MEV机器人被攻击,导致146万美元的资产受到损失。
虽然合约无法被看到并被证实,但交易流程显示,漏洞合约被批准转移了1101枚ETH。
此前,该MEV机器人本身也刚刚完成了一笔交易,从仅仅11美元的USDT交易中获利了15万美元。
什么是MEV
MEV是“矿工可提取价值”或“最大可提取价值”的缩写。矿工,或者更准确地说是验证者,有能力在区块内对交易进行排序。这种重新安排交易顺序的能力意味着他们可以领先于用户的交易。
最常见的MEV的形式之一被人们称为三明治攻击,即验证者看到有人试图购买某种资产,所以他们在原始交易之前就“插队”进行自己的交易并购买资产,然后加价卖给原始购买者。
通过此行为,他们可从用户身上榨取价值,而用户往往并不知道他们没有得到他们所期望的价格。因此此类MEV机器人可以多次重复交易从而获得丰厚的利润。
这里有个很简单的例子或许可以帮你直接理解:如果一个代币的价格是1美元,你买了价值100万美元的代币,你自然会期待得到100万个代币。
Lido DAO发起提案拟创建新多重签名钱包接收ARB空投代币:4月16日消息,流动性质押协议Lido发推称,Arbitrum基金会此前宣布Lido协议有资格申领772,621枚ARB代币,针对此次空投Lido DAO reWARDS委员会发起提案,涵盖与申领和有效使用潜在ARB代币相关运营和战略主题,其中包括:
1. 为Lido DAO指定一名或一组代表,告知Lido DAO将接受空投并开始认领程序。
2. 任命Lido DAO reWARDS委员会作为DAO的指定代表,负责与Arbitrum基金会的沟通和处理空投代币申领。
3. 确认reWARDS委员会有权使用申领ARB代币。
4. reWARDS委员会将在Arbitrum One网络上创建一个新的4/7多重签名钱包,用于接收ARB代币。
5. 将在未来4-6个月内通过激励在Arbitrum生态系统中采用wstETH来增加质押。
6. 提议使用月度报告结构以确保Lido DAO社区了解该计划的进展情况。[2023/4/16 14:06:50]
但是,如果一个MEV机器人在一个未确认的区块中发现了你的交易,它将在你之前以1美元的价格购买N量的代币。在你的交易执行之前,价格可能会增加到2美元甚至更高,所以你最终只收到50万个代币。你的这笔交易也将代币价格提升到了3美元。随后,MEV机器人将以现在的高价出售它所在你之前就购买的代币。
澳洲地方市长或就诽谤信息起诉ChatGPT:金色财经报道,澳大利亚墨尔本西部赫本郡的市长布赖恩?胡德指控OpenAI旗下的ChatGPT对其进行诽谤,或将对该公司提起诉讼,因为该聊天机器人在回答问题时错误地声称他是贿赂丑闻的有罪方。值得注意的是,一旦正式提起,这将是全球首例针对生成式AI的诽谤诉讼。随着生成式AI造成的虚假信息泛滥,ChatGPT等工具受到诽谤诉讼或许只是时间问题。[2023/4/6 13:48:30]
事件总结
2022年9月27日,MEV机器人被攻击利用,造成了1,463,112.71美元的资产损失。
MEV机器人的所有者给攻击者发了一条信息,“祝贺”他们发现了“难以发现”的漏洞,并为他们提供了20%的赏金以换取暂时不采取法律行动的”承诺“。该”承诺“的最后生效期限是北京时间2022年9月29日早7点59分。
GameStop选择0x协议API为其数字资产钱包中的DEX交易提供支持:7月10日消息,电子游戏及相关产品零售商GameStop为在其自托管钱包中支持DEX交易,使用0x协议API访问多链流动性,为其用户提供无缝的交易体验。[2022/7/10 2:03:05]
在MEV机器人被利用之前,它已经预先运行了一笔交易,该交易从仅仅11美元的USDT中获利了15万美元。该交易是一个180万美元的系列兑换,从cUSD兑换成WETH再到USDC。由于交易过程中的价格下跌,180万美元的SWAP只换来了约500美元的USDC。
在MEV机器人漏洞被公开后,钱包所有者给MEV漏洞利用者发了消息。除了请求归还资金以及提供“漏洞发现的奖励”,还解释说他们错误地触发了SWAP。而真正的目的其实是为了分装他们的代币。
