Исследование: незавершенные транзакции Ethereum могут быть уязвимы для ботов

Арбитражные боты отслеживают отложенные транзакции в мемпуле Ethereum и используют возникающие возможности для извлечения прибыли благодаря его архитектуре. Об этом пишет в блоге разработчик хедж-фонда Paradigm Дэн Робинсон в соавторстве с коллегой Георгиосом Константопулосом.

Someone accidentally locked up some tokens in an Ethereum smart contract. @gakonst and I thought we’d found a way to recover them.

We learned that the mempool is a very creepy place.https://t.co/8rC0jOCPn3

— Dan Robinson (@danrobinson) August 28, 2020

Арбитражные боты обычно ищут определенные типы транзакций (например, связанные с торговлей на DEX или обновление оракула) и пытаются выполнить их в соответствии с заранее заданным алгоритмом, который предполагает их копирование и замену адреса получателя.

Робинсон пошел на эксперимент, попытавшись скрыть следы транзакции от ботов, чтобы не дать обнаружить связь с некастодиальной биржей Uniswap. Несмотря на помощь инженеров по безопасности Ethereum и по работе со смарт-контрактами, его план провалился и боты перехватили средства.

В заключение Робинсон предупредил майнеров, что в будущем они могут стать жертвой не только ботов, но и коллег, если не уделят этой уязвимости пристального внимания.

Напомним, исследователи из Blocknative обнаружили, что в ходе мартовского обвала рынка злоумышленники похитили $8,3 млн из DeFi-протокола Maker, манипулируя мемпулом Ethereum.

Подписывайтесь на новости ForkLog в Facebook!