu trên chuỗi cũng như bảo vệ quyền riêng tư của người dùng;
Cách thức hoạt động của Sweeper là giám sát các bản ghi giao dịch trong nhóm bộ nhớ công cộng để đạt được các giao dịch được ưu tiên, nhưng nút TAICHI cho phép chúng tôi gửi các giao dịch đã ký trực tiếp cho các thợ mỏ mà không cần phát qua nhóm bộ nhớ công cộng, điều đó có nghĩa là Sweeper có xác suất giám sát cao Nếu không, có khả năng bị Sweeper chiếm quyền trước (nhóm bộ nhớ công cộng đề cập đến tập hợp các giao dịch đã được phát sóng nhưng chưa được đóng gói thành các khối).
Nút được đề xuất thứ hai là FlashProtect là một giải pháp cho vấn đề MEV trong hệ thống Ethereum do tổ chức FlashBots cung cấp là đóng gói các giao dịch của người dùng và gửi chúng trực tiếp đến các thợ mỏ thông qua Flashbots thay vì thông qua nhóm bộ nhớ công cộng. Để ngăn chặn các công cụ khai thác và bot độc hại phát hiện và khai thác các giao dịch này trong mempool công cộng để rút tiền bằng MEV, điểm bất lợi là các giao dịch rất chậm vì mempool Flashbots được sử dụng, có ít trình xác nhận hơn nhiều so với mempool công cộng.
Nhìn chung, các phương pháp bảo vệ khác nhau cũng nhằm duy trì quá trình phân loại các giao dịch phi tập trung và đảm bảo rằng hợp đồng thông minh xử lý các giao dịch một cách công bằng, nhưng giải pháp cơ bản nhất phải là điều chỉnh từ góc độ của người khai thác và người xác minh.