MEV:MEV机器人被攻击损失146万美元事件分析

MEV机器人被攻击，导致146万美元的资产受到损失。

虽然合约无法被看到并被证实，但交易流程显示，漏洞合约被批准转移了1101枚ETH。

此前，该MEV机器人本身也刚刚完成了一笔交易，从仅仅11美元的USDT交易中获利了15万美元。

什么是MEV

MEV是“矿工可提取价值”或“最大可提取价值”的缩写。矿工，或者更准确地说是验证者，有能力在区块内对交易进行排序。这种重新安排交易顺序的能力意味着他们可以领先于用户的交易。

最常见的MEV的形式之一被人们称为三明治攻击，即验证者看到有人试图购买某种资产，所以他们在原始交易之前就“插队”进行自己的交易并购买资产，然后加价卖给原始购买者。

通过此行为，他们可从用户身上榨取价值，而用户往往并不知道他们没有得到他们所期望的价格。因此此类MEV机器人可以多次重复交易从而获得丰厚的利润。

这里有个很简单的例子或许可以帮你直接理解：如果一个代币的价格是1美元，你买了价值100万美元的代币，你自然会期待得到100万个代币。

MEV机器人遭黑客攻击，损失超2000万美元:4月3日消息，据推特用户3155.eth在社交媒体披露，某些顶级MEV机器人被锁定为黑客的攻击目标，三明治套利中的交易模块被替换，目前已造成超过2000万美元的损失，这可能成为可能是整个MEV生态系统的主要转折点。简单解释为黑客拿到了三明治套利的大户bot的bundle交易，bundle里有3个交易为1.大量买入，2.被夹用户的交易，3.大量卖出。黑客拿到了这个bundle，拆解了bundle，把2替换了成自己的交易，用便宜代币换走了bot的资金，之后第3步交易失败。”此外，根据@punk3155的推文，某MEV机器人遭遇了上述攻击，总损失已达2000万美元。[2023/4/3 13:41:50]

但是，如果一个MEV机器人在一个未确认的区块中发现了你的交易，它将在你之前以1美元的价格购买N量的代币。在你的交易执行之前，价格可能会增加到2美元甚至更高，所以你最终只收到50万个代币。你的这笔交易也将代币价格提升到了3美元。随后，MEV机器人将以现在的高价出售它所在你之前就购买的代币。

MEVerse链测试网已集成EVM及Solidity:1月2日消息，韩国手游公司Me2Gen宣布，已将EVM集成至MEVerse的测试网中。MEVerse是该公司所创建的区块链主网， 该公司相关负责人表示，“由于以太坊占据了公链主网市场的很大一部分，如果将??Solidity应用于主网，将有利于我们引入基于以太坊的项目。”

该公司预计将于1月份正式将其集成至主网。（coindesk）[2023/1/2 22:21:02]

事件总结

2022年9月27日，MEV机器人被攻击利用，造成了1,463,112.71美元的资产损失。

MEV机器人的所有者给攻击者发了一条信息，“祝贺”他们发现了“难以发现”的漏洞，并为他们提供了20%的赏金以换取暂时不采取法律行动的”承诺“。该”承诺“的最后生效期限是北京时间2022年9月29日早7点59分。

Crypto.comEVM兼容链Cronos公布第一批生态资助项目:1 月 26 日，Crypto.com的EVM兼容链Cronos公布其生态资助计划的第一批受赠项目名单。资助计划从70多个申请中选出6个项目作为资助对象，涵盖NFT、DeFi和游戏等当前市场热度较高的概念类别，分别为Agora、Chrtr、EntropyFi、LegendsofMitra（GemStudios）、SingleFinance、TheCronicle。[2022/1/26 9:14:22]

在MEV机器人被利用之前，它已经预先运行了一笔交易，该交易从仅仅11美元的USDT中获利了15万美元。该交易是一个180万美元的系列兑换，从cUSD兑换成WETH再到USDC。由于交易过程中的价格下跌，180万美元的SWAP只换来了约500美元的USDC。