STEPN将在完成Sneaker Enhance的用户中抽取2000名获得APE Sneaker:6月27日消息,Move to Earn应用STEPN近期宣布将在完成Sneaker Enhance的用户中抽取2000名获得APE Sneaker,同时已通过“Double-Enhancing”获得APE Sneaker的用户将不在抽奖范围内。抽奖活动将持续到Realm3开放日之前的24小时,每个账号最多可赢得一只APESneaker。购买“Enhance”运动鞋的用户将不在抽奖范围内;但完成Sneaker Enhance的用户,即使将“Enhance”运动鞋出售,仍然有资格参与抽奖。[2022/6/27 1:33:27]
攻击流程
MEV机器人的代码不是开源的,因此我们很难看到这个漏洞到底是如何被利用的。但是CertiK的安全专家还是确定了以下一些细节:
①漏洞利用者的EOA在漏洞合约上调用了contract.exexute
瑞士风投公司CVVC推出非洲区块链早期基金:金色财经消息,总部位于瑞士的风投公司Crypto Valley Venture Capital (CVVC) 推出了非洲区块链早期基金,已与瑞士国家经济事务秘书处 (SECO) 合作开展这项工作,目标是在未来4年内资助大约100家来自非洲的初创公司(News Bitcoin)[2022/5/24 3:38:58]
②漏洞合约调用dydx.SoloMargin.operate,paramsactionType=8,对应ICallee(args.callee).callFunction()
③dydx.SoloMargin.operate触发delegateCalldydx.OperationImpl.operate。
④delegateCall是MEVBot.callFunction(byte4),byte4是WETH9.approval(exploitcontract,wad)。攻击合约获得批准,1101枚ETH被发送到了漏洞利用者的钱包。
链上活动
首先,有180万美元被换成了大约500美元的稳定币。
其次在这笔交易中,我们可以看到0x430a向Uniswap发送了180万美元的cUSDC,并收到528美元的稳定币作为回报。
MEV机器人在下图的交易中赚取了1101枚ETH。
就在几个小时后,我们看到一笔价值1,463,112.71美元的WETH交易通过一个未知的函数被发送到0xB9F7,这就是被攻击利用的那笔交易。
随后,尽管MEV机器人所有者向该事件的“始作俑者”发出信息,要求归还他们资金,但这次似乎不像其他的攻击,社群未对被攻击者有怜悯之心。
MEV在那些不怎么使用它的人群中是非常不受欢迎的,因为以太坊的高额费用和拥堵问题,加上DeFi生态系统十分活跃,让MEV机器人有了很多坐收渔利的可乘之机。许多用户在交易过程中都不可避免地要经历被MEV机器人套取价值,因此很多用户都在交易中为攻击发起者拍手称快以表达自己的不满。
当然也有一些人则趁机要求分一杯羹。
写在最后
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于金色财经及官方公众号发布与项目预警相关的信息。请大家持续关注!
来源:金色财经
DG平台是一个跨链聚会生态平台在(BSC)链上运行,随着区块链的出现和发展,世界开始在很多行业中追求开放、透明、去中心化.
1900/1/1 0:00:00近日,波场TRON创始人孙宇晨出席韩国全球区块链会议UDC并发布《TRON聚焦引领Web3.0发展》主题演讲,引发了媒体热切关注.
1900/1/1 0:00:00传统观点认为,如果美元走强,加密货币等资产就会变得更便宜。然而事实果真如此吗?在过去的一周里,美联储做了许多人预期的事情:将联邦基金利率提高了75个基点——这是美联储连续第三次加息.
1900/1/1 0:00:00自从合并以来,以太坊面临着一些巨大的抛售压力,这是事件的后遗症。然而,ETH价格的下跌能否开启投资者以折扣价购买alt的可能性?ETH会重新获得一些兴趣吗?尽管合并后发生了事件,但代币发行的减少.
1900/1/1 0:00:00ALEO,它是第一个用于构建完全私有、可扩展且具有成本效益的应用程序的开发人员平台。使用零知识密码学,Aleo将智能合约执行转移到链下,以支持各种去中心化应用程序,这些应用程序既完全私有又可以扩.
1900/1/1 0:00:009.28今日热点欧盟计划于2023年就数字欧元提出立法金色财经报道,在今天由法兰西银行主办的一次会议上,欧盟专员MaireadMcGuinness表示.
1900/1/1 0:00:00