MEV:MEV机器人被攻击损失146万美元事件分析_2PACNFT

MEV机器人被攻击，导致146万美元的资产受到损失。

虽然合约无法被看到并被证实，但交易流程显示，漏洞合约被批准转移了1101枚ETH。

此前，该MEV机器人本身也刚刚完成了一笔交易，从仅仅11美元的USDT交易中获利了15万美元。

什么是MEV

MEV是“矿工可提取价值”或“最大可提取价值”的缩写。矿工，或者更准确地说是验证者，有能力在区块内对交易进行排序。这种重新安排交易顺序的能力意味着他们可以领先于用户的交易。

最常见的MEV的形式之一被人们称为三明治攻击，即验证者看到有人试图购买某种资产，所以他们在原始交易之前就“插队”进行自己的交易并购买资产，然后加价卖给原始购买者。

通过此行为，他们可从用户身上榨取价值，而用户往往并不知道他们没有得到他们所期望的价格。因此此类MEV机器人可以多次重复交易从而获得丰厚的利润。

这里有个很简单的例子或许可以帮你直接理解：如果一个代币的价格是1美元，你买了价值100万美元的代币，你自然会期待得到100万个代币。

SPACE ID即将推出3.0版本，允许Web3社区无许可启动域名服务:7月31日消息，Web3域名和身份平台SPACE ID宣布即将推出SPACE ID 3.0版本，允许Web3社区无许可启动域名服务。SPACE ID 3.0版本包括无需许可的一站式发行工具包、Web3域名SDK和域名管理平台（Domain Dashboard），能够帮助项目方、社区和个人轻松启动自己的域名服务。Space ID 3.0升级将在接下来的几周内分多个阶段逐步推出。

SPACE ID表示，DAO将在SPACE ID 3.0治理中占据重要地位，比如，ID代币持有人有更多治理能力和责任，包括确定顶级域的合法性和所需的验证标准；在使用SPACE ID 3.0协议和工具之前，需要先质押ID代币；从SPACE ID 3.0上推出的顶级域名收取的协议费中为DAO财库带来额外收入。

此外，SPACE ID 3.0的合作伙伴将包含且不仅限于：Sei、Injective、ZetaChain、PancakeSwap、KuCoin Community Chain、Gnosis Chain和Opside。[2023/7/31 16:09:18]

但是，如果一个MEV机器人在一个未确认的区块中发现了你的交易，它将在你之前以1美元的价格购买N量的代币。在你的交易执行之前，价格可能会增加到2美元甚至更高，所以你最终只收到50万个代币。你的这笔交易也将代币价格提升到了3美元。随后，MEV机器人将以现在的高价出售它所在你之前就购买的代币。

BAYC地板价跌至41.69ETH，24小时跌幅达9%:5月10日消息，据OpenSea数据，Bored Ape Yacht Club系列NFT地板价跌至41.69ETH，24小时跌幅达9%。[2023/5/11 14:55:39]

事件总结

2022年9月27日，MEV机器人被攻击利用，造成了1,463,112.71美元的资产损失。

MEV机器人的所有者给攻击者发了一条信息，“祝贺”他们发现了“难以发现”的漏洞，并为他们提供了20%的赏金以换取暂时不采取法律行动的”承诺“。该”承诺“的最后生效期限是北京时间2022年9月29日早7点59分。

Chainalysis：去年加密货币盗窃金额达到创纪录的38亿美元:2月1日消息，区块链分析公司Chainalysis在周三发布的一份报告中表示，整体加密货币损失从 2021 年的 33 亿美元增至 2022 年的 38 亿美元。迄今为止，DeFi 协议是加密货币黑客攻击的最大受害者，占黑客窃取的所有加密货币的 82.1%（约 31 亿美元），高于 2021 年的 73.3%。在这 31 亿美元中，64% 来自跨链桥接协议。与朝鲜有关的黑客，例如网络犯罪集团 Lazarus Group 中的黑客，是过去几年中最多产的加密货币黑客。2022 年，他们打破了自己的盗窃记录，共窃取了价值约 17 亿美元的加密货币。[2023/2/1 11:41:39]

