Josiah02 发表于 2024-11-12 21:21:59

研究人员发现以太坊流行加密货币汇总中存在导致掠夺性交易的漏洞

以太坊是一个去中心化的在线平台,允许用户使用以太币加密货币进行金融交易,该平台以系统的高安全性而自豪。
但美国东北大学的计算机科学家和瑞士公立研究型大学苏黎世联邦理工学院的研究人员的最新发现表明,它可能并不是那么万无一失,其用户可能容易受到一些市场参与者的掠夺性行为的影响。
“这有直接的金钱激励,”东北大学库里计算机科学学院的博士生本·温特劳布 (Ben Weintraub) 说道。“所以在我看来,研究人员最好先找到并公布这一结果,以免人们误以为他们损失金钱。”
温特劳布在 10 月 14 日至 18 日于盐湖城举行的计算机协会年度计算机和通信安全会议 ( ACM CCS 2024 ) 上发表了有关该研究的论文。这项研究可在arXiv预印本服务器上找到。
他和他的合著者对以太坊本身以及所谓的汇总或平台外服务的剥削性交易活动进行了大规模分析,这些服务可以更快地处理大量交易。
研究人员发现的证据表明,某些参与者可以操纵汇总市场,而这在以前被认为是不可能的。
温特劳布说:“众所周知,这在常规以太坊上是可能的,但在汇总上则是不可能的,而我们证明了这并非不可能。”
该论文介绍了三种新型攻击,掠夺性交易者在过去三年中通过操纵以太坊交易网络内的交易赚取了约 200 万美元的利润。
以太坊是遍布全球的独立计算机网络,遵循以太坊协议(一套有关全球网络中的计算机如何相互交互的规则)。它使用比特币开创的区块链技术。
区块链是网络中计算机共享的交易数据库。一旦将新区块或一组新交易添加到区块链,该数据就无法再被任何人删除,这主要是因为加密技术可以突出显示任何篡改企图。
任何人都可以随时随地创建以太坊账户。没有任何中央机构(例如政府或公司)可以控制以太坊,这意味着没有任何个人可以更改规则或限制用户访问。任何以太坊协议更改都需要获得半数以上网络成员的批准。
与比特币(仅仅是一个以同名加密货币为特征的支付系统)不同,以太坊允许用户在其平台上构建应用程序、社区和组织。
然而,以太坊网络存在可扩展性问题——随着使用人数的增长,区块链已经达到了一定的吞吐量限制,这进一步增加了在该平台上进行交易的成本。
一种解决方案是 Rollup,例如 Arbitrum、Optimism 和 zkSync(Weintraub 对其进行了分析),旨在通过从以太坊上移除批量交易和计算来提高以太坊的速度。Weintraub 表示,这将交易的处理成本降低到大约 1 美分。
他说,一些参与者试图通过操纵区块链上待处理交易的顺序来实现最大可提取价值,从而通过加密货币交易获利。这项研究提供了独家见解,涉及 Rollups 上最大可提取价值交易的数量、相关成本、此类剥削性交易者所获利润、他们之间的竞争以及以太坊和 Rollups 对此类活动的响应时间。
恶意行为者使用的某些方法在金融市场中很常见,例如套利,即用户在一个交易所购买某物并迅速在另一个交易所卖出以赚取利润。
“人们普遍认为这是一件好事,因为它可以让不同的交易在价格上保持平衡,”温特劳布说。“但也有一些类型(最大可提取价值)并不好。一种在研究中相当著名的类型是夹层交易。”
在夹层交易中,当投机者看到有人要购买某项资产时,他们会抢先购买,从而推高价格。然后,投机者迅速以更高的价格出售。
夹层交易被认为是一种“糟糕的”操纵性交易策略,会影响其他交易者获得的价格。在以太坊上,区块生产者(当他们的硬件被随机选中来验证区块的交易时获得报酬的个人或团体)可以通过操纵区块在添加到区块链之前的交易排序或包含在区块中的方式,试图最大化他们所赚取的利润。
“我们之所以称其为攻击,是因为它对受害者来说完全是伤害,受害者现在必须为交易多付一点钱,”温特劳布说。“整个系统根本没有得到任何好处。只有那个人从中获利——‘夹心者’。”
虽然研究人员没有发现针对流行汇总的传统三明治攻击,但他们确定了当交易在以太坊和汇总之间移动时存在时间延迟时三种潜在的策略。
温特劳布说:“这只是通过分析协议并查看交易的确切流程得出的结论——它们何时被发送,何时汇总似乎对它们做出响应,或者何时它们最终出现在区块链上。”
“我们在以太坊测试网上测试了我们的攻击,这是一个‘假’钱的网络,开发人员用它来测试他们的应用程序,”他说。“而且,本质上,我们只从我们自己那里偷走了所有的钱。”
Weintraub 目前正在与各大 rollups 的开发者联系,看看能做些什么来防止这种攻击。Weintraub 表示,其中两种新型攻击是可以预防的,但目前还不清楚如何保护用户免受第三种攻击。
“我们的观点是,最好将这些信息公开,这样人们至少能够意识到其中的风险,”他说。

页: [1]
查看完整版本: 研究人员发现以太坊流行加密货币汇总中存在导致掠夺性交易的漏洞