蓝冠代理-蓝冠总代平台

招商主管Q374919
蓝冠总代平台

蓝冠客户端Mempool操纵使得MakerDAO抵押品在黑色星

蓝冠客户端

lg蓝冠下载,我的蓝冠

总结:
 
Blocknative是一家在世界各地的Ethereum mempools上保存数据的公司,该公司可能对黑色星期四对MakerDAO的“零竞价”攻击做出了解释。
 
内存池是等待挖掘成块的事务的存储容器。在市场压力下,它们往往会被堵塞。
 
Blocknative在攻击发生的当天在mempools中发现了源源不断的聪明而无价值的交易,显然是为了使交易难以通过而设计的。
 
ETH价格下跌引发了MakerDAO抵押品的拍卖。由于记忆池堵塞,在许多情况下,竞标者无法在这些拍卖中获得出价,这使得攻击者可以以0美元的出价获得抵押品。
 
袭击者拿走了830万美元。
 
根据周三发布的研究,黑客在Ethereum的记忆池中巧妙地窃取了MakerDAO用户的830万美元。
 
概括一下:以太网络(ETH)的价格在3月12日暴跌,而以太网络被大量试图进行的交易堵塞。随着投资者纷纷逃往菲亚特,ETH的价格下跌到足以引发MakerDAO借贷平台上抵押品的清算。这些程序化的清算使得攻击者可以免费拿走ETH的830万美元,做空借款者和MakerDAO本身。
 
然而,据专注于研究区块链内存池行为的公司Blocknative称,这种拥堵是关键的,而且完全是故意的。
 
新的研究表明,3月份的“黑天鹅”事件对以太坊而言,实际上可能是一个复杂的计划,目的是利用对COVID-19担忧引发的全球抛售获利。
 
Blocknative首席执行官马特•卡特勒在接受CoinDesk采访时表示:“整个事件意味着(攻击者)能够完成超过1000次零出价拍卖……并且几乎无需支付任何费用就能获得潜在价值。”
 
内存操作
 
Blocknative的核心工作是内存池:每个以太坊节点上的临时存储,我的蓝冠事务在这里等待挖掘和完成。
 
Blocknative说,在3月中旬,mempool被无用的交易堵塞,这是计划的一部分,目的是在这些条件下赢得MakerDAO上ETH的零出价拍卖。
 
事实上,创客基金会(Maker Foundation)在今年4月发表的文章中也写道:
 
“网络堵塞和高油价导致了交易延迟,在很多情况下,还会导致失败。这些问题,再加上资产价值前所未有的下跌,让Maker Vault的所有者、保管人和流动性池措手不及。”
 
(创客基金会(Maker Foundation)让CoinDesk参考了上述博客文章,并拒绝就此事进一步置评。)
 
显然,许多Ethereum用户会怀疑ETH价格的下跌是否是人为造成的,但这个问题超出了Blocknative的调查范围。攻击者可能已经准备好机会主义地利用ETH价格的急剧下跌;目前还不清楚价格下跌本身是否是人为造成的。
 
也就是说,Blocknative确实在3月8日对攻击机制进行了测试,但该研究公司没有在报告中描述这一事实。
 
卡特勒告诉CoinDesk网站说:“这是一个有趣的巧合,核试验和攻击发生在四天之内。”“(但)我们没有任何证据表明这不是机会主义。”
 
无论哪种方式,攻击者都利用了关于Ethereum和MakerDAO的一些非常微妙的见解。“他们基本上利用了一些以前从未见过的技术,”卡特勒说。
 
稍后将详细介绍这些技术。首先,我们需要介绍一些关于MakerDAO和Ethereum的基础知识。
 
MakerDAO基础知识
 
MakerDAO被称为dai (dai)的创造者,这种分散式的马厩目前深受产量农民的喜爱。“戴”是由债务创造的。用户将ETH或其他加密资产作为抵押品放在创商平台上,然后以全新的DAI形式提取这些资产的一部分价值。
 
为了取回抵押品,用户必须偿还他们所借的抵押贷款加上贷款的利息(用MakerDAO的话来说,这是“稳定费”,但它只是一个可变利率)。MakerDAO通过在抵押价值低于最低门槛时清算抵押来强制执行抵押价格,以维持适当的抵押。对于ETH来说,这是150%,但大多数用户输入的ETH值比最小值要高很多。
 
因此,如果ETH的价格是200美元,而用户发布1 ETH借100 DAI,他们就不会被清算,除非ETH跌破150美元。
 
但在黑色星期四,ETH的价格从193美元下跌了近100美元,这引发了大量的清算。
顺便说一下,清算可以由任何人完成,通过被称为“管理员”的机器人。MakerDAO本身也有一个Keeper,但是其他一些不知名的实体也有类似的功能。
 
保管人通过拍卖(CoinList用通俗易懂的语言一步步描述)赢得清算,因此不同的保管人竞标结束贷款,而在黑色星期四,这些拍卖只持续了10分钟,或几十个Ethereum区块。
 