在MEV机器人被利用之前，它已经预先运行了一笔交易，该交易从仅仅11美元的USDT中获利了15万美元。该交易是一个180万美元的系列兑换，从cUSD兑换成WETH再到USDC。由于交易过程中的价格下跌，180万美元的SWAP只换来了约500美元的USDC。

ZigZag将于今日对符合条件的做市商空投ZZ代币，占总供应量的约2%:据官方推特，以太坊二层ZK Rollup订单簿DEX ZigZag宣布将进行首轮代币空投，以奖励早期做市商。zkSync已于北京时间1月17日14:00对符合条件的做市商进行快照。ZigZag总代币供应量的约2%将分配给符合条件的做市商，每个做市商将获得至少100个ZZ代币，这一奖励将根据他们所完成的订单数量而增加。代币将在北京时间1月20日14:00左右自动空投。不需要手动领取空投。对于即将到来的其他空投轮、标准和快照尚未制定，仍在讨论中。[2023/1/20 11:22:23]

在MEV机器人漏洞被公开后，钱包所有者给MEV漏洞利用者发了消息。除了请求归还资金以及提供“漏洞发现的奖励”，还解释说他们错误地触发了SWAP。而真正的目的其实是为了分装他们的代币。

Yuga Labs为其即将推出的Otherside发布新的预告片:金色财经报道，Bored Ape Yacht Club的创建者Yuga Labs周四晚上为其即将推出的在线游戏 Otherside 发布了一个新的预告片，这暗示了一个陷入困境的背景故事。这段两分钟的短片在一个寺庙般的空间中打开，里面充满了Kodas的雕像--Yuga创造的神秘生物，生活在Otherside。蓝光在这些图像周围涓涓细流，但随后视频放大显示不祥的红光围绕并与蓝色混合。出现了一个背着剑的Koda。它在瓶子中收集了一些蓝光。

关于Kodas将在元宇宙中扮演的角色也知之甚少。一些 Otherdeed 土地 NFT 在其地段上包含 Koda，这些 NFT 的售价往往比非 Koda 同行高得多。[2022/9/3 13:06:17]

攻击流程

MEV机器人的代码不是开源的，因此我们很难看到这个漏洞到底是如何被利用的。但是CertiK的安全专家还是确定了以下一些细节：

①漏洞利用者的EOA在漏洞合约上调用了contract.exexute

②漏洞合约调用dydx.SoloMargin.operate，paramsactionType=8，对应ICallee(args.callee).callFunction()

③dydx.SoloMargin.operate触发delegateCalldydx.OperationImpl.operate。

④delegateCall是MEVBot.callFunction(byte4)，byte4是WETH9.approval(exploitcontract,wad)。攻击合约获得批准，1101枚ETH被发送到了漏洞利用者的钱包。

链上活动

首先，有180万美元被换成了大约500美元的稳定币。

其次在这笔交易中，我们可以看到0x430a向Uniswap发送了180万美元的cUSDC，并收到528美元的稳定币作为回报。

MEV机器人在下图的交易中赚取了1101枚ETH。

就在几个小时后，我们看到一笔价值1,463,112.71美元的WETH交易通过一个未知的函数被发送到0xB9F7，这就是被攻击利用的那笔交易。

随后，尽管MEV机器人所有者向该事件的“始作俑者”发出信息，要求归还他们资金，但这次似乎不像其他的攻击，社群未对被攻击者有怜悯之心。

MEV在那些不怎么使用它的人群中是非常不受欢迎的，因为以太坊的高额费用和拥堵问题，加上DeFi生态系统十分活跃，让MEV机器人有了很多坐收渔利的可乘之机。许多用户在交易过程中都不可避免地要经历被MEV机器人套取价值，因此很多用户都在交易中为攻击发起者拍手称快以表达自己的不满。

当然也有一些人则趁机要求分一杯羹。

写在最后

攻击发生后，CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时，CertiK也会在未来持续于金色财经及官方公众号发布与项目预警相关的信息。请大家持续关注！

来源：金色财经

标签：MEVACESPAPACMEVFREELACE币SPACC币2PACNFT

比特币交易所热门资讯