韩国上市游戏开发公司Gamevil收购区块链科技公司Zenaad:11月25日消息，韩国上市游戏开发公司Gamevil已收购区块链科技公司Zenaad，计划发展基于区块链的游戏平台。Gamevil昨日透露，收购Zenaad后，其区块链生态系统建设已进入最后阶段。Zenaad的技术力量已经内化到Gamevil的开发团队中。该公司将利用区块链技术用于为其NFT交易所构建电子钱包，并为其全球游戏服务平台HIVE开发基于区块链的广告解决方案。

据了解，Gamevil的HIVE平台正在转变为一个基于区块链的开放游戏平台，以增强公司开发链游的环境，并促进NFT的便捷交易。Gamevil的NFT交易所将于2022年上半年推出。（Forkast）[2021/11/25 7:11:05]

在MEV机器人漏洞被公开后，钱包所有者给MEV漏洞利用者发了消息。除了请求归还资金以及提供“漏洞发现的奖励”，还解释说他们错误地触发了SWAP。而真正的目的其实是为了分装他们的代币。

王纯：对于MEV可能存在的问题可通过代码的方式来应对:F2Pool联合创始人、stakefish创始人王纯在DeFi Discussions线上峰会探讨MEV（矿工可提取价值）话题时指出，以代码即法律的观点来讲，就要看代码是否允许提前交易重拍交易等矿工获取MEV的行为。这有些像探讨51%攻击一样，它是比特币的特点而不是bug。在2016年的The DAO事件时有许多关于分叉的争议，当时F2Pool可能是唯一不支持任何人为因素致使分叉的主流矿池，因为我们相信“代码即法律”。我们可能并不应该去限制自己这样的能力，而是在如果获取MEV成为问题或者对网络造成威胁，我们可以考虑创建一个API让每个人都能做到提前交易或者重排交易，依次来应对这个问题。这类似于Push Tx或者交易加速这种功能，目前已经有参与者询问我们是否可以提供在以太坊上类似的服务，我们可以看看这类服务如何影响网络。[2020/5/4]

攻击流程

MEV机器人的代码不是开源的，因此我们很难看到这个漏洞到底是如何被利用的。但是CertiK的安全专家还是确定了以下一些细节：

①漏洞利用者的EOA在漏洞合约上调用了contract.exexute

②漏洞合约调用dydx.SoloMargin.operate，paramsactionType=8，对应ICallee(args.callee).callFunction()

③dydx.SoloMargin.operate触发delegateCalldydx.OperationImpl.operate。

④delegateCall是MEVBot.callFunction(byte4)，byte4是WETH9.approval(exploitcontract,wad)。攻击合约获得批准，1101枚ETH被发送到了漏洞利用者的钱包。

链上活动

首先，有180万美元被换成了大约500美元的稳定币。

其次在这笔交易中，我们可以看到0x430a向Uniswap发送了180万美元的cUSDC，并收到528美元的稳定币作为回报。

MEV机器人在下图的交易中赚取了1101枚ETH。

就在几个小时后，我们看到一笔价值1,463,112.71美元的WETH交易通过一个未知的函数被发送到0xB9F7，这就是被攻击利用的那笔交易。

随后，尽管MEV机器人所有者向该事件的“始作俑者”发出信息，要求归还他们资金，但这次似乎不像其他的攻击，社群未对被攻击者有怜悯之心。

MEV在那些不怎么使用它的人群中是非常不受欢迎的，因为以太坊的高额费用和拥堵问题，加上DeFi生态系统十分活跃，让MEV机器人有了很多坐收渔利的可乘之机。许多用户在交易过程中都不可避免地要经历被MEV机器人套取价值，因此很多用户都在交易中为攻击发起者拍手称快以表达自己的不满。

当然也有一些人则趁机要求分一杯羹。

写在最后

攻击发生后，CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时，CertiK也会在未来持续于金色财经及官方公众号发布与项目预警相关的信息。请大家持续关注！

标签：MEV区块链ETHGAMEMEVerse哪个不是区块链特性ethical这么读TIR RUNE - Rune.Game

比特币交易热门资讯