Исследование: незавершенные транзакции Ethereum могут быть уязвимы для ботов
Арбитражные боты отслеживают отложенные транзакции в мемпуле Ethereum и используют возникающие возможности для извлечения прибыли благодаря его архитектуре. Об этом пишет в блоге разработчик хедж-фонда Paradigm Дэн Робинсон в соавторстве с коллегой Георгиосом Константопулосом.
Someone accidentally locked up some tokens in an Ethereum smart contract. @gakonst and I thought we’d found a way to recover them.
We learned that the mempool is a very creepy place.https://t.co/8rC0jOCPn3
— Dan Robinson (@danrobinson) August 28, 2020
Арбитражные боты обычно ищут определенные типы транзакций (например, связанные с торговлей на DEX или обновление оракула) и пытаются выполнить их в соответствии с заранее заданным алгоритмом, который предполагает их копирование и замену адреса получателя.
Робинсон пошел на эксперимент, попытавшись скрыть следы транзакции от ботов, чтобы не дать обнаружить связь с некастодиальной биржей Uniswap. Несмотря на помощь инженеров по безопасности Ethereum и по работе со смарт-контрактами, его план провалился и боты перехватили средства.
В заключение Робинсон предупредил майнеров, что в будущем они могут стать жертвой не только ботов, но и коллег, если не уделят этой уязвимости пристального внимания.
Напомним, исследователи из Blocknative обнаружили, что в ходе мартовского обвала рынка злоумышленники похитили $8,3 млн из DeFi-протокола Maker, манипулируя мемпулом Ethereum.
Подписывайтесь на новости ForkLog в Facebook!
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!