他们的想法是,这些拍卖应该(通常已经)导致用户取回他们的抵押品,减去他们所欠的债务,再加上稳定费和清算费(这是最后的伤处)。但这次的情况并非如此。
 
借款人什么也得不到,事实上,MakerDAO得到的还贷太少,整个系统的抵押品不足。
 
Ethereum基础知识
 
Ethereum是区块链,这意味着它总是在收集交易,而采掘者正在竞争组合这些交易块,加密它们,打破加密,然后向其他采掘者证明他们的工作,以赢得区块奖励。
 
只有在被挖掘出的块中,事务才是真实的。通常有更多的交易等待进入一个区块比更多的空间有更多的交易。这些被延迟的事务在所谓的“内存池”中等待。
 
记忆池是大多数人在大多数时候都不需要考虑的事情之一,除非当情况变得紧急时,记忆池变得非常重要:比如当ETH的价格跌落悬崖时。
 
卡特勒说:“你最需要确定事情正在有序地发生的时候,正是事情最不可靠的时候。”
 
这就是Blocknative的全部意义所在。该公司对世界各地的记忆池进行了详细的记录,研究它所谓的“动态价值”。Blocknative帮助它的客户决定,当事情变得疯狂时,他们是否需要在诸如汽油支付等方面更加积极主动。内存池数据是“动态的值”;最终完成的区块链数据是静止的值。
 
至关重要的是,如果之前的交易没有完成,矿商就无法处理新的交易。在Ethereum上,钱包中的每一笔交易都有一个号码,如果514没有通过,515就不能通过(这是通过交易“nonce”来跟踪的,用以太坊的话说)。这种连续的现实就是这次攻击的关键。
 
Blocknative发现
 
Blocknative一直在为Ethereum保存2018年初的mempool数据(还有它的testnets和比特币网络)。该公司决定查看mempool的数据,看看3月12日前后发生了什么。
 
Blocknative发现异常高比例的内存池被天然气价格非常低的事务阻塞。
 
通常这个比例不是很高,因为用户实际上希望他们的交易能够通过,所以他们会监控天然气价格,并将其设定在矿工可能会提高的水平。但这并不是3月12日发生的事情。池子里有很多交易都有很低的天然气价格。太多了。
 
这使得攻击者可以在MakerDAO附带强劲汽油价格的抵押品拍卖中提交“零出价”——他们很清楚自己有可能在拍卖中击败那些无法通过竞价的善意的“守护机器人”。
 
Blocknative描述了一种叫做“锤子机器人”的东西。“这些机器人被设计用来精确地处理事务,以阻塞内存池。
 
这些机器人用从未打算最终敲定的事务对mempool进行了重击。Blocknative在其博客上写道:“这些‘锤子机器人’通过发布极高的置换交易率消耗了mempool资源,却没有相应的天然气使用量增加。”
 
这些事务被额外设计为许多无意义的操作,这些操作可以很容易地移动和更改以改变散列,但似乎没有真正的目的。
 
Blocknative的联合创始人克里斯·迈斯尔(Chris Meisl)告诉CoinDesk:“这些特定的交易,它们会特别擅长消耗内存池资源。”
 
级联问题
 
这就是第一个问题:拥塞使得MakerDAO上的借款人难以增加更多的抵押品,也使得保管人很难通过竞标。
 
“这会导致异常的内存池条件,最终有利于某些事务,”Blocknative post报道。
 
但攻击者对管理员的另一个重要观察似乎是:他们似乎并没有检查交易是否顺利进行。
“当你在以太坊用一个账户或地址进行交易时,他们必须被订购,”Meisl说。
 
正如ze在上面所写的,如果区块链的记录中缺少了一个“现时”,矿商就不能进行以后的交易,除非之前的“现时”已经通过。因此,即使天然气价格非常高,后来的交易也会陷入僵局,直到前一笔交易通过。
 
这产生了一个奇怪的结果。来自Blocknative博客的文章:
 
“从总体上看,尽管进入mempool的交易量大幅增加,但很大一部分mempool的天然气价格却被人为压低了。”
 
简而言之:攻击者知道守门员无法通过他们的第一次出价,这将导致随后的出价“有可能”(用卡特勒的话来说)被卡住。而且它经常起作用。
 
MakerDAO为Keeper机器人发布的开源代码没有检查被卡住的事务的措施。
 
这就形成了一个潜在的缺口,使得攻击者可以以很高的天然气价格出价,但对抵押品的出价为0戴,从而启动了短短的10分钟的拍卖时钟。
 
Blocknative的帖子警告说:“虽然自动交易系统经常被设计成有计划地提高交易的天然气价格,但许多这样的交易系统并不能很好地处理现时价差。”
 
在1462个案例中,管理员没有注意到他们的出价被卡在mempools中,蓝冠客户端攻击者中标了,偷走了ETH的数百万美元,几乎迫使MakerDAO紧急关闭。
 
MakerDAO将拍卖时间延长到了6个小时。Blocknative已经开放了它的mempool活动数据集,供社区成员进一步研究。
 
这篇博文指出:
 
“记忆池是区块链生态系统中一个关键的、但短暂的、经常被忽视的元素。因此,mempool向构建者和用户都呈现了许多‘未知的未知’。”
 
然而,在这种情况下,攻击者研究了制造者的守门员代码,并意识到有可能知道真正的守门员所不知道的东西。

蓝冠总代

蓝冠|蓝冠代理-蓝冠总代平台,谢谢支持!

蓝冠总代平台